Phishing-Attacken: zehn häufige Methoden verständlich erklärt

Wir erläutern hier die zehn gängigsten Phishing-Attacken. Die Methoden der Cyberkriminellen werden dabei so verständlich wie möglich erklärt.

Wir haben bei Tarnkappe.info schon oft über die ungewöhnlichsten Phishing-Attacken berichtet. Die Täter nutzen höchst ausgefallene Methoden, um möglichst seriös zu wirken. Oder aber sie verunsichern ihre Opfer. Beispielsweise, indem sie sie schockieren oder mit einem Zeitlimit unter Druck setzen. Die Aktion, bei der man sich als Bundesgesundheitsminister Jens Spahn ausgab, ist nur eines von vielen Beispielen. Wir erklären ausführlich und möglichst verständlich, in welche Kategorien man Phishing-Attacken unterscheiden kann.

Warum funktionieren Phishing-Attacken eigentlich noch immer?

Phishing-Attacken sind Versuche, mithilfe von E-Mails, Webseiten, SMS oder Sozialen Medien die Identität und Daten der Opfer zu stehlen. Oder den Ziel-Rechner bzw. das Smartphone/Tablet-PC zu infizieren, um es zu verschlüsseln. Opfer der Phishing-Kampagnen können neben Privatpersonen auch Mitarbeiter von Unternehmen, Banken oder Online-Händlern sein. Die Phishing-Versuche sind immer ausgereifter und komplexer geworden. Zudem können sie in völlig unterschiedlichen Formen auftreten. Im Folgenden erfährst Du, welche das sein können.

1. Deceptive Phishing

Das Adjektiv deceptive bedeutet auf Deutsch irreführend bzw. betrügerisch. Bei dieser Art des Phishings geben sich die Betrüger als eine bekannte Organisation, Behörde oder ein bekanntes Unternehmen aus. Manchmal auch als ein Freund oder Arbeitskollege. Sie versuchen damit, sensible Daten zu stehlen. Dafür wird eine gefälschte Webseite erstellt, in der Du Anmeldedaten von Dir eingeben sollst. Die Jens Spahn-Kampagne, die es von seinem Ministerium natürlich nie gab, ist ganz klar ein Beispiel für Deceptive Phishing.

Diese E-Mails vermitteln oft ein Gefühl der Dringlichkeit, um Dich dazu zu drängen, deine Informationen preiszugeben. Das kann zum Beispiel der scheinbar dringende Handlungsbedarf hinsichtlich deines PayPal-, Kreditkarten- oder Bankkontos sein. Die Opfer sollen im Idealfall keine Zeit haben, über den Sinn oder Unsinn der empfangenen E-Mails nachdenken zu können.

Wie gesagt, der Online-Bezahldienst PayPal ist häufig Ziel von Cyberkriminellen. Warum? Ganz einfach, weil viele E-Mail-Empfänger dort ein Konto besitzen und die Chance höher ist, mit dem Phishing-Versuch zum Erfolg zu gelangen.

Was kann man dagegen tun?

Wer sich dagegen wehren will, sollte zuallererst seinen Kopf einsetzen. Manche Antiviren-Suits oder die Software von einigen VPN-Anbietern können ebenfalls bei der Erkennung solcher Phishing-Attacken helfen. Sie bieten dafür eine spezielle Funktion an, um gefährliche Webseiten automatisch zu erkennen und zu blockieren. Sobald Du eine Webseite besuchen möchtest, wird diese mit Webseiten auf einer schwarzen Liste abgeglichen, die bekanntermaßen als gefährlich gelten. Bei einem positiven Ergebnis gelangst Du erst gar nicht auf die Website. Wie wir schon berichtet haben, sind solche Listen alles andere als perfekt. Außerdem sind die Cyberkriminellen oft schneller mit dem Aufbau neuer Seiten, als man diese in die Listen integrieren kann. Das Ganze ist und bleibt also ein Katz-und-Maus-Spiel, bei dem es keinen endgültigen Gewinner gibt.

