IT-Security

Phishing-Schutz: So erkennen Sie Phishing und schützen sich

27. April 2021 von PSW GROUP Redaktion
phishing-schutz-tipps
© magann - stock.adobe.com

5
(2)

Im Rahmen unserer Serie über Identitätsdiebstahl im Internet dreht sich der heutige Beitrag ums Phishing: Das ist der Versuch von Cyberkriminellen, an Informationen wie Kennungen und Passwörter zu gelangen. Dazu nutzen sie verschiedene Methoden, die wir Ihnen heute genauso vorstellen wie die verschiedenen Kanäle, auf denen gephisht wird. Zu guter Letzt zeigen wir Ihnen außerdem, wie Sie sich gegen Phishing wappnen, also einen effizienten Phishing-Schutz aufbauen, um Ihre privaten Informationen zu schützen.

Was ist Phishing?

Beim Phishing versuchen Cyberkriminelle, sich Daten zu „angeln“ – daher auch der Begriff: Das Wort „Phishing“ leitet sich vom Englischen „fishing“ sowie „password harvesting“ („Passwörter ernten“) ab. Abgefangene Daten sollen dann für kriminelle Handlungen genutzt werden, meist zum Schaden des Opfers, dessen Daten „geangelt“ wurden. Häufig zielen die Kriminellen auf Online-Banking-Zugangsdaten ab. Doch auch Kennungen und Passwörter von E-Mail-Accounts, sozialen Netzwerken sowie Online-Shops stehen im Fokus beim Phishing.

Durch ergaunerte Zugangsdaten ist es den Kriminellen beispielsweise möglich, Identitätsdiebstahl zu begehen. Dies versetzt den Phisher in die Lage, den Ruf des Opfers zu schädigen, ihm finanziellen Schaden zuzufügen oder Waren unter dem Namen des Opfers zu bestellen. Durch ergaunerte Daten ist es jedoch auch möglich, Hackerangriffe auf Unternehmen zu fahren oder im Namen eines Unternehmens betrügerische Websites zu erstellen.

Phishing ist vielseitig: die Methoden

Es gibt zahlreiche Methoden, mit denen kriminelle Phisher versuchen, ihre Opfer in die Falle zu locken. Sie zu kennen, ist der erste Schritt, sich einen effizienten Phishing-Schutz aufzubauen, denn so werden Sie kein leichtes Opfer.

Deceptive Phishing

Beim Deceptive Phishing handelt es sich um die gängigste Phishing-Methode: Angreifer versuchen, an sensible Informationen heranzukommen. Das gelingt ihnen beispielsweise durch das Fälschen von E-Mails oder Websites, die im professionellen Look daherkommen und deshalb keinen Verdacht erregen. Der Angreifer gibt in seiner E-Mail vor, die Mail oder die Website stamme von einer vertrauenswürdigen Organisation. Ein Beispiel soll verdeutlichen: Sie erhalten eine E-Mail, die offensichtlich von Ihrer Hausbank stammt – das Layout stimmt und auch das Logo Ihrer Hausbank ist enthalten. In der E-Mail lesen Sie, dass es aufgrund von technischen Störungen unumgänglich sei, dass Sie Ihre Bankdaten angeben und bestätigen. Als Sie den Link in der E-Mail klicken, landen Sie offenbar auf der Site Ihrer Hausbank und Sie können Ihre Daten eingeben.

Leider handelt es sich nicht um Ihre Hausbank, sondern Kriminelle haben Sie angeschrieben – unter der E-Mail-Adresse Ihrer Hausbank. Die Daten, die Sie auf der Website eingegeben haben, landeten direkt bei den Cyberkriminellen und können folglich nun für kriminelle Zwecke genutzt werden.

