Beim Phishing versuchen Angreifer Privat- oder Geschäftspersonen dazu zu verleiten, vertrauliche Informationen preiszugeben.

Bei einem Phishing-Angriff erhältst du beispielsweise einen Telefonanruf, eine Textnachricht oder eine E-Mail aus einer scheinbar seriösen, vertrauenswürdigen Quelle. Ziel ist es, sensible Daten wie Anmelde- und Kreditkarteninformationen zu stehlen oder Malware auf dem Computer des Opfers zu installieren. Die Angriffe können auch über E-Mail-Anhänge (Attachments) erfolgen, über die Schadsoftware auf den Rechner der angegriffenen Personen gelangt. Eine weitere Angriffsmöglichkeit sind Links (Hyperlinks) zu einer Website, die die Opfer dazu bewegen sollen, Schadsoftware herunterzuladen oder persönliche Informationen preiszugeben. Angreifer verwenden die Informationen beispielsweise, um Geld zu stehlen oder weitere Angriffe zu starten.

Welche Gefahren gehen von einem Phishing-Angriff aus?

Manchmal geben sich Angreifer damit zufrieden, Kreditkarteninformationen oder andere persönliche Daten eines Opfers zu erhaschen, um sich einen finanziellen Vorteil zu verschaffen. In anderen Fällen werden Phishing-E-Mails versendet, um Mitarbeiter-Login-Daten oder andere Details für einen weiterführenden Angriff (Ransomware) auf ein bestimmtes Unternehmen zu erhalten.

Welche Arten von Phishing gibt es?

E-Mail-Phishing

Die bekannteste Form – Betrüger verschicken gefälschte E-Mails, die aussehen, als kämen sie von Banken, Online-Shops oder anderen bekannten Firmen. Ziel ist es, an Passwörter oder Kontodaten zu kommen.

Office 365-Phishing

Office 365-Phishing ist eine Methode, um Zugriff auf ein Office 365-E-Mail-Konto zu erhalten. Dabei erhält die angegriffene Person eine gefälschten E-Mail von Microsoft. Die E-Mail enthält eine Anmeldeaufforderung und den dringlichen Hinweis, dass der Benutzer sein Passwort zurücksetzen muss, da er sich seit langer Zeit nicht mehr angemeldet hat oder weil es ein Problem mit dem Konto gibt. In der Mail ist eine URL enthalten, die den Benutzer dazu verleiten soll, darauf zu klicken, um das Problem zu beheben.

Pharming

Ähnlich wie beim Phishing leitet Pharming Benutzer auf eine betrügerische Website, die seriös erscheint. In diesem Fall müssen die Opfer jedoch nicht einmal auf einen schädlichen Link klicken, um auf die gefälschte Website weitergeleitet zu werden. Angreifer können entweder den Computer des Benutzers oder den DNS-Server der Website infizieren und den Benutzer auf eine gefälschte Website umleiten, selbst wenn die richtige URL eingegeben wird.

Smishing

Smishing bringt das Phishing auf mobile Geräte, indem es mobile Benutzer mit speziell gestalteten Textnachrichten anspricht. Benutzer sind oft vertrauensseliger gegenüber Textnachrichten. Beim Smishing werden deshalb überzeugende Phishing-SMS/Textnachrichten versendet, um ein potenzielles Opfer dazu zu bewegen, auf einen Link zu klicken, private Informationen preiszugegen oder Malware auf das Handy zu laden.

Spear-Phishing

Beim Spear-Phishing handelt es sich um gezielte Phishing-Attacken auf bestimmte Personen oder Unternehmen. Angreifer recherchieren ihre Opfer häufig in den Sozialen Medien und auf Websites. Sie befassen sich im Vorfeld gründlich mit ihren Opfern, so dass die Kommunikation vertrauenswürdig, individuell gestaltet und authentisch wirkt. Spear-Phishing-Angriffe lassen sich deshalb oft nur schwer erkennen.

Spear-Phishing ist oft der erste Schritt, um die Abwehrmaßnahmen eines Unternehmens zu durchdringen und einen gezielten Angriff durchzuführen. Laut dem aktuellen Bericht von Barracuda (Spear Phishing: Top-Bedrohungen und Trends, Vol. 7 März 2022) sind 51 % der Social Engineering-Angriffe Phishing.

Eine relativ simple Methode für einen Spear-Phishing-Angriff ist das sogenannte E-Mail-Spoofing. Dabei werden die Absender-Informationen der E-Mail gefälscht. Der Empfänger glaubt, den Absender zu kennen bzw. ihm vertrauen zu können.

Clone-Phishing

Eine echte E-Mail, die man schon einmal bekommen hat, wird kopiert und leicht verändert – z. B. mit einem neuen, gefährlichen Link oder Anhang.

Vishing

Vishing ähnelt dem Smishing, aber anstatt Textnachrichten zu verwenden, basieren die Angriffe auf Sprachanrufen.

