Die Köder der Phisher

Phishing ist dann erfolgreich, wenn Betrüger an Passwörter und andere sensible Daten gelangen und damit Schaden anrichten. Wenn zum Beispiel das Konto von den Angreifern übernommen, die Identität gestohlen, man am eigenen Computer ausspioniert wird oder persönliche Daten abhandenkommen. Darüber hinaus kann aber auch ein Schaden für das eigene oder das tätige Unternehmen entstehen.

Durch Phishing ermöglichte Hackerangriffe oder Erpressungen – sogenannte Ransomware-Angriffe – können grossen Schaden anrichten, was mitunter bis zum kompletten Verlust der Daten und Systeme führen kann.

Wie beim Fischen gibt es auch beim Phishing viele Fangmethoden. Hier erfahren Sie mehr über die wichtigsten und verbreitetsten Phishing-Arten.

Spray-and-Pray-Phishing

Die einfachste Art und Weise, wie mit Phishing versucht wird, an Ihre Daten zu kommen, ist, eine mehr oder weniger echt wirkende Nachricht an Millionen von E-Mail-Adressen zu versenden. Der Absender hofft wie beim Angeln mit der Rute, dass immerhin ein paar Empfänger in die Falle tappen.

Clone-Phishing

Bei einem Clone-Phishing-Angriff wird auf Basis einer echten, zuvor gesendeten E-Mail eine nahezu identische E-Mail abgesetzt. Darin wurden die Anhänge oder Links durch Malware oder eine Phishing-Landingpage ersetzt. Die E-Mail ist so gefälscht, dass sie den Anschein erweckt, vom ursprünglichen Absender erneut versandt worden zu sein. Die E-Mail wird in aller Regel an eine grosse Zahl von Empfängern verschickt. Der Angreifer wartet nur darauf, dass die Opfer daraufklicken. Diese Art von Angriff gilt als die schädlichste, da es für die Opfer schwer ist, eine gefälschte E-Mail zu erkennen.

Spear-Phishing

Mit der Fischerrute können Sie vieles unter der Wasseroberfläche angeln – eine Forelle, einen Egli oder einen Fetzen Plastik. Beim Fischen mit dem Speer gehen Sie gezielt auf die Jagd nach einem bestimmten Fisch. Spear-Phishing-E-Mails werden personalisiert, wodurch sie an Glaubwürdigkeit gewinnen. Ein Angreifer weiss beispielsweise, wie Sie heissen, dass Sie eine bestimmte Software verwenden, oder er geht zumindest davon aus, dass Sie diese benutzen – fast jeder verwendet heute Microsoft Office. Er sendet nun eine E-Mail mit persönlicher Anrede, die wie eine Benachrichtigung aussieht, dass Sie Ihr Kennwort aktualisieren müssen. Der Link, auf den Sie in der E-Mail klicken, führt zu einer Seite, die dem korrekten Anmeldebildschirm sehr ähnelt. In Wirklichkeit ist es jedoch eine gefälschte URL, die vom Angreifer kontrolliert wird. Jetzt werden Sie aufgefordert, Ihren Benutzernamen und Ihr aktuelles Kennwort einzugeben. Und schon hat sich der Angreifer Zugang zu Ihrem Microsoft-Konto verschafft.

Whale-Phishing (Whaling)

Whaling ist eine noch gezieltere Art von Phishing, da damit die Wale ins Visier genommen werden – die grossen «Fische». Solche Angriffe zielen meist auf den CEO oder ein anderes Mitglied der Geschäftsleitung eines bestimmten Unternehmens.

Whale-Phishing richtet sich aber auch an vermögende, mächtige oder einflussreiche Personen. Whale-Phishing ist kein wahlloser Angriff wie bei einem gewöhnlichen Phishing-Versuch. Immer öfter greifen Cyberkriminelle den Chef – oder eben den Wal – an, denn sie können auf Informationen und Ressourcen zugreifen, auf die andere keinen Zugriff haben.  

Schützen Sie sich vor Phishing!

Min. Lesezeit

CEO Fraud – wenn der «Chef» zuschlägt

Beim CEO Fraud ist der CEO ebenfalls in den Betrugsversuch involviert. Allerdings als Köder. Dabei schicken die Betrüger eine E-Mail an einen Mitarbeitenden, der meist in der Buchhaltungs- oder Finanzabteilung arbeitet, und geben sich als CEO der Firma aus. Der Mitarbeiter wird in der Folge dazu aufgefordert, Geld auf ein (gefälschtes) Konto zu überweisen. Die Betrüger gehen davon aus, dass E-Mails aus der «Chefetage» wenig Misstrauen entgegenschlägt.