Was ist Phishing?

Phishing-Angriffe sind eine Form des Social Engineering. Im Gegensatz zu anderen Cyberangriffen, die direkt auf Netzwerke und Ressourcen abzielen, nutzen Social-Engineering-Angriffe menschliche Fehler, falsche Geschichten und Druckmittel, um die Opfer so zu manipulieren, dass sie sich selbst oder ihren Unternehmen unbeabsichtigt schaden.

Bei einem typischen Phishing-Betrug gibt sich ein Hacker als jemand aus, dem das Opfer vertraut, z. B. als Kollege, Chef, Autoritätsperson oder Vertreter einer bekannten Marke. Der Hacker sendet eine Nachricht, die das Opfer auffordert, eine Rechnung zu bezahlen, einen Anhang zu öffnen, auf einen Link zu klicken oder eine andere Aktion durchzuführen.

Da der Nutzer dem vermeintlichen Absender der Nachricht vertraut, folgt er den Anweisungen und tappt so direkt in die Falle des Betrügers. Eine „Rechnung” könnte direkt zum Konto eines Hackers führen. Ein Anhang installiert möglicherweise Ransomware auf dem Gerät des Benutzers. Ein Link könnte den Benutzer auf eine Website führen, die Kreditkartennummern, Bankkontonummern, Anmeldedaten oder andere personenbezogene Daten stiehlt.

Phishing ist bei Cyberkriminellen beliebt und äußerst effektiv. Laut des Data Breach Kostenreports von IBM ist Phishing der häufigste Vektor für Datenschutzverletzungen, der 15 % aller Verstöße ausmacht. Durch Phishing verursachte Sicherheitsverletzungen kosten Unternehmen durchschnittlich 4,88 Millionen US-Dollar.

Phishing ist eine erhebliche Bedrohung, weil es eher menschliche als technische Schwachstellen ausnutzt. Angreifer müssen nicht direkt in Systeme eindringen oder Cybersicherheitstools überlisten. Sie können Menschen, die autorisierten Zugriff auf ihr Ziel haben, ob Geld, sensible Informationen oder etwas anderes, dazu bringen, die Arbeit für sie zu erledigen.

Bei Phishern kann es sich um Einzelbetrüger oder raffinierte kriminelle Banden handeln. Sie setzen Phishing für viele bösartige Zwecke ein, etwa Identitätsdiebstahl, Kreditkartenbetrug, Gelddiebstahl, Erpressung, Kontoübernahmen oder Spionage.

Phishing-Ziele reichen von ganz normalen Menschen bis hin zu großen Unternehmen und Regierungsbehörden. In einem der bekanntesten Phishing-Angriffe nutzten russische Hacker eine gefälschte E-Mail zum Zurücksetzen des Passworts, um Tausende von E-Mails von Hillary Clintons US-Präsidentschaftskampagne 2016 zu stehlen.¹

Da bei Phishing-Betrügereien Menschen manipuliert werden, können Standard-Netzwerküberwachungstools und -Techniken diese Angriffe nicht immer aufdecken. Bei dem Angriff auf die Clinton-Kampagne hielt sogar der IT-Help Desk der Kampagne die gefälschten E-Mails zum Zurücksetzen des Passworts für echt. 

Um Phishing zu bekämpfen, müssen Unternehmen fortschrittliche Tools zur Erkennung von Bedrohungen mit einer soliden Mitarbeiterschulung kombinieren, um sicherzustellen, dass die Benutzer Betrugsversuche genau erkennen und sicher darauf reagieren können.

Das Wort „Phishing“ spielt auf die Tatsache an, dass Betrüger attraktive „Köder“ verwenden, um ihre Opfer auszutricksen, ähnlich wie Angler Köder verwenden, um Fische zu fangen. Beim Phishing sind die Köder betrügerische Nachrichten, die glaubwürdig erscheinen und starke Emotionen wie Angst, Gier und Neugier wecken. 

Welche Köder Phishing-Betrüger verwenden, hängt davon ab, auf wen und was sie es abgesehen haben. Einige gängige Beispiele für Phishing-Angriffe sind:

Beim Massen-E-Mail-Phishing versenden Betrüger wahllos Spam-E-Mails an so viele Personen wie möglich und hoffen, dass ein Teil der Zielpersonen auf den Angriff hereinfällt.

Betrüger erstellen oft E-Mails, die den Anschein erwecken, von großen, seriösen Unternehmen zu stammen, wie z. B. Banken, Online-Händlern oder den Herstellern beliebter Apps. Indem sie sich als bekannte Marken ausgeben, erhöhen die Betrüger die Wahrscheinlichkeit, dass ihre Zielpersonen Kunden dieser Marken sind. Wenn eine Zielperson regelmäßig mit einer Marke interagiert, ist es wahrscheinlicher, dass sie eine Phishing-E-Mail öffnet, die vorgibt, von dieser Marke zu stammen.

