Die Köder der Phisher
Des einen Freud ist des anderen Leid. So auch beim Phishing – dem Fischen nach Ihren persönlichen Daten und Passwörtern. Wie beim Fischen wird mit unterschiedlichen Fangmethoden gephisht – und die Angriffe haben sich seit Anfang 2020 verdreifacht. Geben Sie acht, dass Sie nicht in die Falle tappen oder gar als Köder enden.
Phishing ist dann erfolgreich, wenn Betrüger an Passwörter und andere sensible Daten gelangen und damit Schaden anrichten. Wenn zum Beispiel das Konto von den Angreifern übernommen, die Identität gestohlen, man am eigenen Computer ausspioniert wird oder persönliche Daten abhandenkommen. Darüber hinaus kann aber auch ein Schaden für das eigene oder das tätige Unternehmen entstehen.
Durch Phishing ermöglichte Hackerangriffe oder Erpressungen – sogenannte Ransomware-Angriffe – können grossen Schaden anrichten, was mitunter bis zum kompletten Verlust der Daten und Systeme führen kann.
Wie beim Fischen gibt es auch beim Phishing viele Fangmethoden. Hier erfahren Sie mehr über die wichtigsten und verbreitetsten Phishing-Arten.
Spray-and-Pray-Phishing
Die einfachste Art und Weise, wie mit Phishing versucht wird, an Ihre Daten zu kommen, ist, eine mehr oder weniger echt wirkende Nachricht an Millionen von E-Mail-Adressen zu versenden. Der Absender hofft wie beim Angeln mit der Rute, dass immerhin ein paar Empfänger in die Falle tappen.
Clone-Phishing
Bei einem Clone-Phishing-Angriff wird auf Basis einer echten, zuvor gesendeten E-Mail eine nahezu identische E-Mail abgesetzt. Darin wurden die Anhänge oder Links durch Malware oder eine Phishing-Landingpage ersetzt. Die E-Mail ist so gefälscht, dass sie den Anschein erweckt, vom ursprünglichen Absender erneut versandt worden zu sein. Die E-Mail wird in aller Regel an eine grosse Zahl von Empfängern verschickt. Der Angreifer wartet nur darauf, dass die Opfer daraufklicken. Diese Art von Angriff gilt als die schädlichste, da es für die Opfer schwer ist, eine gefälschte E-Mail zu erkennen.
Spear-Phishing
Mit der Fischerrute können Sie vieles unter der Wasseroberfläche angeln – eine Forelle, einen Egli oder einen Fetzen Plastik. Beim Fischen mit dem Speer gehen Sie gezielt auf die Jagd nach einem bestimmten Fisch. Spear-Phishing-E-Mails werden personalisiert, wodurch sie an Glaubwürdigkeit gewinnen. Ein Angreifer weiss beispielsweise, wie Sie heissen, dass Sie eine bestimmte Software verwenden, oder er geht zumindest davon aus, dass Sie diese benutzen – fast jeder verwendet heute Microsoft Office. Er sendet nun eine E-Mail mit persönlicher Anrede, die wie eine Benachrichtigung aussieht, dass Sie Ihr Kennwort aktualisieren müssen. Der Link, auf den Sie in der E-Mail klicken, führt zu einer Seite, die dem korrekten Anmeldebildschirm sehr ähnelt. In Wirklichkeit ist es jedoch eine gefälschte URL, die vom Angreifer kontrolliert wird. Jetzt werden Sie aufgefordert, Ihren Benutzernamen und Ihr aktuelles Kennwort einzugeben. Und schon hat sich der Angreifer Zugang zu Ihrem Microsoft-Konto verschafft.
Whale-Phishing (Whaling)
Whaling ist eine noch gezieltere Art von Phishing, da damit die Wale ins Visier genommen werden – die grossen «Fische». Solche Angriffe zielen meist auf den CEO oder ein anderes Mitglied der Geschäftsleitung eines bestimmten Unternehmens.
Whale-Phishing richtet sich aber auch an vermögende, mächtige oder einflussreiche Personen. Whale-Phishing ist kein wahlloser Angriff wie bei einem gewöhnlichen Phishing-Versuch. Immer öfter greifen Cyberkriminelle den Chef – oder eben den Wal – an, denn sie können auf Informationen und Ressourcen zugreifen, auf die andere keinen Zugriff haben.
CEO Fraud – wenn der «Chef» zuschlägt
Beim CEO Fraud ist der CEO ebenfalls in den Betrugsversuch involviert. Allerdings als Köder. Dabei schicken die Betrüger eine E-Mail an einen Mitarbeitenden, der meist in der Buchhaltungs- oder Finanzabteilung arbeitet, und geben sich als CEO der Firma aus. Der Mitarbeiter wird in der Folge dazu aufgefordert, Geld auf ein (gefälschtes) Konto zu überweisen. Die Betrüger gehen davon aus, dass E-Mails aus der «Chefetage» wenig Misstrauen entgegenschlägt.
Phishing/Smishing/Vishing
Phishing ist heute die häufigste Methode für Cyberangriffe, da mit relativ geringem Aufwand und geringen Kosten grosser Schaden verursacht werden kann. Das Kunstwort Phishing setzt sich aus den beiden englischen Begriffen password harvesting (Passwort ernten) und fishing (angeln oder fischen) zusammen und bezeichnet vorwiegend den Betrugsversuch via E-Mail. In Analogie dazu wird Smishing für das Phishing via SMS verwendet. Dabei werden häufig angebliche Gutscheincodes für Rabattaktionen, Freikarten für Veranstaltungen oder sonstige Vorteile per SMS versprochen.
Mit Vishing oder Voice-Phishing versuchen Cyberkriminelle, Sie per Telefonat zu betrügen. Sie geben sich beispielsweise als Kreditkartenherausgeber, Polizist oder Microsoft Supporter aus und versuchen, Zugriff auf Ihren PC oder Ihre Daten zu verschaffen.
Beantworten Sie unbekannte E-Mails, SMS und Anrufe deshalb nie.