Aktualisiert: 17. Mai 2024
Mitwirkender: Matthew Kosinski
Phishing-Angriffe nutzen betrügerische E-Mails, Textnachrichten, Telefonanrufe oder Websites, um Menschen dazu zu verleiten, sensible Daten weiterzugeben, Malware herunterzuladen oder sich auf andere Weise der Cyberkriminalität auszusetzen.
Phishing-Betrug ist eine Form des Social Engineering. Im Gegensatz zu anderen Cyberangriffen, die direkt auf Netzwerke und Ressourcen abzielen, nutzen Social-Engineering-Angriffe menschliches Versagen, gefälschte Geschichten und Drucktaktiken, um die Opfer so zu manipulieren, dass sie sich selbst oder ihrem Unternehmen ungewollt Schaden zufügen.
Bei einem typischen Phishing-Versuch gibt sich ein Hacker als jemand aus, dem das Opfer vertraut, z. B. als Kollege, Chef, Autoritätsperson oder Vertreter einer bekannten Marke. Der Hacker sendet eine Nachricht, die das Opfer auffordert, eine Rechnung zu bezahlen, einen Anhang zu öffnen, auf einen Link zu klicken oder eine andere Aktion durchzuführen.
Da sie der vermeintlichen Quelle der Nachricht vertrauen, folgt der Benutzer den Anweisungen und tappt direkt in die Falle des Betrügers. Diese „Rechnung” könnte direkt zum Konto eines Hackers führen. Dieser Anhang installiert möglicherweise Ransomware auf dem Gerät des Benutzers. Dieser Link könnte den Benutzer auf eine Website führen, die Kreditkartennummern, Bankkontonummern, Anmeldedaten oder andere personenbezogene Daten stiehlt.
Phishing ist bei Cyberkriminellen beliebt und äußerst effektiv. Laut des Bericht über die Kosten einer Datenschutzverletzung von IBM ist Phishing der häufigste Vektor für Datenschutzverletzungen, der 16 % aller Verstöße ausmacht. Durch Phishing verursachte Sicherheitsverletzungen kosten Unternehmen im Durchschnitt 4,76 Millionen USD und liegen damit über den durchschnittlichen Kosten von 4,45 Millionen USD.
Phishing ist eine erhebliche Bedrohung, weil es eher menschliche als technische Schwachstellen ausnutzt. Angreifer müssen nicht direkt in Systeme eindringen oder Cybersicherheitstools überlisten. Sie können Menschen, die autorisierten Zugriff auf ihr Ziel haben – sei es Geld, sensible Informationen oder etwas anderes – dazu bringen, ihre schmutzige Arbeit zu erledigen.
Phisher können einsame Betrüger oder raffinierte kriminelle Banden sein. Sie können Phishing für viele bösartige Zwecke einsetzen, darunter Identitätsdiebstahl, Kreditkartenbetrug, Gelddiebstahl, Erpressung, Kontoübernahmen, Spionage und mehr.
Phishing-Ziele reichen von ganz normalen Menschen bis hin zu großen Unternehmen und Regierungsbehörden. In einem der bekanntesten Phishing-Angriffe nutzten russische Hacker eine gefälschte E-Mail zum Zurücksetzen des Passworts, um Tausende von E-Mails von Hillary Clintons US-Präsidentschaftskampagne 2016 zu stehlen.1
Da bei Phishing-Betrügereien Menschen manipuliert werden, können Standard-Netzwerküberwachungstools und -Techniken diese Angriffe nicht immer aufdecken. Bei dem Angriff auf die Clinton-Kampagne hielt sogar der IT-Help Desk der Kampagne die gefälschten E-Mails zum Zurücksetzen des Passworts für echt.
Um Phishing zu bekämpfen, müssen Unternehmen fortschrittliche Tools zur Erkennung von Bedrohungen mit einer soliden Mitarbeiterschulung kombinieren, um sicherzustellen, dass die Benutzer Betrugsversuche genau erkennen und sicher darauf reagieren können.