Zugegeben: Billig aufgezogene E-Mails mit schlecht gefälschten Logos und einer Orthographie zum Davonlaufen haben die Menschen für diese Art des Phishing-Angriffs etwas sensibilisiert. Jedoch wissen das auch die Kriminellen: Sie professionalisieren sich, sodass auch Ihre E-Mails nicht mehr so dilettantisch sind wie noch vor einigen Jahren. Und die Praxis zeigt leider: Je professioneller die E-Mail oder Zielseite gestaltet sind, umso größer wird die Gefahr fürs potenzielle Opfer.

Voraussetzung für diese Strategie ist das skrupellose Vortäuschen einer Notlage, die der Nutzende durch Klicken eines Links oder Eingabe von Informationen beenden kann. Damit soll eine Nutzeraktion angestoßen werden. Damit das gelingt, versuchen die Phisher das Gefühl von Dringlichkeit und Notwendigkeit beim Opfer zu erzeugen.

Spear Phishing

Spear Phishing ist eine besonders perfide Methode, die die Macher von Emotet genutzt haben. Alle Informationen zum Spear Phishing können Sie unserem Beitrag „Spear Phishing mit Emotet“ entnehmen.

Whaling

Um im Angler-Jargon zu bleiben: Beim Whaling jagen die Cyberkriminellen einen „großen Fisch“. Dabei geraten insbesondere Geschäftsführer in den Fokus der Phisher. Der eigentliche Angriff teilt sich in zwei Phasen: Wie schon beim Deceptive Phishing beschrieben, geht es in der ersten Phase darum, den „dicken Fisch“ zu ködern. Ist dies gelungen, folgt der zweite Teil – der CEO-Fraud oder CEO-Betrug. Man nutzt hier auch den Begriff „Business E-Mail Compromise“ (BEC).

In diesem zweiten Schritt hat sich der Hacker Zugang zum E-Mail-Account des Geschäftsführers verschafft. Er nimmt die Identität des Geschäftsführenden an und kann so über den gekaperten E-Mail-Account Informationen anfordern oder Transaktionen tätigen. So gelingt es den Betrügern beispielsweise, Überweisungen an Institutionen ihrer Wahl zu tätigen. Da Führungskräfte in aller Regel viele Zugriffs- sowie Genehmigungsrechte besitzen, zeigt sich Whaling für Kriminelle besonders lukrativ.

Pharming

Beim Pharming verschaffen sich Cyberkriminelle beispielsweise Zugang zum Domain Name System (DNS). Das DNS-System setzt auf DNS-Server, um Website-Namen in IP-Adressen zu übersetzen. Der kriminelle Pharmer greift beim Pharming also den DNS-Server an. Hier ändert er die IP-Adresse, die einer bestimmten Website zugeordnet ist. Der Kriminelle nutzt nun die betroffene Domain, um Besuchende der eigentlichen Website auf eine gefälschte Version umzuleiten. Auch wenn Besucher den korrekten Website-Namen eingeben, erfolgt diese Umleitung aufgrund der im Hintergrund eingerichteten Weiterleitung auf die Fake-Seite. Deshalb muss der Website-Besucher diese Weiterleitung nicht unbedingt bemerken. Jedoch besteht ab dem Moment des Umleitens für den Besucher die Gefahr, Daten ungewollt preiszugeben.

Clone Phishing

Beim Clone Phishing kreieren die Kriminellen auf Basis einer echten E-Mail eine fast identische Fälschung, jedoch werden Dateianhänge mit bösartiger Malware ersetzt – der Angreifer schafft also einen E-Mail-Klon. Mit einer ähnlichen E-Mail-Adresse wie die des eigentlichen Absenders sendet er seine geklonte Version der echten E-Mail an denselben Empfänger.

Die Gefährlichkeit dieser Phishing-Kampagnen ist als sehr hoch einzuschätzen, da die Kriminellen individuell vorgehen. In aller Regel gehen Opfer solcher Kampagnen davon aus, dass die zweite E-Mail ergänzende oder aktualisierte Informationen enthält – quasi ein Update der ersten und echten E-Mail. So geschieht es, dass der Anhang – bei der zweiten E-Mail ja durch Malware ersetzt – schneller und nicht sehr achtsam geöffnet wird.

