Phishing

Phishing gilt als eine der ältesten Betrugsmethoden, seit es das Internet gibt. Cyberkriminelle versuchen hierbei durch Social Engineering, Phishing-E-Mails oder Malware sensible Kennwörter, Bank- und Bezahldaten abzufangen. Während klassisches Phishing Links und Anhänge mit bösartigen Weiterleitungen oder Malware-Downloads nutzte, sind moderne Phishing-Methoden nicht mehr zwingend auf die unfreiwillige Herausgabe wichtiger Daten angewiesen.

Denken Sie an Rotkäppchen und den bösen Wolf: Der böse Wolf fragt Rotkäppchen, wo sie wohnt, wie ihre Großmutter heißt und was sie im Körbchen trägt. Unbescholten wie Rotkäppchen ist, teilt sie wichtige Informationen mit dem höflichen Wolf. Nur wenig später befindet sich der Wolf im Haus und gibt sich als Rotkäppchens Großmutter aus. Nun stellen Sie sich den bösen Wolf als Phishing-E-Mail vor.

Phishing leitet sich vom englischen Wort „fishing“ ab, da Phishing-Opfer wie Fische angelockt werden. Als lockende Würmer am Haken fungieren gefälschte E-Mails von Banken, Abo- und Bezahldiensten oder von vermeintlichen Freundinnen und Freunden bzw. Kolleginnen und Kollegen. Viel zu spät merken Betroffene, dass sie bereits am gefährlichen Phishing-Haken hängen.

Bereits vor der Ankunft des Internets zählte der listige Datenklau zum festen Repertoire von Kriminellen. Meist wurden hierbei durch Shoulder Surfing wichtige Daten wie PIN-Nummern, Adressen, Bankdaten oder Telefonnummern über die Schulter ausgespäht. Phishing präsentiert sich als die Weiterentwicklung des Datenklaus für die Generation Internet. Vermutlich hatten Sie selbst schon E-Mails im Postfach, in denen Ihre vermeintliche Bank ein dringendes Anliegen hatte, Amazon Ihnen ein nie bestelltes Paket zustellen möchte oder Ihnen ein unbekannter Onkel ein Millionenerbe vermacht. Die Liste der Phishing-Methoden ist lang und wird mit jedem Jahr länger.

Ziel des Phishings sind immer Ihre Daten: Bankdaten, Kreditkartendaten, Kennwörter für Onlinebanking, Onlineshops, E-Mail-Accounts oder Website-Backends. Je persönlicher und sensibler die Daten, desto begehrter. Der Datendiebstahl erfolgt, indem Phishing-Betrüger ihre Opfer auf gefälschten Seiten zur Eingabe persönlicher Informationen bewegen. Mit den gestohlenen Daten können Phishing-Betrügerinnen und -Betrüger Ihnen finanzielle Schäden zufügen, Ihre Identität stehlen, weitere Phishing-Angriffe auf Ihre Kontakte ausführen oder Unternehmensdaten korrumpieren.

Phishing dient zudem oftmals als Vorstufe für weitere Attacken mit Schadsoftware, Ransomware, Spyware und Scareware. Auch Phishing-E-Mailanhänge mit Makros oder Schadcode kommen zum Einsatz, um Malware auf Rechnern installieren.

Genau wie Technologien und digitale Kompetenz unterliegen auch die Vorgehensweisen und Methoden von Phishing-Betrügern einem steten Wandel. Klassisches Phishing erforderte noch die unfreiwillige „Hilfe“ der Phishing-Opfer durch eine Eingabe persönlicher Daten oder einen Klick auf Links und Anhänge. Neue Phishing-Methoden sind jedoch nicht mehr zwingend auf diese Aktionen angewiesen.

Typische Arten von Phishing sind:

• E-Mail-Phishing: Gefälschte E-Mails, die meist Links zu schädlichen Websites, Downloads oder Malware in Dateianhängen enthalten
• Website-Phishing: Gefälschte Websites, die zur Eingabe wichtiger Daten verleiten oder Malware installieren; auch als Spoofing bekannt
• Vishing: Die Methode namens Vishing steht für Betrugsanrufe, die Telefon- oder Voice-Phishing betreiben.
• Smishing: Beim Smishing kommen gefälschte SMS oder auch Messenger-Nachrichten zum Einsatz. Diese sollen zum Klicken auf Links, zum Download von Malware oder zur Preisgabe von Daten verleiten.
• Social-Media-Phishing: In sozialen Medien zeigt sich Phishing u. a. als das Hijacking von Social-Media-Accounts oder das Erstellen täuschend echter Kopien von Social-Media-Profilen. Über diese lassen sich sensible Daten Betroffenen sowie von Kontakten stehlen.

Gängige Vorgehensweisen beim Phishing lassen sich in gezieltes Spear-Phishing mit intensivem Social Engineering und breit angelegtes Massen-Phishing unterscheiden.