Unser X-Force-Team aus Hackern, Respondern, Forschern und Geheimdienstanalysten steht Ihnen zur Verfügung, um die spezifischen Sicherheitsprobleme Ihres Unternehmens zu erörtern und herauszufinden, wie wir helfen können.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Das Wort „Phishing“ spielt auf die Tatsache an, dass Betrüger attraktive „Köder“ verwenden, um ihre Opfer auszutricksen, ähnlich wie Angler Köder verwenden, um Fische zu fangen. Beim Phishing sind die Köder betrügerische Nachrichten, die glaubwürdig erscheinen und starke Emotionen wie Angst, Gier und Neugier wecken.
Die Art der Köder, die Phishing-Betrüger verwenden, hängt davon ab, auf wen und was sie aus sind. Einige gängige Beispiele für Phishing-Angriffe sind:
Beim Massen-E-Mail-Phishing versenden Betrüger wahllos Spam-E-Mails an so viele Personen wie möglich und hoffen, dass ein Teil der Zielpersonen auf den Angriff hereinfällt.
Betrüger erstellen oft E-Mails, die den Anschein erwecken, von großen, seriösen Unternehmen zu stammen, wie z. B. Banken, Online-Händlern oder den Herstellern beliebter Apps. Indem sie sich als bekannte Marken ausgeben, erhöhen die Betrüger die Wahrscheinlichkeit, dass ihre Zielpersonen Kunden dieser Marken sind. Wenn eine Zielperson regelmäßig mit einer Marke interagiert, ist es wahrscheinlicher, dass sie eine Phishing-E-Mail öffnet, die vorgibt, von dieser Marke zu stammen.
Cyberkriminelle geben sich große Mühe, um Phishing-E-Mails echt aussehen zu lassen. Sie verwenden möglicherweise das Logo und die Marke des imitierten Absenders. Sie können E-Mail-Adressen fälschen, um den Anschein zu erwecken, dass die Nachricht von der Domäne des falschen Absenders stammt. Sie könnten sogar eine echte E-Mail des falschen Absenders kopieren und sie für bösartige Zwecke verändern.
Betrüger schreiben E-Mail-Betreffzeilen, um starke Emotionen anzusprechen oder ein Gefühl der Dringlichkeit zu erzeugen. Gewiefte Betrüger verwenden Betreffe, die der falsche Absender tatsächlich ansprechen könnte, wie z. B. „Problem mit Ihrer Bestellung“ oder „Ihre Rechnung liegt bei“.
Im Text der E-Mail wird der Empfänger zu einer scheinbar vernünftigen Handlung aufgefordert, die zur Preisgabe vertraulicher Informationen oder zum Herunterladen von Malware führt. Ein Phishing-Link könnte beispielsweise lauten: „Klicken Sie hier, um Ihr Profil zu aktualisieren.“ Wenn das Opfer auf diesen bösartigen Link klickt, wird es auf eine gefälschte Website geleitet, die seine Anmeldedaten stiehlt.
Einige Betrüger stimmen ihre Phishing-Kampagnen auf Feiertage und andere Ereignisse ab, bei denen die Menschen empfänglicher für Druck sind. So häufen sich beispielsweise Phishing-Angriffe auf Amazon-Kunden rund um den Prime Day, das jährliche Verkaufsereignis des Online-Händlers.2 Betrüger verschicken E-Mails mit gefälschten Angeboten und Zahlungsproblemen, um von der mangelnden Wachsamkeit der Menschen zu profitieren.
Spear-Phishing ist ein gezielter Phishing-Angriff auf eine bestimmte Person. Das Ziel ist in der Regel jemand mit privilegiertem Zugang zu sensiblen Daten oder besonderen Befugnissen, die der Betrüger ausnutzen kann, wie z.B. ein Finanzmanager, der Geld von Firmenkonten abheben kann.
Ein Spear-Phisher studiert sein Ziel, um die Informationen zu sammeln, die er benötigt, um sich als jemand auszugeben, dem das Ziel vertraut, z. B. als Freund, Chef, Mitarbeiter, Lieferant oder Finanzinstitut. Soziale Medien und professionelle Netzwerkseiten – wo Menschen öffentlich Kollegen gratulieren, Anbieter empfehlen und dazu neigen, zu viel zu teilen – sind reichhaltige Informationsquellen für Spear-Phishing-Recherchen.
