Phishing, die betrügerische Praxis von Cyberkriminellen, um an persönliche Daten zu gelangen, hat sich im Laufe der Jahre stark weiterentwickelt. Umfang, Vielfalt und Raffinesse der Phishing-Techniken haben enorm zugenommen, weshalb es immer wichtiger wird, die verschiedenen Formen zu verstehen. In diesem Beitrag gehen wir näher auf dieses Thema ein und erläutern die verschiedenen Arten von Phishing.
Bevor wir die verschiedenen Arten von Phishing verstehen, sollten wir klären, was Phishing überhaupt ist. Phishing ist eine Technik, mit der Betrüger sensible persönliche oder finanzielle Daten wie Benutzernamen, Passwörter und Kreditkartennummern erlangen, indem sie ihre Kommunikation (E-Mail, SMS oder Anruf) so tarnen, als käme sie von einer vertrauenswürdigen Institution (wie einer Bank, beliebten Websites oder Online-Shops).
Phishing per E-Mail
E-Mail-Phishing ist die häufigste Form. Dabei werden typischerweise Massen-E-Mails an Tausende von Empfängern verschickt, in der Hoffnung, dass ein kleiner Teil der Empfänger die Geschichte glaubt und auf die darin enthaltenen schädlichen Links klickt. Diese E-Mails sind in der Regel darauf ausgelegt, Panik auszulösen und den Empfänger zum Handeln zu verleiten. Oftmals verlinken sie auf eine gefälschte Webseite, auf der der Empfänger zur Eingabe sensibler Daten aufgefordert wird.
Speer-Phishing
Spear-Phishing ist eine gezieltere Form des E-Mail-Phishings. Hierbei recherchiert der Angreifer sein Ziel gründlich und verfasst eine E-Mail, die den Empfänger mit größerer Wahrscheinlichkeit täuschen kann. Die E-Mail kann auf bestimmte Ereignisse, Personen oder für das Ziel relevante Punkte Bezug nehmen, um legitim zu wirken.
Walfang
„Whaling“ ist eine Form des Spear-Phishings, die auf hochrangige Personen wie Führungskräfte oder Entscheidungsträger abzielt. Diese Angriffe werden oft akribisch geplant und ausgeführt, und die Schadsoftware ist aufgrund der hohen Zielwerte umfangreich.
Vishing
Beim sogenannten „Vishing“ oder Voice-Phishing handelt es sich um Telefonanrufe. Die Anrufer geben sich als Mitarbeiter einer vertrauenswürdigen Organisation aus und versuchen, den Angerufenen zur Preisgabe persönlicher Daten zu bewegen, die dann missbraucht werden.
Smishing
„Smishing“ ist Phishing per SMS, bei dem Textnachrichten verwendet werden, um Personen dazu zu verleiten, persönliche oder finanzielle Informationen preiszugeben oder eine schädliche Anwendung herunterzuladen.
Pharming
„Pharming“ ist eine weitere ausgeklügelte Technik, bei der Hacker DNS-Server oder die Host-Dateien einzelner Computer ausnutzen und Benutzer unwissentlich von legitimen Website-Adressen auf bösartige umleiten.
Klon-Phishing
Eine Variante des E-Mail-Phishings, das sogenannte „Klon-Phishing“, besteht darin, eine nahezu identische Kopie einer zuvor legitimen Nachricht zu erstellen, die einen Anhang oder Link enthielt, die angehängte Datei oder den Hyperlink durch eine schädliche Datei oder einen schädlichen Link zu ersetzen und die E-Mail dann erneut zu senden, in dem Glauben, es handele sich um eine legitime Folge-E-Mail.
HTTPS-Phishing
Beim HTTPS-Phishing wird eine sicher wirkende Webseite erstellt, um Nutzer zu täuschen und ihnen vorzugaukeln, sie befänden sich auf einer legitimen Seite. Fortgeschrittene Phishing-Angriffe nutzen mittlerweile HTTPS und ein grünes Vorhängeschloss-Symbol, um den Eindruck zu erwecken, die Webseite sei sicher.
Angler-Phishing
Beim sogenannten Angler-Phishing nutzt Betrüger den Kundenservice von Unternehmen in sozialen Medien aus. Sie erstellen gefälschte Kundenservice-Konten und beantworten Kundenanfragen, wobei sie die Kunden häufig auffordern, einem Link zu folgen oder persönliche Daten preiszugeben.
CEO-Betrug
Bei „CEO-Betrug“ handelt es sich um Phishing-E-Mails, die im Namen des CEO oder eines anderen leitenden Angestellten eines Unternehmens versendet werden, um die Mitarbeiter zur Durchführung unautorisierter Überweisungen zu verleiten.
Zusammenfassend lässt sich sagen, dass Phishing in vielen Formen auftritt. Jede Methode ist raffinierter und ausgefeilter als die vorherige. Sich über die verschiedenen Phishing-Techniken zu informieren, ein robustes Sicherheitssystem zu haben und stets ein gesundes Maß an Skepsis gegenüber unerwünschten Nachrichten zu bewahren, trägt wesentlich zum Schutz vor diesen Cyberbedrohungen bei.