Phishing

Der Begriff leitet sich vom englischen „password harvesting“ (Passwort sammeln) und „fishing“ (angeln) her. Wie beim Angeln werfen die Täter ihren Köder in ein Meer aus Tausenden potenzieller Opfer aus und warten darauf, dass jemand anbeißt. Das Ziel von Phishing ist, anonym persönliche Informationen zu stehlen, die in irgendeiner Form gewinnbringend verwertet werden können.

Viele Angebote im Internet sind darauf angewiesen, dass vertrauliche und personenbezogene Informationen über die Internetleitung gesendet werden. Onlinebanking, Bezahlen per PayPal oder Kreditkarte und die elektronische Steuererklärung wären gar nicht möglich, wenn solche Informationen nicht übers Internet versendet werden könnten. Vertrauenswürdige Anbieter bemühen sich darum, sensible Daten technisch so gut wie möglich zu schützen. Sie arbeiten mit Zertifikaten, mehrstufigen Authentifizierungsverfahren und zuverlässiger Verschlüsselung. Aber eine Schwachstelle können die Anbieter von Onlinediensten nicht abdecken: Phishing zielt auf die Leichtgläubigkeit von Menschen ab und kann selbst technisch versierte Nutzer dazu manipulieren, persönliche Informationen bereitwillig in unbefugte Hände zu geben.

Phishing: Datendiebstahl per Social Engineering

Social Engineering ist die geschickte Manipulation von Personen, um ein gewünschtes Verhalten herbeizuführen. Im Fall von Phishing wollen Angreifer möglichst viele Personen dazu bringen, freiwillig und gutgläubig Informationen zu offenbaren. Schon eine einstellige Erfolgsquote kann bei solch großflächigen Angriffen sehr lukrativ sein. Das Ziel von Phishing ist, anonym persönliche Informationen zu stehlen, die in irgendeiner Form gewinnbringend verwertet werden können. Ein typisches Beispiel wäre der Diebstahl von Bankinformationen, mit welchen den Opfern letztendlich Geld vom Konto gestohlen werden kann.

Phishing per E-Mail

Eine sehr weit verbreitete Methode für Phishing ist es, massenhaft gefälschte E-Mails zu versenden. Häufig sind beispielsweise E-Mails in Umlauf, in denen ein namhafter Onlineshop oder eine Bank um die Aktualisierung von persönlichen Daten zu bitten scheint. Aufmachung und Inhalt der E-Mails wirken auf den ersten Blick offiziell: Sie enthalten Farben, Logos und Designelemente, die typisch für den jeweiligen Anbieter sind. Oberflächlich wirken auch die Nachrichten vertrauenswürdig. Gute Fälschungen überzeugen durch fehlerfreie Rechtschreibung und eine glaubhaft formulierte Botschaft. Das Gesamtbild wirkt authentisch und erzeugt beim Empfänger den Eindruck, dass die Nachricht tatsächlich von einem legitimen Absender verschickt wurde. Weitere beliebte Themen in Phishing-Mails sind angeblich ausstehende Rechnungen oder Mahnungen, Konten, die ohne Rückmeldung des Kunden automatisch deaktiviert werden, oder Gewinnbenachrichtigungen für Gewinnspiele mit verlockenden Preisen. Die Themen sind so gewählt, dass sie Opfer über starke emotionale Reaktionen oder aus purer Neugier zu unüberlegten Handlungen verleiten können. In der E-Mail platziert der Betrüger dann noch einen Link oder einen Button. Dieser soll das Opfer angeblich direkt zu dem Formular bringen, über das es seine veralteten Bankdaten aktualisieren oder sein unsicheres Passwort erneuern kann.

Phishing über gefälschte Webseiten

In Wirklichkeit wird das Opfer beim Klick auf den Link oder Button auf eine Webseite gebracht, die ebenfalls vom Angreifer gefälscht wurde. Genau wie die E-Mails können diese Webseiten täuschend echt wirken. Sie dienen jedoch einzig dazu, die persönlichen Daten der Opfer zu sammeln. Bei näherer Betrachtung stellt sich normalerweise heraus, dass die angeblich echte Webseite nur eine hübsche Fassade ist. Dennoch fallen immer wieder Menschen auf die geschickten Fälschungen herein und füllen die Formulare pflichtbewusst aus.

Phishing über Nachrichtendienste und Social Media

Digitale Kommunikation hört nicht bei E-Mails auf. Heute gibt es unzählige Wege, auf denen sich Informationen verbreiten können. Auf Social-Media-Seiten wie Facebook lassen sich Links zu gefälschten Webseiten und Falschinformationen zum Beispiel sehr einfach verbreiten. Ein geschickt gewählter, reißerischer Titel kann dazu führen, dass Nutzer den Inhalt sogar gerne und massenhaft untereinander teilen. Und auch per SMS oder über einen Nachrichtendienst wie WhatsApp können Angreifer schädliche Links verbreiten, die wie legitime Informationen wirken.

Gezielte Angriffe mit gefälschten Nachrichten

Normalerweise richten sich die Angriffe wahllos an ein breit gestreutes Publikum aus zufälligen Personen. Es gibt jedoch Varianten, die auf bestimmte Personengruppen zugeschnitten sind. Ziele von Spear Phishing können zum Beispiel die Mitarbeiter eines bestimmten Unternehmens oder einzelne Personen sein. Die Nachrichten werden mit größerem Aufwand gefälscht. Die Opfer werden oft gründlich recherchiert, um die schädlichen Botschaften glaubhaft an die jeweilige Personengruppe oder sogar an Individuen anzupassen. Persönliche oder vertrauliche Details aus dem privaten und geschäftlichen Umfeld der Zielperson helfen den Betrügern dabei, vertrauenswürdig und authentisch zu wirken. Oft geben sich die Täter als Geschäftskontakte oder entfernte Bekannte aus. Ziel des Angriffs könnten beispielsweise mehrere Mitarbeiter einer Abteilung sein. Sie erhalten eine E-Mail von einem vermeintlichen Vorgesetzten, die einen schädlichen Link enthält. Klickt ein Mitarbeiter auf den Link, wird Schadsoftware ins Firmennetz geschleust, mit der Geschäftsgeheimnisse ausspioniert oder die IT-Systeme des Unternehmens beschädigt werden können. Whaling ist eine nochmals aufwendigere Sonderform, die sich speziell an hochrangige Personen wie Führungskräfte richtet.

Schutz vor Phishing

Technische Sicherheitslücken können durch strenge Sicherheitsvorkehrungen relativ gut abgedeckt werden. Phishing zielt aber auf die Neugier und Gutgläubigkeit von Menschen ab. Sorgfältig geplante Angriffe sind technisch nicht immer zuverlässig zu erkennen. Wirklich hilfreich gegen Phishing ist im Prinzip nur, Nutzer präventiv über die Gefahren aufzuklären oder generell alle Dateianhänge und Links aus eingehenden Mails zu isolieren.

Phishing auf mobilen Endgeräten

Das Risiko von Phishing ist auf mobilen Endgeräten noch größer als am Desktop. Ein Großteil des Web Traffics kommt mittlerweile von mobilen Endgeräten und allein dadurch sind sie anfälliger und auch interessanter für Angreifer. Viele Phishing-Attacken werden mittlerweile über Messenger Apps oder Social Media Apps initiiert.