Awareness

7 Arten von Phishing und wie sie funktionieren

Aktualisiert am

Phishing gilt allgemein als die größte Gefahr im Internet. Vor allem die recht hohe Erfolgsquote bei wenig Aufwand machen diesen Angriff so attraktiv.

Phishing selbst beschreibt dabei die Methode, sensible und oft sicherheitsrelevante Daten mithilfe von Tricks zu ergattern. Beispielsweise gefälschte Links, E-Mails, Nachrichten von vermeintlichen Chefs oder seit neustem sogar Videoanrufe mittels Deepfake. Es wird zudem immer schwieriger, die Phishing-Attacken zu erkennen, doch genau das ist notwendig, um sich vor selbigen schützen zu können.

In diesem Beitrag werden wir Ihnen heute die gängigsten, populärsten und risikoreichsten Arten von Phishing aufzeigen. Damit möchten wir Sie für die verschiedenen Attacken sensibilisieren. Nur wer weiß, wo Betrüger warten, kann sich vorab entsprechend schützen und seine Mitarbeiter im Unternehmen darüber aufklären.

1. Phishing Websites

Die größte Gefahr geht sicherlich von Phishing Websites aus. Meist handelt es sich dabei um große Websites wie Facebook, YouTube oder Google, die von Angreifern gezielt kopiert werden. Diese Websites besitzen dann vornehmlich ähnlich klingende Domains, sodass dies wenig bis gar nicht auffällt und nicht weiter in Erscheinung tritt. Ein klassisches Beispiel ist »gooogle.de« anstelle von »google.de«. Solche Tippfehler-Domains werden auf den ersten Blick nicht bemerkt, weshalb sie als authentisch wahrgenommen werden. Außerdem bauen Kriminelle die Websites optisch oft bis in das kleinste Detail nach, sodass die Seite wirklich genauso aussieht wie das Original. Doch wer sich hier einloggt, gibt dann nicht nur seinen Nutzernamen, sondern auch sein Passwort preis, weil es sich um eine Phishing Website, also eine täuschend echte Fälschung handelt.

2. Phishing Mails

Eine weitere extrem gefährliche Methode sind Phishing Mails. Phishing E-Mails sind vermutlich die bekannteste Art von Phishing. Dabei werden willkürlich E-Mail-Adressen gesammelt, um diese dann mit Phishing Mails zuspammen zu können. In diesen E-Mails sind dann Links zu den eben bereits erwähnten Phishing Websites vorhanden. Anders als bei den Phishing Websites, wo es oft um Domains mit Tippfehlern oder ähnlich klingende Namen geht, wird sich in den Phishing E-Mails jedoch meist nicht sonderlich viel Mühe gegeben. Die Links werden versteckt und leiten einfach auf eine Website um, die nur rudimentär ähnlich aussieht, dessen Domain aber größtenteils ganz anders lautet. In den Mails ist dann vielfach eine Aufforderung zur Verifizierung der Accountdaten mit entsprechenden Links vorhanden. Oder aber es handelt sich um eine Warnung, dass das eigene Konto in Gefahr ist, wenn nicht sofort reagiert und bestätigt wird, dass es sich um den Eigentümer handelt. Der Schreckmoment solcher Nachrichten führt oft dazu, dass diese nicht weiter hinterfragt und die Links angeklickt werden.

3. Spear Phishing

Eine sehr konzentrierte Form des Phishings ist das sogenannte Spear Phishing. Das beschreibt eine Phishing-Attacke, die besonders zielgerichtet und oft auch ereignisbezogen stattfindet. Es handelt sich also nicht um massenhaft verschickte Mails oder Tippfehler-Domains, sondern um sehr personalisierte Angriffe. Vergleichen wir das mit der normalen Phishing-Attacke, wo E-Mails beispielsweise sehr offen formuliert werden, damit möglichst viele Menschen angesprochen werden und auf den Angriff hereinfallen, ist Spear Phishing weitaus raffinierter. Hier werden Personen unter Umständen sogar direkt angesprochen, weil diese den Angreifern bestens bekannt sind. Oder aber es geht um spezielle Mitarbeiter in einem Unternehmen, die eine Phishing Mail mit Bezug auf ihre Arbeit und Abteilung erhalten. Spear Phishing beschreibt also eine recht individuelle Phishing Attacke, die ein bestimmtes Ziel verfolgt und sich dafür relativ viel Mühe gibt, um den Erfolg zu forcieren. Mehr zu Spear Phishing finden Sie in unserem Artikel zum Thema, über das wir in der Vergangenheit bereits ausführlich berichtet haben.