Cyberkriminelle geben sich große Mühe, um Phishing-E-Mails echt aussehen zu lassen. Sie verwenden möglicherweise das Logo und das Markendesign des imitierten Absenders. Sie fälschen möglicherweise E-Mail-Adressen, um den Anschein zu erwecken, dass die Nachricht von der Domäne des nachgeahmten Absenders stammt. Sie könnten sogar eine echte E-Mail des falschen Absenders kopieren und sie für bösartige Zwecke verändern.

Betrüger schreiben E-Mail-Betreffzeilen, um starke Emotionen anzusprechen oder ein Gefühl der Dringlichkeit zu erzeugen. Gewiefte Betrüger verwenden Betreffe, die der falsche Absender tatsächlich ansprechen könnte, wie z. B. „Problem mit Ihrer Bestellung“ oder „Ihre Rechnung liegt bei“.

Im Text der E-Mail wird der Empfänger zu einer scheinbar vernünftigen Handlung aufgefordert, die zur Preisgabe vertraulicher Informationen oder zum Herunterladen von Malware führt. Ein Phishing-Link könnte beispielsweise lauten: „Klicken Sie hier, um Ihr Profil zu aktualisieren.“ Wenn das Opfer auf diesen bösartigen Link klickt, wird es auf eine gefälschte Website geleitet, die seine Anmeldedaten stiehlt. 

Einige Betrüger stimmen ihre Phishing-Kampagnen auf Feiertage und andere Ereignisse ab, bei denen die Menschen empfänglicher für Druck sind. So häufen sich beispielsweise Phishing-Angriffe auf Amazon-Kunden rund um den Prime Day, das jährliche Verkaufsereignis des Online-Händlers.² Betrüger verschicken E-Mails mit gefälschten Angeboten und Zahlungsproblemen, um von der mangelnden Wachsamkeit der Menschen zu profitieren.

Spear-Phishing ist ein gezielter Phishing-Angriff auf eine bestimmte Person. Das Ziel ist in der Regel jemand mit privilegiertem Zugang zu sensiblen Daten oder besonderen Befugnissen, die der Betrüger ausnutzen kann, wie z. B. ein Finanzmanager, der Geld von Firmenkonten transferieren kann.

Ein Spear-Phisher studiert sein Ziel, um die Informationen zu sammeln, die er benötigt, um sich als jemand auszugeben, dem das Ziel vertraut, z. B. als Freund, Chef, Mitarbeiter, Lieferant oder Finanzinstitut. Soziale Medien und berufliche Netzwerke, wo Menschen öffentlich Kollegen gratulieren, Anbieter empfehlen und dazu neigen, zu viel zu teilen, sind reichhaltige Informationsquellen für Spear-Phishing-Recherchen.

Spear-Phisher nutzen ihre Nachforschungen, um Nachrichten zu verfassen, die bestimmte persönliche Details enthalten, so dass sie für die Zielperson sehr glaubwürdig erscheinen. Ein Spear-Phisher könnte sich zum Beispiel als Chef der Zielperson ausgeben und eine E-Mail mit folgendem Inhalt senden: „Ich weiß, dass Sie heute Abend in den Urlaub fahren, aber können Sie diese Rechnung bitte noch heute vor Geschäftsschluss bezahlen?“

Ein Spear-Phishing-Angriff, der auf eine Führungskraft, eine wohlhabende Person oder ein anderes hochrangiges Ziel abzielt, wird oft als Whale-Phishing- oder Whaling-Angriff bezeichnet.

BEC ist eine Klasse von Spear-Phishing-Angriffen, bei denen versucht wird, Geld oder wertvolle Informationen (zum Beispiel Geschäftsgeheimnisse, Kundendaten oder Finanzinformationen) von einem Unternehmen oder einer anderen Organisation zu stehlen.

BEC-Angriffe können verschiedene Formen annehmen. Zwei der häufigsten sind:

• CEO-Betrug: Der Betrüger gibt sich als leitender Angestellter aus, oft indem er das E-Mail-Konto des Angestellten übernimmt. Der Betrüger sendet eine Nachricht an einen untergeordneten Mitarbeiter, in der er ihn anweist, Geld auf ein betrügerisches Konto zu überweisen, einen Kauf bei einem betrügerischen Anbieter zu tätigen oder Dateien an eine nicht autorisierte Partei zu senden.
  
