Phishing

Phishing gilt als eine der ältesten Be­trugs­me­tho­den, seit es das Internet gibt. Cy­ber­kri­mi­nel­le versuchen hierbei durch Social En­gi­nee­ring, Phishing-E-Mails oder Malware sensible Kenn­wör­ter, Bank- und Be­zahl­da­ten ab­zu­fan­gen. Während klas­si­sches Phishing Links und Anhänge mit bös­ar­ti­gen Wei­ter­lei­tun­gen oder Malware-Downloads nutzte, sind moderne Phishing-Methoden nicht mehr zwingend auf die un­frei­wil­li­ge Her­aus­ga­be wichtiger Daten an­ge­wie­sen.

Denken Sie an Rot­käpp­chen und den bösen Wolf: Der böse Wolf fragt Rot­käpp­chen, wo sie wohnt, wie ihre Groß­mutter heißt und was sie im Körbchen trägt. Un­be­schol­ten wie Rot­käpp­chen ist, teilt sie wichtige In­for­ma­tio­nen mit dem höflichen Wolf. Nur wenig später befindet sich der Wolf im Haus und gibt sich als Rot­käpp­chens Groß­mutter aus. Nun stellen Sie sich den bösen Wolf als Phishing-E-Mail vor.

Phishing leitet sich vom eng­li­schen Wort „fishing“ ab, da Phishing-Opfer wie Fische angelockt werden. Als lockende Würmer am Haken fungieren ge­fälsch­te E-Mails von Banken, Abo- und Be­zahl­diens­ten oder von ver­meint­li­chen Freun­din­nen und Freunden bzw. Kol­le­gin­nen und Kollegen. Viel zu spät merken Be­trof­fe­ne, dass sie bereits am ge­fähr­li­chen Phishing-Haken hängen.

Bereits vor der Ankunft des Internets zählte der listige Datenklau zum festen Re­per­toire von Kri­mi­nel­len. Meist wurden hierbei durch Shoulder Surfing wichtige Daten wie PIN-Nummern, Adressen, Bankdaten oder Te­le­fon­num­mern über die Schulter aus­ge­späht. Phishing prä­sen­tiert sich als die Wei­ter­ent­wick­lung des Da­ten­klaus für die Ge­ne­ra­ti­on Internet. Ver­mut­lich hatten Sie selbst schon E-Mails im Postfach, in denen Ihre ver­meint­li­che Bank ein drin­gen­des Anliegen hatte, Amazon Ihnen ein nie be­stell­tes Paket zustellen möchte oder Ihnen ein un­be­kann­ter Onkel ein Mil­lio­nen­er­be vermacht. Die Liste der Phishing-Methoden ist lang und wird mit jedem Jahr länger.

Ziel des Phishings sind immer Ihre Daten: Bankdaten, Kre­dit­kar­ten­da­ten, Kenn­wör­ter für On­line­ban­king, On­line­shops, E-Mail-Accounts oder Website-Backends. Je per­sön­li­cher und sensibler die Daten, desto begehrter. Der Da­ten­dieb­stahl erfolgt, indem Phishing-Betrüger ihre Opfer auf ge­fälsch­ten Seiten zur Eingabe per­sön­li­cher In­for­ma­tio­nen bewegen. Mit den ge­stoh­le­nen Daten können Phishing-Be­trü­ge­rin­nen und -Betrüger Ihnen fi­nan­zi­el­le Schäden zufügen, Ihre Identität stehlen, weitere Phishing-Angriffe auf Ihre Kontakte ausführen oder Un­ter­neh­mens­da­ten kor­rum­pie­ren.

Phishing dient zudem oftmals als Vorstufe für weitere Attacken mit Schad­soft­ware, Ran­som­wa­re, Spyware und Scareware. Auch Phishing-E-Mail­an­hän­ge mit Makros oder Schadcode kommen zum Einsatz, um Malware auf Rechnern in­stal­lie­ren.

Genau wie Tech­no­lo­gien und digitale Kompetenz un­ter­lie­gen auch die Vor­ge­hens­wei­sen und Methoden von Phishing-Betrügern einem steten Wandel. Klas­si­sches Phishing er­for­der­te noch die un­frei­wil­li­ge „Hilfe“ der Phishing-Opfer durch eine Eingabe per­sön­li­cher Daten oder einen Klick auf Links und Anhänge. Neue Phishing-Methoden sind jedoch nicht mehr zwingend auf diese Aktionen an­ge­wie­sen.

