Über Phishing

Grundsätzliches

Um Phishing in all seinen Formen zu verstehen, muss zunächst geklärt werden, dass es sich bei Phishing um eine Form des Social Engineering handelt, das auch als soziale Manipulation oder Betrug (Scam) bezeichnet wird. Beim Social Engineering geht es darum, Opfer zu manipulieren und zu versuchen, ihr Vertrauen mittels psychologischer Methoden zu gewinnen, damit vertrauliche Informationen preisgegeben oder gewünschte Aktionen durchgeführt werden. Social Engineering ist keineswegs nur ein Internetproblem. Die Natur des Internets mit seinen leicht zugänglichen Informationen und der Möglichkeit, viele Menschen schnell zu erreichen, ist jedoch zum bevorzugten Tatort für diese Art von Betrug geworden.

Grundsätzlich kann Phishing in zwei Hauptgruppen unterteilt werden: Phishing und Spear-Phishing. Mehr dazu weiter unten.

Phishing und spear-Phishing

Phishing

Phishing zeichnet sich dadurch aus, dass es unpersönlich und generisch ist und sich an große Mengen von Empfängern richtet, in der Hoffnung, dass jemand anbeißt. Der typische Phishing-Betrug geschieht über Spam-E-Mails, weshalb Phishing auch oft ein Synonym für Phishing-E-Mails ist. Phishing-E-Mails können für Kriminelle häufig eine Möglichkeit sein, Informationen für Spear-Phishing zu sammeln.

Beispiele für Phishing:

E-Mail-Betrug durch vermeintlichen technischen Support:

Der Absender maskiert sich als großes Unternehmen wie Microsoft, PayPal, als eine große Bank oder sogar als technischer Support Ihres eigenen Unternehmens und behauptet, dass auf Ihrem Konto „ungewöhnliche Anmeldeaktivitäten“ aufgetreten seien und Sie sofort handeln müssen. Die E-Mail fordert Sie dann normalerweise auf, sich über einen Link anzumelden – über den Ihre Anmeldeinformationen gestohlen werden – oder auf ein angehängtes Dokument zu klicken, das Malware auf Ihrem Computer installiert.

E-Mail-Betrug durch vermeintliche Bank:

Der E-Mail-Absender tarnt sich als Bank und behauptet, dass Sie Ihre Benutzerinformationen über einen in der E-Mail angegebenen Link aktualisieren müssen. Sobald Sie Ihre Benutzerinformation eingegeben haben, können Betrüger Ihre Daten für kriminelle Machenschaften nutzen.

Die Menge an E-Mails, die von Cyberkriminellen versendet werden, garantiert, dass ein großer Prozentsatz der Empfänger tatsächlich Kunden der vermeintlichen Bank sind, als die sich die Betrüger ausgeben.

Der Lottogewinn:

Der E-Mail-Absender tarnt sich als Lotterieunternehmen und behauptet, Sie hätten einen großen Preis gewonnen. Ziel des Betrugs ist es, Sie entweder dazu zu bringen, persönliche Informationen (wie Bankkontonummer usw.) preiszugeben, oder eine Verwaltungsgebühr, eine Gewinnsteuer oder eine Bankgebühr zu zahlen.

Spear-Phishing

In erster Linie unterscheidet sich Spear-Phishing von Phishing in der Art und Weise der Personalisierung, zweitens konzentriert sich der typische Spear-Phishing-Betrug auf ein oder wenige ausgewählte Ziele (es gibt jedoch auch viele Beispiele für Ausnahmen dieser Art). In extremen Fällen wird das ausgewählte Opfer über Wochen oder monatelang ausspioniert, bevor die Kriminellen den ersten Kontakt aufnehmen. Während dieser Zeit lernen die Betrüger so viel wie möglich über ihr Opfer, um ihre Chancen auf eine erfolgreiche Manipulation zu erhöhen. Genau wie "normales Phishing" wurde Spear-Phishing traditionell per E-Mail durchgeführt.

Spear-Phishing richtet sich häufig an Personen in ihrer beruflichen Rolle, mit dem Ziel, Geld aus der Firma zu stehlen, für die das Opfer arbeitet, oder an sensible Unternehmensinformationen zu gelangen. Jedoch finden auch Spear-Phising-Versuche gegen Privatpersonen regelmäßig statt.

Beispiele für Spear-Phishing:

CEO-Betrug (Unternehmen):

Der Name "CEO-Betrug" (auch als "Executive-Whaling" bekannt) stammt aus dem Betrugsverfahren, bei dem sich die Verbrecher als CEO oder eine andere Führungskräfte des Unternehmens maskieren. In dieser Rolle bringen Sie den Mitarbeiter dazu, z. B. Geld zu überweisen oder vertrauliche Unternehmensinformationen herauszugeben.

Im Grunde vertraut diese Methode auf den üblichen Respekt gegenüber einer Autoritätsperson. Wenn der Mitarbeiter glaubt, von einer Führungskraft des Unternehmens kontaktiert zu werden, die dringend eine Überweisung oder vertrauliche Informationen benötigt, handelt der Mitarbeiter für gewöhnlich entsprechend den Anweisungen, ohne lange darüber nachzudenken. Zumindest hoffen die Kriminellen darauf.

Dateien mit Malware (Unternehmen):

Der Betrüger sendet eine E-Mail mit einer angehängten Datei, die scheinbar wichtige Unternehmensinformationen enthält, z. B. einen Einstellungsplan oder einen Jahresendbericht. In Wirklichkeit enthält die Datei Malware, die sich installiert, sobald die Datei geöffnet wird. Meistens maskiert sich der betrügerische Absender als Mitarbeiter oder ein anderes Unternehmen, mit dem das Zielunternehmen zusammenarbeitet.

Sobald die Malware installiert ist, kann sie beispielsweise Cyberkriminellen Fernzugriff auf das Unternehmensnetzwerk gewähren, sodass vertrauliche Daten gestohlen werden können.

Spear-Phishing gegen Privatpersonen:

Spear-Phishing ist keineswegs nur eine Gefahr für Unternehmen. Privatpersonen sind ebenfalls davon betroffen, zumeist wenn Cyberkriminelle Anmeldeinformationen von Unternehmenskunden erhalten.

Ein typisches Beispiel hierfür ist der Betrugsfall, bei dem 100 Millionen E-Mails an Kunden von Amazon versendet wurden, die kürzlich einen Kauf getätigt hatten. Die versendeten E-Mails sahen wie echte E-Mails von Amazon aus, enthielten jedoch einen Anhang, in dem Ransomware installiert war, mit der Dateien auf dem Computer des Benutzers verschlüsselt wurden. Die Ransomware forderte das Opfer dann auf, ein Bitcoin-Lösegeld zu zahlen, um die Verschlüsselung zu entfernen.