Merke: Als Nutzer solcher Lösungen ist man nie perfekt geschützt. Das Hirn zu benutzen, davor bewahrt einem auch kein VPN. Hier kannst Du Dir beim NordVPN Review einen Überblick über das Angebot dieses Anbieters verschaffen. Bilde Dir einfach selbst ein Bild und vergleiche die einzelnen VPN-Anbieter untereinander. Das haben wir in den letzten Monaten auch schon häufiger getan.

Hacker, Phishing

2. Spear Phishing – Phishing-Attacken, die viel Vorarbeit benötigen

Hierbei setzen die Cyberkriminellen nicht auf Massen von E-Mails, die an potenzielle Opfer gesendet werden, sondern sie wählen bestimmte Personen innerhalb eines Unternehmens aus. Das bedeutet, dass die Nachrichten stärker auf die einzelnen Zielpersonen abgestimmt sind. Die Nachricht ist also wie ein gezielter Nadelstich. (spear bedeutet Speer in Deutsch).

Ziel ist es ebenfalls, Daten zu stehlen, aber auch den PC des Empfängers mit Malware (Schadsoftware) zu infizieren. Mit dem Spear Phishing wollen die Angreifer Zugriff auf das Netzwerk oder einzelne Konten des Opfers erhalten.

3. CEO Fraud, auch genannt Business Email Compromise

Ein Hacker gibt sich als CEO (Geschäftsführer, Vorgesetzter) eines Unternehmens aus und schickt eine E-Mail an einen untergeordneten Mitarbeiter – vorzugweise in der Buchhaltungs- oder Finanzabteilung. Darin fordert er das Opfer auf, Geld auf ein gefälschtes Konto zu überweisen.

Die Cyberkriminellen setzen ihre Hoffnung in diesem Fall darauf, dass solche E-Mails aufgrund der vorgetäuschten Autorität selten in Frage gestellt werden. Wer legt sich schon gerne mit seinem Vorgesetzten an, um dessen Anweisungen zu hinterfragen? Nur kommen die Kommandos halt gar nicht vom CEO, sondern ein Hacker hat die E-Mail-Adresse des Geschäftsführers übernommen oder aber er täuscht die Adresse des Absenders lediglich vor. Wie man sieht, nutzen Cyberkriminelle gerne psychologische Tricks, um an ihr Ziel zu gelangen.

Vishing

Lesen Sie auch

4. Vishing

Dies ist die Abkürzung für Voice Phishing. Die Täter rufen per Telefon ihr Opfer an. Sie geben sich beim Anruf als vertrauenswürdige Person aus – zum Beispiel als Mitarbeiter einer Behörde oder Bank. Der Bankmitarbeiter könnte Dir erzählen, dass es zu Problemen bei deinem Bankkonto gekommen ist, heißt es dann. Um den „Vorfall“ zu beheben, müsse man mal eben telefonisch Deine persönlichen Daten abgleichen und somit Deine Identität verifizieren.

Beim Opfer, also bei Dir, ruft man damit unmittelbare Ängste hervor, weil es um das eigene Bankkonto geht. Der beste Schutz dagegen ist ein gesundes Misstrauen gegen unbekannte Telefonnummern. Zudem würden Unternehmen, Banken und Behörden niemals Deine persönlichen Daten per Telefon erfragen. Doch was nutzen die ganzen Warnhinweise auf den Websites der Firmen, wenn bei einem Vishing-Angriff die regulären Denkprozesse der Angerufenen beeinträchtigt werden. Schließlich will man ja wieder vollen Zugriff auf das eigene Girokonto oder die Kreditkarte haben, nicht wahr?

5. Smishing

Kürzlich gab es eine Smishing-Attacke im großen Ausmaß. Grund dafür war ein Datenleck bei Facebook. Davon waren weltweit 500 Millionen Menschen betroffen. Die Täter nutzten die in diversen Hacker-Foren aufgetauchten Datenbanken, respektive die Telefonnummern, um bei ihrer Aktion z.B. massenweise Kurznachrichten (SMS) zu verschicken.