4. Suchmaschinen Phishing

Suchmaschinen Phishing ist auch unter vielen anderen Namen bekannt. SEO Poisoning beispielsweise oder auch SEO Trojaner. Dabei wird oft mit Open-Source-Software geködert, die zum Download angeboten wird. Häufig für Software, die noch keine eigene Website hat oder dessen Website extrem veraltet aussieht. Hier erstellen Angreifer dann eine frische, seriös wirkende Website und platzieren einen infizierten Download der Software. Suchmaschinen Phishing heißt es deshalb, weil diese Websites in erster Linie das Ziel haben, sich vor den eigentlich offiziellen Websites zu platzieren. Sie stehen also statt der Website des Entwicklers auf Platz 1 bei Google, was bei den Suchenden dann logischerweise dafür sorgt, dass sie das seriös wirkende Angebot als das echte wahrnehmen. Auch deshalb, weil die Originalwebsite bei derartiger Software oft weniger seriös und häufig auch einfach sehr veraltet erscheint.

5. Vishing

Beim Vishing, ein Kofferwort aus Voice und Phishing, werden über Anrufe etwaige Kontonummern, Daten, Passwörter oder weitere Angaben zu erhalten. Hin und wieder sind die Anrufe eher zufällig, doch meistens wissen die Anrufer und somit Angreifer bereits, wer am anderen Ende der Leitung sitzt und was genau sie von diesem ergaunern möchten. Es gibt auch Anrufe als Videotelefonie, bei denen mittels Deepfake eine Person (unter anderem der Vorgesetzte) imitiert wird. Jüngst wurde ein Telefonat von Vitali Klitschko mit der Politikerin Franziska Giffey gefälscht. Es ist wichtig, dass alle Mitarbeiter im Unternehmen darüber Bescheid wissen, dass so etwas wirklich passieren kann und auch passiert. Außerdem müssen Anrufe, die sensible Daten einfordern, immer per Rückruf bestätigt werden, bevor irgendwelche Betriebsgeheimnisse offenbart oder weitergegeben werden.

7. Smishing

Früher waren hier vorwiegend SMS-Nachrichten gemeint, doch heute sind es gefälschte iMessage-Mitteilungen, WhatsApp-Nachrichten sowie natürlich auch sämtliche Nachrichtensysteme aus den sozialen Netzwerken. Doch auch SMS-Nachrichten werden noch verschickt, meist mit gefälschten Paketverfolgungslinks oder Links zu einer angeblichen Zwei-Faktor-Authentifizierung. Immer wieder werden auch gezielt Mitarbeiter via Instagram oder Facebook angeschrieben, um dort auf einer persönlichen Ebene Kontakte zu knüpfen, die anschließend zu den gewünschten Informationen führen. Mal ist es klassisches Phishing, mal wird es kombiniert mit realen Treffen, die am Ende doch nur dazu dienen, etwaige Passwörter oder Zugänge im privaten Umfeld zu ergaunern. Nachrichten Phishing ist manchmal ganz einfach zu erkennen und manchmal sehr hinterhältig. Beispielsweise dann, wenn eine Beziehung aufgebaut wird, um an die Daten zu gelangen. Auch hier ist es wichtig, dass sich alle Mitarbeiter über derartige Angriffe im Klaren sind und wissen, dass diese tatsächlich vorkommen können.

Schutz durch eine Phishing Simulation

Wie zuletzt bereits mehrfach erwähnt, hilft beim Phishing vornehmlich eine bestmögliche Aufklärung. Das hat ganz einfach damit zu tun, dass Phishing-Attacken immer dann erfolgreich sind, wenn die potenziellen Opfer nicht darüber Bescheid wissen, dass derartige Angriffe stattfinden. Wer nicht weiß, dass eine Website auch gefälscht sein kann, rechnet eben einfach nicht damit. Wer nicht weiß, dass Anrufe Fake sein können, beantwortet jedem seriösen Gesprächspartner auch bereitwillig sämtliche Fragen, ohne diese gesondert einer stillen Prüfung zu unterstellen.

Aufklärung ist also wichtig. Alle Mitarbeiter müssen darüber informiert werden, welche Phishing-Methoden es aktuell gibt und wie häufig diese tatsächlich stattfinden. Auf diese Weise sind sie vorgewarnt und können im Ernstfall richtig und vor allem auch sicher auf derartige Attacken reagieren.

Wir von der AWARE7 GmbH kümmern uns darüber hinaus um sogenannte Phishing Simulationen und führen diese gerne auch in Ihrem Unternehmen durch. Damit trainieren wir alle Mitarbeiter im Umgang mit potenziell schadhaften E-Mails und erklären ihnen, worauf dabei zu achten ist, um Phishing bestmöglich zu vermeiden. Ein schwieriges Thema, welches intern oft nicht sonderlich gut aufgearbeitet werden kann. Gerne springen wir daher ein und kümmern uns darum, alle im Team dafür entsprechend zu sensibilisieren, um die Sicherheit damit massiv zu erhöhen.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.