  
• E-Mail-Kontokompromittierung (EAC): Der Betrüger kompromittiert das E-Mail-Konto eines Mitarbeiters der unteren Ebene, z. B. das Konto eines Managers in den Bereichen Finanzen, Vertrieb oder Forschung und Entwicklung. Der Betrüger verwendet das Konto, um betrügerische Rechnungen an Lieferanten zu senden, andere Mitarbeiter anzuweisen, betrügerische Zahlungen zu leisten, oder um Zugriff auf vertrauliche Daten zu beantragen.

BEC-Angriffe gehören zu den kostspieligsten Cyberattacken, bei denen die Betrüger oft Millionen von Dollar stehlen. In einem bemerkenswerten Fall hat eine Gruppe von Betrügern mehr als 100 Millionen USD von Facebook und Google gestohlen, indem sie sich als legitimer Softwareanbieter ausgab.³

Einige BEC-Betrüger wenden sich von diesen aufsehenerregenden Taktiken ab und starten stattdessen kleinere Angriffe auf mehr Ziele. Laut der Anti-Phishing Working Group (APWG) nahmen BEC-Angriffe im Jahr 2023 zu, aber die Betrüger verlangten im Durchschnitt bei jedem Angriff weniger Geld.⁴

SMS-Phishing oder Smishing verwendet gefälschte Textnachrichten, um Ziele auszutricksen. Die Betrüger geben sich in der Regel als Mobilfunkanbieter des Opfers aus und senden eine SMS, in der sie ein „kostenloses Geschenk“ anbieten oder den Benutzer auffordern, seine Kreditkartendaten zu aktualisieren.

Einige Betrüger geben sich als ein bekanntes Versandunternehmen aus. Sie senden Textnachrichten, in denen den Opfern mitgeteilt wird, dass sie eine Gebühr zahlen müssen, um ein bestelltes Paket zu erhalten.

Voice Phishing oder Vishing ist Phishing per Telefonanruf. Die Zahl der Vishing-Vorfälle ist in den letzten Jahren explodiert und wird nach Angaben der APWG zwischen 2022 und 2023 um 260 % steigen.⁵ Der Anstieg des Vishings ist zum Teil auf die Verfügbarkeit der Voice-over-IP-Technologie (VoIP) zurückzuführen, die Betrüger nutzen können, um täglich Millionen von automatisierten Vishing-Anrufen zu tätigen. 

Betrüger fälschen oft Anrufer-IDs, um ihre Anrufe so aussehen zu lassen, als kämen sie von seriösen Unternehmen oder lokalen Telefonnummern. Vishing-Anrufe erschrecken die Empfänger in der Regel, indem sie sie über angebliche Probleme bei der Kreditkartenabwicklung, überfälligen Zahlungen oder mit dem Gesetz zu informieren. Die Empfänger stellen den Cyberkriminellen sensible Daten oder Geld zur Verfügung, um ihre Probleme zu „lösen“.

Beim Social-Media-Phishing werden Social-Media-Plattformen genutzt, um Menschen auszutricksen. Betrüger nutzen die integrierten Messaging-Funktionen der Plattformen, beispielsweise Facebook Messenger, LinkedIn InMail und X (früher Twitter) DMs, auf die gleiche Weise, wie sie E-Mails und Textnachrichten verwenden.

Betrüger geben sich oft als Benutzer aus, die die Hilfe der Zielperson benötigen, um sich in ihr Konto einzuloggen oder einen Wettbewerb zu gewinnen. Auf diese Weise stehlen sie die Anmeldedaten der Zielperson und übernehmen deren Konto auf der Plattform. Diese Angriffe können besonders kostspielig für Opfer sein, die dieselben Passwörter für mehrere Konten verwenden – eine allzu häufige Praxis.

Betrüger entwickeln ständig neue Phishing-Techniken, um nicht entdeckt zu werden. Zu den jüngsten Entwicklungen gehören:

KI-Phishing verwendet generative künstliche Intelligenz (KI), um Phishing-Nachrichten zu erstellen. Diese Tools können maßgeschneiderte E-Mails und Textnachrichten generieren, die keine Rechtschreibfehler, grammatikalischen Ungereimtheiten und andere typische Anzeichen von Phishing-Versuchen aufweisen.

Generative KI kann Betrügern helfen, ihre Operationen zu skalieren. Laut dem X-Force Threat Intelligence Index von IBM benötigt ein Betrüger 16 Stunden, um eine Phishing-E-Mail manuell zu erstellen. Mit KI können Betrüger in nur fünf Minuten noch überzeugendere Nachrichten erstellen.

Betrüger verwenden auch Bildgeneratoren und Sprachsynthesizer, um ihre Betrügereien noch glaubwürdiger zu machen. Im Jahr 2019 nutzten Angreifer beispielsweise KI, um die Stimme des CEO eines Energieunternehmens zu klonen und einen Bankmanager um 243.000 USD zu betrügen.⁷

Quishing verwendet gefälschte QR-Codes, die in E-Mails und Textnachrichten eingebettet oder in der realen Welt veröffentlicht werden. Quishing ermöglicht es Hackern, bösartige Websites und Software unbemerkt zu verstecken.