Beim Spear-Phishing spionieren Cyberkriminelle eine kleine Zielgruppe oder ein einzelnes Opfer aus. Hierzu werden mittels Social Engineering öffentliche Informationen wie E-Mail-Adressen, Freundeslisten, Karrierewege und Berufsbezeichnungen auf sozialen Medien, Firmenwebsites oder Karriereseiten gesammelt. Anschließend generieren Kriminelle täuschend echte E-Mails von Kontakten, Firmen, Banken oder Bekannten. In diesen befindet sich ein Link zu einer professionell gefälschten Website, die Sie zur Eingabe Ihrer Kennwörter, Bankdaten oder anderer Informationen auffordert. Alternativ soll die gefälschte Mail zum Klick auf bösartige Dateianhänge verleiten. Spear-Phishing kann durch das Ausspionieren von CEO-Daten großangelegte Angriffe auf Unternehmen oder den Diebstahl von Firmenvermögen vorbereiten.

Während ausgeklügeltes Spear-Phishing auf die Qualität der Fälschung setzt, konzentrieren sich breit angelegte Phishing-Kampagnen auf die Quantität der Opfer. Oft erkennen Sie Massen-Phishing an offensichtlich falschen E-Mail-Adressen, Weiterleitungen auf verdächtige, unverschlüsselte http-Websites und URLs oder schlechte Grammatik. Es kann sich zudem um E-Mails von Paket- oder Bestelldiensten handeln, obwohl Sie nichts bestellt haben, oder um Nachrichten von Amazon und PayPal, obwohl Sie gar keinen Account besitzen. Derartiges Phishing zielt darauf ab, durch möglichst viele potenzielle Opfer möglichst viele sensible Daten zu stehlen.

Neuere Phishing-Techniken sind nicht mehr auf die Interaktion von Opfern angewiesen. Das Klicken auf gefährliche Links oder die Eingabe von Daten sind somit in neuen Taktiken nicht unbedingt fester Bestandteil des Phishings. Es genügt bereits, durch das Öffnen einer mit Schadcode infizierten Website oder E-Mail eine Man-in-the-Middle-Attack einzuleiten. Bei dieser schalten sich Cyberkriminelle zwischen Ihren Rechner und das Internet, um Ihre Internetkommunikation inklusive sensibler Daten abzufangen. Das Perfide: Bei einer Man-in-the-Middle-Attacke ist oft nur schwer zu erkennen, dass sich stille Angreifende zwischen Ihnen und angesteuerten Servern im World Wide Web befinden.

Auf folgende typische Merkmale sollten Sie achten, um Phishing-Taktiken und Phishing-Mails zu erkennen:

1. E-Mails oder Websites, die offensichtlich falsche Grammatik oder gebrochenes Deutsch verwenden
2. E-Mails oder Websites von Banken oder anderen Diensten, die Sie zur Eingabe persönlicher Daten oder zur Verifizierung Ihrer Account- oder Bezahldaten auffordern
3. E-Mail-Adressen von angeblich offiziellen Sendern, die nicht mit dem Firmennamen oder dem Sender-Namen übereinstimmen
4. Weiterleitungen zu http-Websites oder zu verdächtigen URLs sowie Verwendung von verkürzten Links durch URL-Shortener wie bit.ly
5. E-Mails mit verdächtigen Absenderadressen oder Aufforderungen zum schnellen Handeln, die verdächtige Dateianhänge wie .exe, .docx, .xlsx oder ZIP- und RAR-Archivdateien enthalten

Einige Fälle von großangelegtem Phishing wurden durch ihre Tragweite besonders publik:

Der Leak zahlreicher E-Mails der amerikanischen Demokratischen Partei im Jahr 2016 zählt zu den bekanntesten und folgenreichsten Fällen von Phishing. Hierbei versendeten die Hackergruppen Fancy Bear und Cozy Bear Phishing-Nachrichten an Abgeordnete der Demokraten, in denen dringend zur Änderung bestimmter Kennwörter geraten wurde. Über den enthaltenen Link fingen die Angreifenden Zugangsdaten ab und erhielten Zugang zu verschiedenen E-Mail-Konten hochrangiger Politikerinnen und Politiker. Die Veröffentlichung der Daten über Wikileaks hatte bedeutenden Einfluss auf den Sieg des späteren Präsidenten Donald Trump.

Vermutlich von Ende 2014 bis Mai 2015 erfolgte einer der größten, von Russland gelenkten Hackerangriffe auf die deutsche Regierung. Er begann mit Phishing-E-Mails an Abgeordnete, über die Trojaner im internen IT-System platziert und Administratoren-Passwörter gestohlen wurden. Im April 2015 erhielten mehrere Abgeordnete des Bundestags vermeintliche Mails von den Vereinten Nationen, die weitere Malware im IT-System des Bundestags installierten.

Im Jahr 2017 gelang es Betrügerinnen und Betrügern durch Phishing-E-Mails und eine gefälschte Business-Identität, rund 100 Millionen US-Dollar zu stehlen. Der Trick war erfolgreich, da sich das gefälschte Unternehmen von einem echten Geschäftspartner Googles und Facebooks kaum unterscheiden ließ. Mitarbeiterinnen und Mitarbeiter der Großunternehmen überwiesen unwissentlich enorme Geldbeträge an Überseekonten der Hackerinnen und Hacker.

Obwohl große Unternehmen, Institutionen und Regierungen ein Hauptziel für Phishing-Angriffe sind, besteht für jede Nutzerin und jeden Nutzer das Risiko, online auf Phishing hereinzufallen. Sowohl die Verbraucherzentrale als auch das deutsche Bundesamt für Sicherheit in der Informationstechnik veröffentlichen daher regelmäßige Beispiele und aktuelle Angriffsmethoden von Phishing-Betrügerinnen und -Betrügern.