Link-Manipulation

Bei der Link-Manipulation spricht man auch von URL-Spoofing. Mit dieser Methode soll dem Website-Besucher in betrügerischer Absicht eine falsche Identität vorgespielt bzw. die eigentliche Adresse der Website soll verschleiert werden. Beim Link-Spoofing ist die betrügerische URL sichtbar im Browser, während die Manipulation beim Frame-Spoofing nicht direkt erkennbar ist. URL-Spoofing wird beim Phishen so eingesetzt, dass dem Nutzenden vorgetäuscht wird, er befände sich auf einer bestimmten Website. In Wahrheit jedoch wurde er auf eine andere Website geleitet – vermutlich eine Fälschung von den Kriminellen.

URL-Spoofing wird durch Sicherheitslücken in Webbrowsern bzw. Webanwendungen ermöglicht. Bei Webanwendungen, die von Nutzenden übergebene Daten an Browser weiterleiten, kann das Missbrauchen vertrauenswürdiger Sites fürs Phishing besonders gefährlich werden. Tückisch ist die Tatsache, dass diese Methode auch bei HTTPS-gesicherten Websites funktioniert, ohne das SSL-Zertifikat dabei zu verletzen. Deshalb: Klicken Sie aufs Schlosssymbol, welches in der Adresszeile Ihres Browsers auftaucht. Extended Validation-Zertifikate (EV-Zertifikate) bieten Ihnen die Möglichkeit, die Identität des Website-Inhabers einzusehen und sich so von der Echtheit einer Website zu überzeugen.

Cross-Site-Scripting

Cross-Site-Scripting, XSS abgekürzt, meint das Einschleusen fremder und eventuell schädlicher JavaScripte in Websites. Dies ist nicht auf JavaScript-Sicherheitsprobleme zurückzuführen, sondern auf Sicherheitslücken in fehlerhaften Webanwendungen, die es ermöglichen, Daten auch aus nicht vertrauenswürdigen Quellen ungefiltert ins HTML einzubauen.

Angreifer können diese unsicheren Webanwendungen für ihre Machenschaften ausnutzen: Skripte lassen sich indirekt an die Opfer-Browser senden, um bösartigen Code auf Client-Seite auszuführen. Mit dieser Angriffsmethode können Cookie-Diebstahl, Keylogging oder eben auch Phishing ausgeführt werden: gefälschte Login-Formulare fragen Nutzernamen und Passwörter ab und übernehmen sie dann.

Phishing ist nicht nur ein E-Mail-Problem

Wie Sie aus unserer Auswahl an den eben beschriebenen Phishing-Methoden erkennen konnten, ist Phishing kein reines E-Mail-Problem. Die Angriffskanäle sind genauso vielfältig wie die Angriffsmethoden. Die gängigsten Kanäle stellen wir Ihnen im Folgenden vor:

  • E-Mail-Phishing: Nach wie vor ist das E-Mail-Phishing die gängigste Methode – hier wird die E-Mail als Köder eingesetzt.
  • Website-Phishing: Beim Website-Phishing werden Kopien von vertrauenswürdigen Websites erstellt, s. URL-Spoofing weiter oben. Popup-Fenster sind ebenfalls eine beliebte Quelle für Phishing.
  • Vishing: Diese Wortkreation kommt von „Voice Phishing“ und meint die Audio-Variante des Website-Phishings. Angreifende versuchen also, ihre Opfer telefonisch davon zu überzeugen, Informationen herauszugeben. Zahlreiche der automatischen Anrufe sind Versuche, Informationen über Vishing zu erhalten.
  • Smishing: Dieser Begriff meint das Phishing per SMS. Weitere Informationen über diesen Verbreitungskanal erhalten Sie in unserem Beitrag „Smishing-Gefahr: So funktioniert Phishing per SMS“.
  • Social Media-Phishing: Beim Phishing in sozialen Netzwerken können Angreifer Konten hacken und über diesen Identitätsdiebstahl schädliche Links an die Freunde dieser Konten schicken. Eine andere Methode wäre das Erstellen gefälschter Profile für Phishing-Zwecke.