Spear-Phisher nutzen ihre Nachforschungen, um Nachrichten zu verfassen, die bestimmte persönliche Details enthalten, so dass sie für die Zielperson sehr glaubwürdig erscheinen. Ein Spear-Phisher könnte sich zum Beispiel als Chef der Zielperson ausgeben und eine E-Mail mit folgendem Inhalt senden: „Ich weiß, dass Sie heute Abend in den Urlaub fahren, aber können Sie diese Rechnung bitte noch heute vor Geschäftsschluss bezahlen?“
Ein Spear-Phishing-Angriff, der auf eine Führungskraft, eine wohlhabende Person oder ein anderes hochrangiges Ziel abzielt, wird oft als Whale-Phishing oder Whaling-Angriff bezeichnet.
BEC ist eine Klasse von Spear-Phishing-Angriffen, bei denen versucht wird, Geld oder wertvolle Informationen – zum Beispiel Geschäftsgeheimnisse, Kundendaten oder Finanzinformationen – von einem Unternehmen oder einer anderen Organisation zu stehlen.
BEC-Angriffe können verschiedene Formen annehmen. Zwei der häufigsten sind:
- CEO-Betrug: Der Betrüger gibt sich als leitender Angestellter aus, oft indem er das E-Mail-Konto des Angestellten übernimmt. Der Betrüger sendet eine Nachricht an einen untergeordneten Mitarbeiter, in der er ihn anweist, Geld auf ein betrügerisches Konto zu überweisen, einen Kauf bei einem betrügerischen Anbieter zu tätigen oder Dateien an eine nicht autorisierte Partei zu senden.
- E-Mail-Kontokompromittierung (EAC): Der Betrüger kompromittiert das E-Mail-Konto eines Mitarbeiters der unteren Ebene, z. B. das Konto eines Managers in den Bereichen Finanzen, Vertrieb oder Forschung und Entwicklung. Der Betrüger verwendet das Konto, um betrügerische Rechnungen an Lieferanten zu senden, andere Mitarbeiter anzuweisen, betrügerische Zahlungen zu leisten, oder um Zugriff auf vertrauliche Daten zu beantragen.
BEC-Angriffe gehören zu den kostspieligsten Cyberattacken, bei denen die Betrüger oft Millionen von Dollar stehlen. In einem bemerkenswerten Fall hat eine Gruppe von Betrügern mehr als 100 Millionen USD von Facebook und Google gestohlen, indem sie sich als legitimer Softwareanbieter ausgab.3
Einige BEC-Betrüger wenden sich von diesen aufsehenerregenden Taktiken ab und starten stattdessen kleinere Angriffe auf mehr Ziele. Laut der Anti-Phishing Working Group (APWG) nahmen BEC-Angriffe im Jahr 2023 zu, aber die Betrüger verlangten im Durchschnitt bei jedem Angriff weniger Geld.4
SMS-Phishing oder Smishing verwendet gefälschte Textnachrichten, um Ziele auszutricksen. Die Betrüger geben sich in der Regel als Mobilfunkanbieter des Opfers aus und senden eine SMS, in der sie ein „kostenloses Geschenk“ anbieten oder den Benutzer auffordern, seine Kreditkartendaten zu aktualisieren.
Einige Betrüger geben sich als US Postal Service oder ein anderes Versandunternehmen aus. Sie senden Textnachrichten, in denen den Opfern mitgeteilt wird, dass sie eine Gebühr zahlen müssen, um ein bestelltes Paket zu erhalten.
Voice Phishing oder Vishing ist Phishing per Telefonanruf. Die Zahl der Vishing-Vorfälle ist in den letzten Jahren explodiert und wird nach Angaben der APWG zwischen 2022 und 2023 um 260 % steigen.5 Der Anstieg des Vishings ist zum Teil auf die Verfügbarkeit der Voice-over-IP-Technologie (VoIP) zurückzuführen, die Betrüger nutzen können, um täglich Millionen von automatisierten Vishing-Anrufen zu tätigen.
Betrüger nutzen oft die Fälschung von Anrufer-IDs, um ihre Anrufe so aussehen zu lassen, als kämen sie von seriösen Unternehmen oder lokalen Telefonnummern. Vishing-Anrufe erschrecken die Empfänger in der Regel mit Warnungen vor Problemen bei der Kreditkartenabwicklung, überfälligen Zahlungen oder Problemen mit dem Gesetz. Die Empfänger stellen den Cyberkriminellen sensible Daten oder Geld zur Verfügung, um ihre Probleme zu „lösen“.