Typische Arten von Phishing sind:

• E-Mail-Phishing: Ge­fälsch­te E-Mails, die meist Links zu schäd­li­chen Websites, Downloads oder Malware in Da­tei­an­hän­gen enthalten
• Website-Phishing: Ge­fälsch­te Websites, die zur Eingabe wichtiger Daten verleiten oder Malware in­stal­lie­ren; auch als Spoofing bekannt
• Vishing: Die Methode namens Vishing steht für Be­trugs­an­ru­fe, die Telefon- oder Voice-Phishing betreiben.
• Smishing: Beim Smishing kommen ge­fälsch­te SMS oder auch Messenger-Nach­rich­ten zum Einsatz. Diese sollen zum Klicken auf Links, zum Download von Malware oder zur Preisgabe von Daten verleiten.
• Social-Media-Phishing: In sozialen Medien zeigt sich Phishing u. a. als das Hijacking von Social-Media-Accounts oder das Erstellen täuschend echter Kopien von Social-Media-Profilen. Über diese lassen sich sensible Daten Be­trof­fe­nen sowie von Kontakten stehlen.

Gängige Vor­ge­hens­wei­sen beim Phishing lassen sich in gezieltes Spear-Phishing mit in­ten­si­vem Social En­gi­nee­ring und breit an­ge­leg­tes Massen-Phishing un­ter­schei­den.

Beim Spear-Phishing spio­nie­ren Cy­ber­kri­mi­nel­le eine kleine Ziel­grup­pe oder ein einzelnes Opfer aus. Hierzu werden mittels Social En­gi­nee­ring öf­fent­li­che In­for­ma­tio­nen wie E-Mail-Adressen, Freun­des­lis­ten, Kar­rie­re­we­ge und Be­rufs­be­zeich­nun­gen auf sozialen Medien, Fir­men­web­sites oder Kar­rie­re­sei­ten gesammelt. An­schlie­ßend ge­ne­rie­ren Kri­mi­nel­le täuschend echte E-Mails von Kontakten, Firmen, Banken oder Bekannten. In diesen befindet sich ein Link zu einer pro­fes­sio­nell ge­fälsch­ten Website, die Sie zur Eingabe Ihrer Kenn­wör­ter, Bankdaten oder anderer In­for­ma­tio­nen auf­for­dert. Al­ter­na­tiv soll die ge­fälsch­te Mail zum Klick auf bösartige Da­tei­an­hän­ge verleiten. Spear-Phishing kann durch das Aus­spio­nie­ren von CEO-Daten groß­an­ge­leg­te Angriffe auf Un­ter­neh­men oder den Diebstahl von Fir­men­ver­mö­gen vor­be­rei­ten.

Während aus­ge­klü­gel­tes Spear-Phishing auf die Qualität der Fälschung setzt, kon­zen­trie­ren sich breit angelegte Phishing-Kampagnen auf die Quantität der Opfer. Oft erkennen Sie Massen-Phishing an of­fen­sicht­lich falschen E-Mail-Adressen, Wei­ter­lei­tun­gen auf ver­däch­ti­ge, un­ver­schlüs­sel­te http-Websites und URLs oder schlechte Grammatik. Es kann sich zudem um E-Mails von Paket- oder Be­stell­diens­ten handeln, obwohl Sie nichts bestellt haben, oder um Nach­rich­ten von Amazon und PayPal, obwohl Sie gar keinen Account besitzen. Der­ar­ti­ges Phishing zielt darauf ab, durch möglichst viele po­ten­zi­el­le Opfer möglichst viele sensible Daten zu stehlen.

Neuere Phishing-Techniken sind nicht mehr auf die In­ter­ak­ti­on von Opfern an­ge­wie­sen. Das Klicken auf ge­fähr­li­che Links oder die Eingabe von Daten sind somit in neuen Taktiken nicht unbedingt fester Be­stand­teil des Phishings. Es genügt bereits, durch das Öffnen einer mit Schadcode in­fi­zier­ten Website oder E-Mail eine Man-in-the-Middle-Attack ein­zu­lei­ten. Bei dieser schalten sich Cy­ber­kri­mi­nel­le zwischen Ihren Rechner und das Internet, um Ihre In­ter­net­kom­mu­ni­ka­ti­on inklusive sensibler Daten ab­zu­fan­gen. Das Perfide: Bei einer Man-in-the-Middle-Attacke ist oft nur schwer zu erkennen, dass sich stille An­grei­fen­de zwischen Ihnen und an­ge­steu­er­ten Servern im World Wide Web befinden.

