Was ist ein Phishing-Angriff?
Bei Phishing handelt es sich um eine Form des Cyberangriffs, bei dem die Opfer per E-Mail, SMS, Telefon sowie in sozialen Medien dazu verleitet werden, persönliche Informationen (z. B. Kennwörter oder Kontonummern) herauszugeben oder eine schädliche Datei herunterzuladen, die Viren auf dem Computer oder Smartphone installiert.
Phishing ist weit verbreitet. Angaben von Accenture zufolge räumen 60 % der US-Amerikaner ein, dass sie selbst oder ein Familienmitglied schon einmal Opfer eines Phishing-Angriffs geworden sind. 15 % werden sogar mehrmals im Jahr angegriffen. Die Zahl der Phishing-Angriffe in den USA steigt. Im letzten Jahr nahmen die Zahlen um 65 % zu.
Merkmale einer Phishing-E-Mail
Phishing-E-Mails weisen in der Regel ein oder mehrere der folgenden Merkmale auf und lassen sich daran ganz gut erkennen:
- Bitte um Weitergabe vertraulicher Informationen
- Verwendet eine andere Domäne
- Enthält Links, die nicht mit der Domäne übereinstimmen
- Enthält nicht angeforderte Anhänge
- Enthält keine persönliche Anrede
- Enthält auffallend viele Rechtschreib- und Grammatikfehler
- Versucht, den Empfänger zu verunsichern
Arten von Phishing
1. Email Phishing
Spearphishing
Spearphishing ist ein Phishing-Versuch, bei dem eine bestimmte Person oder Personengruppe ins Visier genommen wird. Die als Helix Kitten bekannte Angreifergruppe recherchiert Personen bestimmter Branchen und deren Interessen und passt ihre Spearphishing-Nachrichten dann so an, dass sie für die Zielpersonen ansprechend sind. In einigen Fällen dienen die Opfer als Türöffner für den Zugang zu noch attraktiveren Zielen. So ist ein Finanzexperte mittlerer Ebene beispielsweise deshalb ein interessantes Ziel, weil er im Besitz einer Kontaktliste mit E-Mail-Adressen von Finanzführungskräften ist, die über einen noch breiteren Zugang zu sensiblen Informationen verfügen. Diese Führungskräfte sind dann das Opfer der nächsten Angriffsphase.
Whaling
Whaling, auch als Business Email Compromise (BEC) bezeichnet, ist eine Art von Spearphishing-Angriff, der sich gegen eine hochrangige Person richtet, etwa einen CEO oder CFO. Beim Whaling wird oft ein Gefühl der Dringlichkeit erzeugt, um das Opfer unter Druck zu setzen, damit es Geld überweist oder Anmeldedaten auf einer schädlichen Website preisgibt.
2. Smishing
Smishing ist eine Phishing-Kampagne, die über SMS und nicht über E-Mail durchgeführt wird. Smishing-Angriffe führen selten dazu, dass ein Virus direkt heruntergeladen wird. Stattdessen soll der Benutzer dazu verleitet werden, eine Website zu besuchen und von dort schädliche Apps oder Inhalte herunterzuladen.
3. Vishing
Vishing ist ein Phishing-Angriff, der per Telefon erfolgt. Bei diesen Angriffen werden mitunter gefälschte Anrufer-IDs verwendet, um den Eindruck zu erwecken, bei dem Anrufer handele es sich um ein legitimes Unternehmen, eine Behörde oder eine Hilfsorganisation. Zweck des Anrufs ist der Diebstahl persönlicher Informationen wie Bankdaten oder Kreditkartennummern.