Beim Social-Media-Phishing werden Social Media-Plattformen genutzt, um Menschen zu täuschen. Betrüger nutzen die integrierten Messaging-Funktionen der Plattformen – beispielsweise Facebook Messenger, LinkedIn InMail und X (früher Twitter) DMs – auf die gleiche Weise, wie sie E-Mails und Textnachrichten verwenden.
Betrüger geben sich oft als Benutzer aus, die die Hilfe der Zielperson benötigen, um sich in ihr Konto einzuloggen oder einen Wettbewerb zu gewinnen. Auf diese Weise stehlen sie die Anmeldedaten der Zielperson und übernehmen deren Konto auf der Plattform. Diese Angriffe können besonders kostspielig für Opfer sein, die dieselben Passwörter für mehrere Konten verwenden – eine allzu häufige Praxis.
Betrüger entwickeln ständig neue Phishing-Techniken, um nicht entdeckt zu werden. Zu den jüngsten Entwicklungen gehören:
KI-Phishing verwendet generative künstliche Intelligenz (KI), um Phishing-Nachrichten zu erstellen. Diese Tools können maßgeschneiderte E-Mails und Textnachrichten generieren, die keine Rechtschreibfehler, grammatikalischen Ungereimtheiten und andere typische Anzeichen von Phishing-Versuchen aufweisen.
Generative KI kann auch Betrügern helfen, ihre Operationen zu skalieren. Laut dem X-Force Threat Intelligence Indexvon IBMbenötigt ein Betrüger 16 Stunden, um eine Phishing-E-Mail manuell zu erstellen. Mit KI können Betrüger in nur fünf Minuten noch überzeugendere Nachrichten erstellen.
Betrüger verwenden auch Bildgeneratoren und Sprachsynthesizer, um ihre Betrügereien noch glaubwürdiger zu machen. Im Jahr 2019 nutzten Angreifer beispielsweise KI, um die Stimme des CEO eines Energieunternehmens zu klonen und einen Bankmanager um 243.000 USD zu betrügen.7
Quishing verwendet gefälschte QR-Codes, die in E-Mails und Textnachrichten eingebettet oder in der realen Welt veröffentlicht werden. Quishing ermöglicht es Hackern, bösartige Websites und Software unbemerkt zu verstecken.
So warnte die US Federal Trade Commission (FTC) im vergangenen Jahr vor einem Betrug, bei dem Kriminelle QR-Codes auf öffentlichen Parkuhren durch eigene Codes ersetzen, um Zahlungsdaten zu stehlen.6
Hybride Vishing-Angriffe kombinieren Voice-Phishing mit anderen Methoden, um Spam-Filter zu umgehen und das Vertrauen der Opfer zu gewinnen.
Ein Betrüger könnte zum Beispiel eine E-Mail senden, die vorgibt, vom Finanzamt zu kommen. Diese E-Mail teilt der Zielperson mit, dass es ein Problem mit ihrer Steuererklärung gibt. Um das Problem zu lösen, muss das Opfer eine in der E-Mail angegebene Telefonnummer anrufen, die es direkt mit dem Betrüger verbindet.
Die Details können von Betrug zu Betrug variieren, aber es gibt einige allgemeine Anzeichen, die darauf hinweisen, dass es sich bei einer Nachricht um einen Phishing-Versuch handeln könnte. Zu diesen Anzeichen gehören:
Phishing-Betrügereien versuchen, den Opfern ein Gefühl der Dringlichkeit zu vermitteln, damit sie schnell und unüberlegt handeln. Betrüger tun dies oft, indem sie starke Emotionen wie Angst, Gier und Neugierde wecken. Sie könnten Fristen setzen und unrealistische Konsequenzen androhen, wie z. B. Gefängnisstrafen.
Gängige Phishing-Methoden sind:
- „Es gibt ein Problem mit Ihrem Konto oder Ihren Bankdaten. Sie müssen diese sofort aktualisieren, um den Zugriff nicht zu verlieren.”