Whaling

Whaling ähnelt dem Spear-Phishing, es richtet sich jedoch speziell an Führungspersönlichkeiten in Unternehmen. Der Angreifer hat es beim Whaling (Walfang) auf einen „großen Fisch“, wie zum Beispiel einen CEO abgesehen. Das Ziel ist dasselbe wie beim Spear-Phishing.

Social-Media-Phishing

Betrüger nutzen soziale Netzwerke (z. B. Instagram, Facebook oder LinkedIn), um über gefälschte Profile oder Direktnachrichten an persönliche Daten zu kommen.

Business E-Mail Compromise (BEC)

Angriffe auf Firmen: Die Täter geben sich als Chef oder Geschäftspartner aus, um Mitarbeiter zur Überweisung von Geld oder zur Weitergabe von Informationen zu bringen.

Typische Merkmale, die Phishing-E-Mails gemeinsam haben:

1. Verdächtiger Absender:
   Die E-Mail kommt von einer Adresse, die einer echten Firma ähnelt, aber leicht verändert ist.
2. Dringender Handlungsdruck:
   Es wird behauptet, man müsse sofort etwas tun – etwa ein Konto entsperren oder eine Rechnung bezahlen –, um Angst oder Stress auszulösen.
3. Ungewöhnliche Links oder Anhänge:
   Die Mail enthält Links, die auf gefälschte Webseiten führen, oder Anhänge, die Schadsoftware enthalten können.
4. Aufforderung zur Preisgabe persönlicher Daten:
   Man soll Passwörter, Kreditkartendaten oder andere vertrauliche Informationen angeben. Seriöse Unternehmen fragen so etwas nie per E-Mail.
5. Rechtschreib- und Grammatikfehler (heute seltener):
   Früher waren viele Phishing-Mails voller Fehler. Durch den Einsatz von KI sind sie heute sprachlich oft besser, können aber trotzdem unnatürlich oder unpersönlich klingen.
6. Allgemeine Anrede:
   Statt eines echten Namens steht meist nur „Sehr geehrter Kunde“ oder „Hallo Nutzer“.
7. Unglaubwürdige oder unklare Inhalte:
   Der Text wirkt übertrieben, unlogisch oder widersprüchlich.
8. Gefälschtes Design:
   Logos und Layout sehen auf den ersten Blick echt aus, doch kleine Details wie Farben, Schriftarten oder Formatierungen verraten die Fälschung.

Phishing-Mails sehen heute oft täuschend echt aus, weil Betrüger moderne Technik und KI nutzen. Trotzdem gibt es typische Merkmale, mit deren Hilfe du sie erkennen kannst – zum Beispiel verdächtige Absender, ungewöhnliche Links oder eine allgemeine Anrede. Deshalb sollte man immer vorsichtig sein, keine persönlichen Daten weitergeben und im Zweifel lieber direkt beim echten Anbieter nachfragen. So kann man sich am besten vor Betrug schützen.

Wie du dich vor Phishing schützen kannst:

1. Misstrauisch sein bei unbekannten Absendern:
   Öffne keine E-Mails, die dir komisch vorkommen oder von unbekannten Personen oder Firmen stammen.
2. Keine Links oder Anhänge anklicken:
   Klicke nie sofort auf Links oder öffne Anhänge, vor allem wenn die Mail dich dazu drängt. Lieber erst prüfen, ob die Nachricht echt ist.
3. Absender genau prüfen:
   Schau dir die E-Mail-Adresse genau an – kleine Unterschiede können verraten, dass sie gefälscht ist.
4. Persönliche Daten nie per E-Mail weitergeben:
   Seriöse Firmen fragen dich nie per Mail nach Passwörtern, Kreditkartennummern oder anderen sensiblen Daten.
5. Offizielle Webseiten direkt aufrufen:
   Statt auf Links in E-Mails zu klicken, die Adresse der Firma immer selbst im Browser eingeben.
6. Sichere Passwörter und Zwei-Faktor-Authentifizierung nutzen:
   So wird dein Konto zusätzlich geschützt, selbst wenn jemand dein Passwort kennt.
7. Software aktuell halten:
   Halte dein Betriebssystem, deinen Browser und dein Virenprogramm immer auf dem neuesten Stand, damit Sicherheitslücken geschlossen sind.
8. Nachdenken, bevor man reagiert:
   Wenn eine Nachricht dich unter Druck setzt oder zu schön klingt, um wahr zu sein – lieber erst überlegen oder jemanden fragen.

Du kannst dich gut vor Phishing schützen, wenn du aufmerksam bleibst und nicht auf verdächtige Nachrichten hereinfällst. Wer E-Mails genau prüft, keine persönlichen Daten weitergibt und nur über offizielle Webseiten handelt, ist auf der sicheren Seite. Außerdem helfen starke Passwörter, regelmäßige Updates und ein gesundes Misstrauen dabei, Betrüger abzuwehren.