In den SMS gaben sie sich als Paketdienste wie DHL & Co. aus. Damit wollten sie die Empfänger dazu verleiten, auf einen Link zu klicken, der sie zu einer Internet-Seite führte, auf der ein Banking-Trojaner installiert war.

Viele SMS – nicht nur in dem genannten Fall – sehen täuschend echt aus. Du solltest generell misstrauisch werden, wenn Dir die Nummer nicht bekannt ist, auffallend viele Tipp- und Rechtschreibfehler sichtbar sind, oder z.B. kein Absendername angezeigt wird. Doch wie gesagt, manche Cyberkriminelle haben ihre Nachrichten hoch professionell gestaltet, damit man ihnen nicht so schnell auf die Schliche kommt. Eine gesunde Portion Skepsis ist aber nie verkehrt!

Phishing

6. Pharming

Bei dieser Art des Phishing-Angriffs ist das Ziel ein DNS-Server. Sie wollen die IP-Adresse der damit verbundenen Webseite ändern. In manchen Fällen kann auch der PC des Opfers vorab infiziert sein. Dadurch sollen User auf eine gefälschte Webseite umgeleitet werden und wiederum Daten von sich preisgeben. Das Perfide daran ist, dass der Link, auf den Du klickst, dieselbe Webadresse wie das Original verwendet.

Um zu vermeiden, Opfer eines solchen Phishing-Angriffs zu werden, ist es entscheidend, Webseiten stets auf ihre Vertrauenswürdigkeit zu prüfen. Das gilt vor allem, wenn Du über Links darauf zugreifst. Das ist natürlich für Laien leichter gesagt als getan.

7. Whaling – die hohe Kunst der Phishing-Attacken

Das Whaling (Walfang) ist gemeinhin nicht so bekannt, weil die Medien seltener darüber berichten. Dabei haben die Hacker stets eine ausgewählte, hochrangige Führungskraft eines Unternehmens im Visier. Man wählt die Person sorgfältig danach aus, an welche Daten die Kriminellen kommen wollen. Zunächst generieren sie perfekt zugeschnittene E-Mails mit Informationen aus Suchmaschinen und Social Media. Insbesondere eigenen sich dafür Informationen aus Business-Netzwerken wie LinkedIn oder das deutschsprachige Xing. In den Nachrichten benutzen die Hacker die korrekte Anrede mit Titel, Namen, Berufsbezeichnung und Details, die die E-Mail vertrauenswürdig erscheinen lassen. Das weitere Vorgehen entspricht dem Spear Phishing. Doch wenn mittels des Whaling die Übernahme des Ziel-Rechners gelingen sollte, bekommt man die Gewalt über einen PC mit extrem umfangreichen Befugnissen. Entsprechend krass sehen die Schäden solcher Whaling-Attacken aus.

Nicht nur, aber vor allem Führungskräfte sollten so wenig persönliche Informationen wie möglich von sich preisgeben. Es ist nicht sonderlich schwer, bei LinkedIn das Profil eines Managers zu faken (nachzumachen), um damit Kontaktanfragen bei hochrangigen CEOs etc. zu stellen. Sollte man die Anfrage bestätigen, erhält der Kriminelle entsprechend mehr Informationen aus dem Leben des Opfers. Gute und regelmäßig stattfindende Mitarbeiterschulungen sind sinnvoll für alle Ebenen eines Konzerns, wie man an diesem Beispiel ablesen kann.