Auf folgende typische Merkmale sollten Sie achten, um Phishing-Taktiken und Phishing-Mails zu erkennen:

1. E-Mails oder Websites, die of­fen­sicht­lich falsche Grammatik oder ge­bro­che­nes Deutsch verwenden
2. E-Mails oder Websites von Banken oder anderen Diensten, die Sie zur Eingabe per­sön­li­cher Daten oder zur Ve­ri­fi­zie­rung Ihrer Account- oder Be­zahl­da­ten auf­for­dern
3. E-Mail-Adressen von angeblich of­fi­zi­el­len Sendern, die nicht mit dem Fir­men­na­men oder dem Sender-Namen über­ein­stim­men
4. Wei­ter­lei­tun­gen zu http-Websites oder zu ver­däch­ti­gen URLs sowie Ver­wen­dung von ver­kürz­ten Links durch URL-Shortener wie bit.ly
5. E-Mails mit ver­däch­ti­gen Ab­sen­der­adres­sen oder Auf­for­de­run­gen zum schnellen Handeln, die ver­däch­ti­ge Da­tei­an­hän­ge wie .exe, .docx, .xlsx oder ZIP- und RAR-Ar­chiv­da­tei­en enthalten

Einige Fälle von groß­an­ge­leg­tem Phishing wurden durch ihre Tragweite besonders publik:

Der Leak zahl­rei­cher E-Mails der ame­ri­ka­ni­schen De­mo­kra­ti­schen Partei im Jahr 2016 zählt zu den be­kann­tes­ten und fol­gen­reichs­ten Fällen von Phishing. Hierbei ver­sen­de­ten die Ha­cker­grup­pen Fancy Bear und Cozy Bear Phishing-Nach­rich­ten an Ab­ge­ord­ne­te der De­mo­kra­ten, in denen dringend zur Änderung be­stimm­ter Kenn­wör­ter geraten wurde. Über den ent­hal­te­nen Link fingen die An­grei­fen­den Zu­gangs­da­ten ab und erhielten Zugang zu ver­schie­de­nen E-Mail-Konten hoch­ran­gi­ger Po­li­ti­ke­rin­nen und Politiker. Die Ver­öf­fent­li­chung der Daten über Wikileaks hatte be­deu­ten­den Einfluss auf den Sieg des späteren Prä­si­den­ten Donald Trump.

Ver­mut­lich von Ende 2014 bis Mai 2015 erfolgte einer der größten, von Russland gelenkten Ha­cker­an­grif­fe auf die deutsche Regierung. Er begann mit Phishing-E-Mails an Ab­ge­ord­ne­te, über die Trojaner im internen IT-System platziert und Ad­mi­nis­tra­to­ren-Pass­wör­ter gestohlen wurden. Im April 2015 erhielten mehrere Ab­ge­ord­ne­te des Bun­des­tags ver­meint­li­che Mails von den Vereinten Nationen, die weitere Malware im IT-System des Bun­des­tags in­stal­lier­ten.

Im Jahr 2017 gelang es Be­trü­ge­rin­nen und Betrügern durch Phishing-E-Mails und eine ge­fälsch­te Business-Identität, rund 100 Millionen US-Dollar zu stehlen. Der Trick war er­folg­reich, da sich das ge­fälsch­te Un­ter­neh­men von einem echten Ge­schäfts­part­ner Googles und Facebooks kaum un­ter­schei­den ließ. Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter der Groß­un­ter­neh­men über­wie­sen un­wis­sent­lich enorme Geld­be­trä­ge an Über­see­kon­ten der Ha­cke­rin­nen und Hacker.

Obwohl große Un­ter­neh­men, In­sti­tu­tio­nen und Re­gie­run­gen ein Hauptziel für Phishing-Angriffe sind, besteht für jede Nutzerin und jeden Nutzer das Risiko, online auf Phishing her­ein­zu­fal­len. Sowohl die Ver­brau­cher­zen­tra­le als auch das deutsche Bundesamt für Si­cher­heit in der In­for­ma­ti­ons­tech­nik ver­öf­fent­li­chen daher re­gel­mä­ßi­ge Beispiele und aktuelle An­griffs­me­tho­den von Phishing-Be­trü­ge­rin­nen und -Betrügern.