- „Wir haben illegale Aktivitäten entdeckt. Bezahlen Sie dieses Bußgeld jetzt, sonst werden Sie verhaftet.“
- „Sie haben ein kostenloses Geschenk gewonnen, aber Sie müssen es sofort einfordern.“
- „Diese Rechnung ist überfällig. Sie müssen sie sofort bezahlen, oder wir werden Ihnen den Strom abstellen.“
- „Wir haben eine spannende Investitionsmöglichkeit für Sie. Zahlen Sie jetzt Geld ein und wir garantieren Ihnen unglaubliche Renditen.“
Phishing-Betrüger verlangen in der Regel eines von zwei Dingen: Geld oder Daten. Unaufgeforderte oder unerwartete Anfragen nach Zahlungen oder persönlichen Daten können Anzeichen für Phishing-Angriffe sein.
Die Betrüger tarnen ihre Geldforderungen als überfällige Rechnungen, Bußgelder oder Gebühren für Dienstleistungen. Sie tarnen die Informationsanfragen als Mitteilungen zur Aktualisierung von Zahlungs- oder Kontoinformationen oder zum Zurücksetzen eines Passworts.
Viele Phishing-Banden operieren international, was bedeutet, dass sie Phishing-Nachrichten oft in Sprachen verfassen, die sie nicht fließend beherrschen. Daher enthalten viele Phishing-Versuche grammatikalische Fehler und Ungereimtheiten.
Nachrichten von seriösen Marken enthalten oft spezifische Details. Sie könnten Kunden mit Namen ansprechen, auf bestimmte Auftragsnummern verweisen oder genau erklären, was das Problem ist. Eine vage Meldung wie „Es liegt ein Problem mit Ihrem Konto vor“ ohne weitere Details ist ein Warnsignal.
Betrüger verwenden häufig URLs und E-Mail-Adressen, die auf den ersten Blick legitim erscheinen. Zum Beispiel könnte eine E-Mail von „admin@rnicrosoft.com“ sicher erscheinen, aber schauen Sie noch einmal nach. Das „m“ in „Microsoft“ ist eigentlich ein „r“ und ein „n“.
Eine weitere gängige Taktik ist die Verwendung einer URL wie „bankingapp.scamsite.com“. Ein Benutzer könnte denken, dass dieser Link zu bankingapp.com führt, aber in Wirklichkeit verweist er auf eine Subdomain von scamsite.com. Hacker könnten auch Link-Shortening-Dienste nutzen, um bösartige URLs zu verschleiern.
Betrüger senden möglicherweise Dateien und Anhänge, die das Ziel nicht angefordert hat und nicht erwartet. Sie könnten Bilder von Text anstelle von tatsächlichem Text in Nachrichten und Webseiten verwenden, um Spam-Filter zu umgehen.
Manche Betrüger verweisen auf brisante Themen, um ihre Opfer zu verunsichern. Beispielsweise stellte IBM X-Force fest, dass Betrüger häufig den Krieg in der Ukraine nutzten, um die Emotionen ihrer Opfer zu wecken.
Da Phishing-Betrügereien auf Menschen abzielen, sind Mitarbeiter oft die erste und letzte Verteidigungslinie eines Unternehmens gegen diese Angriffe. Unternehmen können Benutzern beibringen, wie sie die Anzeichen von Phishing-Versuchen erkennen und auf verdächtige E-Mails und Textnachrichten reagieren. Dazu gehört auch, dass Sie Ihren Mitarbeitern die Möglichkeit geben, Phishing-Versuche an das IT- oder Sicherheitsteam zu melden.
Unternehmen können auch Richtlinien und Praktiken einführen, die es Phishern erschweren, erfolgreich zu sein.
So können Unternehmen ihren Mitarbeitern beispielsweise verbieten, Geldtransfers per E-Mail zu veranlassen. Sie können von Mitarbeitern verlangen, Geld- oder Informationsanfragen zu überprüfen, indem sie den Antragsteller auf andere Weise als in der Nachricht angegeben kontaktieren. So können Mitarbeiter beispielsweise eine URL direkt in ihren Browser eingeben, anstatt auf einen Link zu klicken, oder die Büroleitung eines Kollegen anrufen, anstatt auf eine SMS von einer unbekannten Nummer zu antworten.