8. Clone Phishing

Zu den komplizierten Phishing-Attacken gehört auch das Clone Phishing. Dabei erstellen die Täter mithilfe einer echten, rechtmäßigen E-Mail mit Anhang, die das Opfer bereits bekommen hat, eine fast identische E-Mail. Diese verschicken die Hacker dann von einer E-Mail-Adresse, die bei den Empfängern legitim wirkt. Alle Links und Anhänge der ursprünglichen E-Mail tauscht man durch böswillige aus. Die Kriminellen verwenden dabei oft die Ausrede, dass es in der vorhergehenden E-Mail angeblich Probleme mit den Links und Anhängen gegeben haben soll. Man möchte Dich damit dazu verleiten, diese Links nochmals anzuklicken oder einen verseuchten Anhang auszuführen. Man setzt auf die Vertrauenswürdigkeit der Ursprungs-Mail. Wenn man Dir eine E-Mail mit gleichem Anhang mehrfach zustellt, sollte Dich das misstrauisch machen. Es könnte sich dabei um eine Clone Phishing-Attacke handeln.

Fidor Bank fldor.be

9. Watering Hole Phishing

Die Täter suchen bzw. recherchieren ganz gezielt nach Websites, die Mitarbeiter eins Unternehmens zu beruflichen Zwecken am häufigsten besuchen. Das kann beispielsweise die Website eines Lieferanten sein, mit dem Deine Firma häufig zusammenarbeitet. Für die Übernahme des PCs muss auf der Homepage des Lieferanten eine Schadsoftware wie ein Drive-By-Trojaner installiert werden. Sollte man die Website des Lieferanten tatsächlich derart umfangreich infizieren können, lädt die Malware die Schadsoftware automatisch schon beim Besuch der Seite hoch. Beim Watering Hole Phishing hat man es oft auf das Eindringen in ein umfangreiches Firmen-Netzwerk abgesehen. Es geht um sensible Informationen, die die Angreifer kopieren wollen.

Du als Besucher kannst leider nicht von außen erkennen, ob die besuchte Website (des Lieferanten) schon zu einem Watering Hole (Wasserloch) umfunktioniert wurde. Da hilft lediglich ein hohes Niveau an generellen IT-Sicherheitsmaßnahmen im jeweiligen Unternehmen. Doch das kostet Geld und genau das möchten sich viele Firmenchefs lieber sparen. An die teuren Folgen dieser Sparmaßnahmen denken viele CEOs erst, wenn es schon zu spät ist.

10. Evil Twin

Auf den ersten Blick hat das Verfahren eher wenig mit dem Thema Phishing gemeinsam. Der Evil Twin ist ein betrügerischer WLAN-Zugangspunkt, den man als legitimen WLAN-Zugangspunkt tarnt. Die dunklen Gesellen, wie Sunny sie nennt, können damit ohne Dein Wissen Informationen sammeln, sollte die Verbindung unverschlüsselt sein. Der Hacker muss sich dafür in unmittelbarer Nähe eines Hot-Spots oder Freifunk-Zugangspunktes aufhalten und per geeigneter Software dessen Funkfrequenz und den SSID (Service Set Identifier) herausfinden. Anschließend sendet der Hacker sein eigenes Funksignal mit gleicher SSID. Wenn der Benutzer dann eine Verbindung herstellt, kann der Angreifer den nicht verschlüsselten Netzwerk-Verkehr mitlesen.

Um zu verhindern, dass der Angreifen die Chance hat, Netzwerkverkehr unverschlüsselt abzufangen oder zu manipulieren, kann ein VPN eingesetzt werden. Grundsätzlich sollte man unterwegs ohne VPN keine Daten wie den Login bei Amazon, Deiner Bank oder Kreditkarte eingeben. Jeder ungeschützte Login kann abgefangen und missbräuchlich benutzt werden. Evil Twin kommt im Vergleich zu den anderen Phishing-Attacken nicht so oft vor, weil der Hacker dabei physisch anwesend sein muss. Und sei es, um anfangs einen Empfänger bzw. Sender zu installieren, der dann die WLAN-Daten vom Ort des Geschehens an das eigene Gerät überträgt.

Fazit zum Thema Phishing-Attacken

Häufig hilft es, das Gehirn einzuschalten, bevor man auf eine Nachricht reagiert. Aber eben nicht immer. Manchmal sind die Methoden so ausgefeilt, dass auch Experten schon darauf hereingefallen sind.

Tarnkappe.info

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem bringt Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.