So warnte die US Federal Trade Commission (FTC) im vergangenen Jahr vor einem Betrug, bei dem Kriminelle QR-Codes auf öffentlichen Parkuhren durch eigene Codes ersetzen, um Zahlungsdaten zu stehlen.⁶

Hybride Vishing-Angriffe kombinieren Voice-Phishing mit anderen Methoden, um Spam-Filter zu umgehen und das Vertrauen der Opfer zu gewinnen.

Ein Betrüger könnte zum Beispiel eine E-Mail senden, die vorgibt, vom Finanzamt zu kommen. Diese E-Mail teilt der Zielperson mit, dass es ein Problem mit ihrer Steuererklärung gibt. Um das Problem zu lösen, muss das Opfer eine in der E-Mail angegebene Telefonnummer anrufen, die es direkt mit dem Betrüger verbindet.

Die Details können von Betrug zu Betrug variieren, aber es gibt einige allgemeine Anzeichen, die darauf hinweisen, dass es sich bei einer Nachricht um einen Phishing-Versuch handeln könnte. Zu diesen Anzeichen gehören:

Da Phishing-Betrügereien auf Menschen abzielen, sind Mitarbeiter oft die erste und letzte Verteidigungslinie eines Unternehmens gegen diese Angriffe. Unternehmen können Benutzern beibringen, wie sie die Anzeichen von Phishing-Versuchen erkennen und auf verdächtige E-Mails und Textnachrichten reagieren. Dazu gehört auch, dass Sie Ihren Mitarbeitern die Möglichkeit geben, Phishing-Versuche an das IT- oder Sicherheitsteam zu melden.

Unternehmen können auch Richtlinien und Praktiken einführen, die es Phishern erschweren, erfolgreich zu sein.

So können Unternehmen ihren Mitarbeitern beispielsweise verbieten, Geldtransfers per E-Mail zu veranlassen. Sie können von Mitarbeitern verlangen, Geld- oder Informationsanfragen zu überprüfen, indem sie den Antragsteller auf andere Weise als in der Nachricht angegeben kontaktieren. Zum Beispiel können Mitarbeiter eine URL direkt in ihren Browser eingeben, anstatt auf einen Link zu klicken, oder die Büronummer eines Kollegen wählen, anstatt auf eine SMS von einer unbekannten Nummer zu antworten.

Unternehmen können Mitarbeiterschulungen und Unternehmensrichtlinien durch Sicherheitstools ergänzen, die dabei helfen, Phishing-Nachrichten zu erkennen und Hacker abzuwehren, die über Phishing in Netzwerke eindringen.

• Spam-Filter und E-Mail-Sicherheitssoftware verwenden Daten über bestehende Phishing-Betrügereien und Algorithmen des maschinellen Lernens, um Phishing-E-Mails und andere Spam-Nachrichten zu identifizieren. Betrug und Spam werden dann in einen separaten Ordner verschoben, in dem bösartige Links und Code gelöscht werden.
  
  
• Antiviren- und Antimalware-Software kann schädliche Dateien oder Codes, die in Phishing-E-Mails enthalten sind, erkennen und neutralisieren.
  
  
• Mithilfe einerMulti-Faktor-Authentifizierung kann die Übernahme von Benutzerkonten durch Hacker verhindert werden. Phisher können Passwörter stehlen, aber es ist viel schwieriger, einen zweiten Faktor wie einen Fingerabdruck-Scan oder einen Einmal-Passcode zu stehlen.
  
  
• Endpunktsicherheitstools wie Endpoint Detection and Response (EDR) und Unified Endpoint Management (UEM) können künstliche Intelligenz (KI) und fortschrittliche Analysen nutzen, um Phishing-Versuche abzufangen und Malware zu blockieren. 
  
  
• Webfilter verhindern, dass Benutzer bekannte bösartige Websites besuchen, und zeigen Warnungen an, wenn sie verdächtige Seiten besuchen. Diese Tools können dazu beitragen, Schäden zu minimieren, wenn ein Benutzer auf einen Phishing-Link klickt.
   
• Unternehmenslösungen für die Cybersicherheit, wie etwa Security Orchestration, Automation and Response (SOAR)- und Security Information and Event Management (SIEM)-Plattformen, nutzen KI und Automatisierung, um anomale Aktivitäten zu erkennen und darauf zu reagieren. Diese Lösungen können dazu beitragen, Phisher zu stoppen, die versuchen, Malware zu installieren oder Konten zu übernehmen.