Unternehmen können Mitarbeiterschulungen und Unternehmensrichtlinien durch Sicherheitstools ergänzen, die dabei helfen, Phishing-Nachrichten zu erkennen und Hacker zu vereiteln, die über Phishing in Netzwerke eindringen.
- Spam-Filter und E-Mail-Sicherheitssoftware verwenden Daten über bestehende Phishing-Betrügereien und Algorithmen des maschinellen Lernens, um Phishing-E-Mails und andere Spam-Nachrichten zu identifizieren. Betrug und Spam werden dann in einen separaten Ordner verschoben, in dem bösartige Links und Code gelöscht werden.
- Antiviren- und Antimalware-Software kann schädliche Dateien oder Codes, die in Phishing-E-Mails enthalten sind, erkennen und neutralisieren.
- Mithilfe einerMulti-Faktor-Authentifizierung kann die Übernahme von Benutzerkonten durch Hacker verhindert werden. Phisher können Passwörter stehlen, aber es ist viel schwieriger, einen zweiten Faktor wie einen Fingerabdruck-Scan oder einen Einmal-Passcode zu stehlen.
- Endpunktsicherheitstools wie Endpoint Detection and Response (EDR) und Unified Endpoint Management (UEM)-Lösungen können künstliche Intelligenz (KI) und fortschrittliche Analysen nutzen, um Phishing-Versuche abzufangen und Malware zu blockieren.
- Webfilter verhindern, dass Benutzer bekannte bösartige Websites besuchen und zeigen Warnungen an, wenn Benutzer verdächtige Seiten besuchen. Diese Tools können dazu beitragen, Schäden zu minimieren, wenn ein Benutzer auf einen Phishing-Link klickt.
- Unternehmenslösungen für die Cybersicherheit, wie etwa Security Orchestration, Automation and Response (SOAR) und Sicherheitsinformationen und Ereignismanagement (SIEM)-Plattformen, nutzen KI und Automatisierung, um anomale Aktivitäten zu erkennen und darauf zu reagieren. Diese Lösungen können dazu beitragen, Phisher zu stoppen, die versuchen, Malware zu installieren oder Konten zu übernehmen.
Führen Sie KI-gesteuerte Risikobewertungen nahezu in Echtzeit durch und schützen Sie wichtige Apps und Daten mit den mobile Security-Lösungen von IBM.
Bieten Sie eine nahtlose Customer Experience und schaffen Sie Vertrauen in die digitale Identität mit KI-gestützter Betrugserkennung in Echtzeit.
IBM Security Trusteer Rapport hilft Finanzinstituten, Malware-Infektionen und Phishing-Attacken zu erkennen und zu verhindern, indem es deren Privat- und Geschäftskunden schützt.
Bleiben Sie über Phishing-Neuigkeiten, Trends und Präventionstechniken auf dem Laufenden bei Security Intelligence, dem Vordenker-Blog von IBM® Security.
Erfahren Sie, warum und wie Unternehmen Phishing-Simulationen einsetzen, um ihre Verteidigung gegen Social Engineering-Angriffe zu stärken.
Ursachen für Datenschutzverletzungen zu kennen und über die Faktoren, die Kosten erhöhen bzw. senken, informiert zu sein, hilft dabei, besser vorbereitet zu sein. Basierend auf den Erfahrungen von mehr als 550 Unternehmen, die mit realen Datenschutzverletzungen konfrontiert waren.
Fußnoten
Alle Links befinden sich außerhalb von ibm.com
1 Wie russische Hacker in Clintons Wahlkampf-E-Mails eindrangen. Associated Press. 4. November 2017.
2 Wie es Cyberkriminelle auf Amazon Prime Day-Kunden abgesehen haben. TechRepublic. 6. Juli 2022.
3 Wie ein Betrüger Phishing-E-Mails nutzte, um über 100 Millionen USD von Google und Facebook zu stehlen. CNBC. 27. März 2019.
4, 5 Bericht zu Trends bei Phishing-Aktivitäten (PDF, 3,6 MB). Anti-Phishing-Arbeitsgruppe. 13. Februar 2024.
6 Quishing ist das neue Phishing. ZDNET. 11. Dezember 2023.
7 Der panische Anruf eines Verwandten? Es könnte ein Betrüger sein, der einen Stimmenklon benutzt, warnt die FTC. NPR. 22. März 2023.