Phishing-Schutz: So wappnen Sie sich gegen Phishing

Der effizienteste Phishing-Schutz ist tatsächlich das Wissen um Phishing. Möchten Sie Ihr Wissen testen? In unserem Phishing-Quiz können Sie genau das tun. Darüber hinaus schützen Sie sich vor Phishing-Attacken, wenn Sie diese Tipps beherzigen:

  • Auf dem Laufenden bleiben: Informieren Sie sich über IT-Sicherheit im Allgemeinen und Phishing im Besonderen. In unserem Blog, aber auch per Newsletter halten wir Sie immer auf dem Laufenden.
  • Rechtschreibung beachten: Wenngleich immer noch darauf hingewiesen wird, dass in betrügerischen E-Mails schlechte Rechtschreibung und Grammatik auf den Betrug hindeuten, hat sich dies leider geändert. Phisher und andere Cyberkriminelle professionalisieren sich, deshalb gelten schlechte Grammatik und Orthographie heute nicht mehr als ultimatives Erkennungszeichen betrügerischer Nachrichten. Natürlich können sich in betrügerischen Nachrichten diverse Fehler verstecken. Gehen Sie aber nicht davon aus, dass eine in einwandfreiem Deutsch verfasste Nachricht nicht von einem Betrüger stammen kann.
  • Gesunde Skepsis: Legen Sie bei E-Mails, Anrufen sowie Nachrichten über andere Kanäle grundsätzlich eine gesunde Skepsis an den Tag. Klicken Sie nicht allzu arglos auf Links und nutzen Sie Ihre Skepsis auch bevor Sie Anhänge herunterladen.
  • Verdächtige Nachrichten prüfen: Wie wir oben aufgezeigt haben, ist es ein Leichtes für Angreifer, Nachrichten so aussehen zu lassen, als stammen sie von jemandem, den Sie kennen. Prüfen Sie deshalb grundsätzlich die Herkunft und den Absender von Nachrichten (im Quelltext der E-Mail erhalten Sie weitere Informationen). Rufen Sie im Zweifel den vermeintlichen Absender an und informieren Sie sich darüber, ob die Nachricht tatsächlich von diesem Absender stammt. Bedenken Sie auch, dass seriöse Organisationen wie Ihre Hausbank Sie nie kontaktieren würde, um nach persönlichen Daten zu fragen. Prüfen Sie Links und Anhänge in Nachrichten kritisch, bevor Sie diese öffnen.
  • Vorsicht beim Antworten: Kommt Ihnen eine E-Mail verdächtig vor, so sollten Sie darauf verzichten, dem Absender direkt zu antworten. Beginnen Sie eine neue Kommunikation – und zwar immer nur über die offiziellen Kommunikationskanäle Ihres Unternehmens.
  • Sicherheitszertifikate: Prüfen Sie angegebene Sicherheitszertifikate oder –siegel bei Web-Diensten sowie Webseiten. Echte Siegel und Zertifikate sind anklickbar und Sie werden dann zum Zertifikate- bzw. Siegel-Anbieter weitergeleitet.
  • Passwörter: Nutzen Sie starke Passwörter und erstellen Sie für jeden von Ihnen genutzten Dienst separate Passwörter. Im Falle eines Datenvorfalls sind dann ausschließlich die beim jeweiligen Dienst verwendeten Zugangsdaten betroffen. Wie Sie sichere Passwörter erstellen, verraten wir Ihnen im Beitrag „Sichere Passwörter: Starke Passwörter erhöhen die Sicherheit“.
  • Sicher browsen: Setzen Sie auf einen sicheren Browser und nutzen Sie einen Add-Blocker. Idealerweise verschleiern Sie mittels VPN auch Ihre Surfspuren.

 

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu