Ein Dokument, ein Passwort und eine Kreditkarte hängen an Angelhaken, die von einem Angreifer, der vor einem Laptop sitzt, mittels eines Phishing-Angriffs gestohlen wurden.

Was ist Phishing?

Betrüger verstecken sich hinter gefälschten Webseiten und Nachrichten, um an Daten von Nutzern zu gelangen und Nutzer zu Zahlungen zu veranlassen.

11. Mar 202516 min LesezeitTagsCredential StuffingPasswort

Phishing: Die Gefahren im digitalen Meer oder warum Phishing so gut funktioniert

Unter dem Begriff Phishing (Kunstwort aus Passwort und Fishing) versteht man den Versuch, sensible Informationen wie Benutzernamen, Passwörter und Kreditkarteninformationen zu stehlen oder eine Transaktion oder einen Download von Malware auszulösen. Dazu nutzen Angreifer betrügerische E-Mails, Textnachrichten, Telefonanrufe oder Websites als Startpunkt. Da die Taktiken der Betrüger immer ausgefeilter werden, hat sich diese Form des Cyberbetrugs im Laufe der Jahre, zu einer ernsthaften Bedrohung für Personen und Unternehmen entwickelt.

Phishing ist seit den Anfängen des Internets bekannt und wurde erstmals Mitte der Neunziger Jahre von Betrügern auf den Instant Messaging Kanälen von AOL genutzt, um AOL-Nutzerdaten zu stehlen. Seitdem hat sich die Hackerszene mit der Entwicklung des Internets weiterentwickelt und es werden mittlerweile täglich mehrere Milliarden an Phishing-Emails versendet. Zudem haben mehr als ein Drittel aller Datenverstöße ihren Ursprung in Phishingattacken. Trotz fortwährend steigender Sicherheitsschulungen in Unternehmen klicken immer noch ca. 1% aller Angestellten auf Phishing-E-Mails und mehr als die Hälfte dieser Mitarbeiter gibt danach auch ihre persönlichen Daten Preis. Somit ist Phishing die am weitesten verbreitete Form des Social Engineerings mit der einfachen Idee der psychologischen Manipulation bzw. menschliches Versagen auszunutzen.

Angreifer geben sich als vertrauenswürdige Quelle (Familienangehöriger, Chef, Kollege, bekanntes Dienstleistungsunternehmen) aus und täuschen ihr potenzielles Opfer, um an die persönlichen Informationen zu gelangen. Typische Beispiele sind gefälschte E-Mails oder SMS, die von einer Bank, einem Online-Dienst, einem Zustell- oder Paketdienst, dem Enkel oder einer Behörde stammen mit der Aufforderung, seine persönlichen Daten einzugeben oder eine eilbedürftige Transaktion vorzunehmen. Oft enthalten diese Nachrichten Links zu gefälschten Webseiten, die extra von den Betrügern erstellt wurden und den Originalen zum Verwechseln ähnlich sehen. Alternativ können schädliche Anhänge beim Draufklicken Malware auf dem Rechner installieren. Da die Empfänger der vermeintlichen vertrauenswürdigen Quelle vertrauen bzw. sich unter Druck gesetzt fühlen, führen sie oftmals die Anweisungen des Hackers ohne weitere Überprüfung sofort aus und der Schaden ist nicht mehr rückgängig zu machen, wenn er denn überhaupt zeitnah entdeckt wird.

Um die Opfer dazu zu bringen persönliche Informationen preiszugeben, nutzen die Angreifer soziale Manipulationstechniken und erzeugen oft Angst, Dringlichkeit, Neugier, Mitleid oder auch Gier, um Menschen zum Handeln zu bewegen, bevor sie rational die Sachlage prüfen (können). Oft wird auch Druck ausgeübt und dem Opfer suggeriert, dass er sich oder seinem Unternehmen erheblichen Schaden zuführt, wenn er nicht handelt.

Beispiele für Phishing-E-Mails

Es wird beispielsweise behauptet, dass

Phishing betrifft uns alle!

Die Auswirkungen von Phishing-Angriffen können für Einzelpersonen und Unternehmen gleichermaßen verheerend sein.

Bei Einzelpersonen kann der Diebstahl sensibler Daten zu finanziellen Verlusten führen und weitere schwerwiegende Folgen haben. Werden zum Beispiel auf einer gefälschten Webseite Zugangsdaten eingegeben, können Angreifer diese verwenden und versuchen mittels Credential Stuffing auf weitere Konten zuzugreifen.

Werden in einem Unternehmen vertrauliche Daten/Informationen gestohlen, leidet nicht nur das Vertrauen und Ansehen, in der Regel entstehen auch massive finanzielle Verluste.

Welche Arten von Phishing gibt es?

Massen-E-Mail-Phishing

Massen-Phishing-E-Mails sind ein ernstzunehmendes Problem im privaten Bereich in der heutigen digitalen Welt. Betrüger und Angreifer versenden wahllos eine große Anzahl von E-Mails und hoffen, dass zumindest einige wenige der Empfänger auf ihre Täuschungsversuche hereinfallen. Dabei versuchen die Hacker alles, um die versendeten E-Mails so authentisch wie möglich erscheinen zu lassen, meist kombiniert mit einer dringlichen Handlungsaufforderung, um Vertrauen bei ihren Zielpersonen zu erwecken und schnelles Handeln auszulösen. So werden in der Regel bekannte und geschätzte Marken, Logos, Impressum, Corporate Branding von Unternehmen wie Post- und Beförderungsfirmen, Telekommunikationskonzernen und Banken in der Absicht missbraucht, dass die Opfer Kunden dieser Unternehmen sind oder zumindest diese als seriös und vertrauenerweckend einschätzen.

Phishing-E-Mails wurden in der Vergangenheit von Kriminellen manuell erstellt, was oft fehleranfällig war. Mit Einführung von künstlicher Intelligenz (KI) werden zunehmend immer bessere Phishing-Texte erstellt, die von den meisten Spamfiltern nicht mehr als solche erkannt werden und wo selbst Profis Schwierigkeiten haben, diese also solche zu erkennen. Zudem wird nicht mehr nur “ein” Text für Tausende von Massen-E-Mails geschrieben, sondern eine Vielzahl an unterschiedlichen Texten, um nicht als Massen-E-Mail identifiziert zu werden.

Die versendeten Spam-E-Mails erscheinen oft harmlos oder sogar verlockend, doch ihre Absicht ist es, vertrauliche Informationen zu stehlen oder das Herunterladen von Ransomware zu provozieren.

Die Täuschung erfolgt meist durch gefälschte Absenderadressen oder ansprechende Betreffzeilen, die den Eindruck erwecken, dass es sich um legitime Anfragen handelt. Opfer fühlen sich oft sicher und klicken auf Links oder laden Dateien herunter, ohne die Risiken zu erkennen. Beispiele für Phishing-E-Mails haben wir bereits im vorgenannten Abschnitt beleuchtet.

Spear-Phishing

Spear Phishing ist eine besonders perfide Form des Phishings, die sich im Vergleich zu Massen-E-Mail-Phishing durch gezielte Angriffe auf Einzelpersonen oder einzelne Organisationen auszeichnet. Da der Angriff in der Regel nur auf ein Opfer oder eine Opferorganisation abzielt und der Hacker normalerweise nur einen Versuch hat, bereitet sich der Betrüger, der sogenannte Spear-Fisher, mit detaillierten Nachforschungen auf den Angriff auf sein Zielobjekt vor. Dabei werden regelmäßig nur bekannte Persönlichkeiten (auch als Whale-Phishing bekannt), Personen in exponierten Positionen wie Vorstand, Geschäftsführung oder Personen mit Domainwissen von vertraulichen Daten (z.B. Personal- und Rechtsabteilungen) oder Personen mit besonderen Befugnissen (z.B. die Buchhaltung- oder Finanzabteilung), in Spear-Phishing-Attacken angegriffen.

Um die eigene Erfolgswahrscheinlichkeit eines Angriffs zu erhöhen, versucht der Spear-Fisher vorher, möglichst viele Informationen über sein Zielobjekt zu sammeln. Er durchsucht dafür das Internet, die sozialen Medien, Zeitungen, andere öffentlichen Quellen und zapft dafür in Einzelfällen sogar das Darknet an oder verschafft sich Zugriff auf Datenbanken, die wertvolle Informationen enthalten könnten. Ziel der Informationsbeschaffung ist es Informationen über:

zu erhalten. Ziel der Informationsbeschaffung ist die möglichst glaubhafte Ansprache eines Mitarbeiters. Dabei treten Spear-Phisher regelmäßig als Chef, Kollege, Lieferant, Bankmitarbeiter, Finanzbeamter, Inkassodienstleister, Anwalt, Freund, etc. auf, um Vertrauen bei ihren Opfern aufzubauen. Indem vorgenannte Hintergrundinformationen und persönliche Informationen über das Umfeld der Zielperson in dem Anschreiben genutzt werden, wird das Anliegen für das Opfer noch glaubwürdiger gestaltet.

Diese personalisierten Nachrichten erscheinen oft so authentisch, dass sie selbst die vorsichtigsten Nutzer in die Falle locken können. Das gilt umso mehr, da sich die Textqualität aufgrund KI sprunghaft verbessert hat und auch ausländische Cyberkriminelle leicht qualitativ hochwertige Anschreiben formulieren können. Im Unternehmensumfeld zielt der Angriff in der Regel darauf ab, entweder Daten (Geschäftsgeheimnisse im Rahmen der Industriespionage, Kunden- oder Finanzinformationen) oder Geld zu erbeuten. Betrüger nutzen besonders gerne zwei beliebte Spear-Phishing-Methoden, mit denen sie oft Millionen von Euro stehlen:

Andere Arten von Phishing

Es gibt zahlreiche weitere Phishing Methoden. Dabei werden heute alle bekannten Kommunikationskanäle von Phishing-Betrügern bespielt wie beispielsweise SMS oder WhatsApp, Telefon, QR-Codes, soziale Medien, etc. Zudem professionalisieren die Hacker ihre Kampagnen fortlaufend und setzen mittlerweile auch Kombinationen aus verschiedenen Phishing Varianten ein (auch Hybrid Phishing genannt).

SMS-Phishing (Smishing)

SMS-Phishing ist ein ernstzunehmendes Problem, das immer mehr Menschen betrifft. Gefälschte Textnachrichten, die als Mitteilungen von Mobilfunkanbietern, Banken, Versorgern oder Online-Versendern getarnt sind, machen die Empfänger schnell zu Opfern. Die Betroffenen erhalten Nachrichten, die sie auffordern, persönliche Daten (u.a. auch Kreditkarteninformationen, Zugangsdaten) zu aktualisieren oder eine Gebühr zu zahlen, sodass ein Paket versendet werden kann oder dass eine offene Rechnung für Strom, Wasser, Telefonanschluss sofort gezahlt werden muss, da sonst die Beendigung des Vertrages droht. Diese Nachrichten wirken oft täuschend echt und enthalten sogar offizielle Logos. Die Kriminellen nutzen diese Taktiken, um Vertrauen aufzubauen und ihre Opfer in die Falle zu locken.

Voice-Phishing (Vishing)

Voice-Phishing, auch bekannt als Vishing, ist eine alarmierende Form des Betrugs. Bei gefälschten Tonnachrichten erhalten ahnungslose Opfer einen Telefonanruf von vermeintlichen Institutionen, die dringend persönliche Daten aktualisieren oder eine Gebühr einziehen müssen. Durch die Nutzung der Voice-over-IP Technologie können diese Anrufe automatisiert, in großer Anzahl abgewickelt und zusätzlich besser die Identität des Anrufers durch Fälschung der Anrufer-ID verschleiert werden.

Die Betrüger (oft auch als automatisierte Stimme) geben sich in diesen Vishing-Anrufen ähnlich wie beim SMS-Phishing als Mitarbeiter von vertrauenswürdigen Organisationen aus und fordern sensible Daten wie Kreditkarteninformationen oder zur Überweisung überfälliger Zahlungen an/auf.

Quishing

Eine weitere Phishing Methode, um an Nutzerdaten zu gelangen, ist das sogenannte Quishing, ein Kunstwort aus QR-Code und Phishing. Dabei werden QR-Codes mit Weiterleitung zu gefälschten Webseiten, die ihrem echten Zwilling zum Verwechseln ähnlich sehen, genutzt. Ziel ist es, wie bei den anderen Phishingvarianten auch, an die sensiblen Daten (u.a. auch Identitätsdaten) von potenziellen Opfern zu kommen oder betrügerische Zahlungen anzustoßen. So werden QR-Codes auf Plakaten, Flyern, Werbetafeln, die im öffentlichen Raum stehen/hängen oder ausliegen, mit manipulierten QR-Codes überklebt oder diese ausgetauscht. Die Manipulation zu erkennen ist meistens sehr schwierig und führt leider immer wieder zu unwissenden Opfern.

Social-Media-Phishing

Mit den ständig steigenden Nutzungszahlen und -zeiten sind auch die sozialen Medien immer mehr in den Fokus von Betrügern und Hackern gerückt. Beim Social-Media-Phishing werden die Messagingfunktionen bekannter Internetplattformen wie z.B. Tiktok, Instagram, Facebook, LinkedIn, Xing, X (Twitter), etc. genauso genutzt wie bei vorgenannten anderen Phishing Methoden. Ziel ist es zuallererst die Zugangsdaten der Nutzer zu erlangen, um dann das gekaperte Nutzerkonto im eigenen betrügerischen Sinne zu nutzen. Darüber hinaus werden oftmals die gestohlenen Zugangsdaten eingesetzt, um diese auch bei anderen Portalen zu testen und im besten Fall ebenfalls ausnutzen zu können. Daher gilt, niemals gleiche Passwörter nutzen und einen Passwortmanager einsetzen.

Neben den reinen Messagingfunktionen nutzen Betrüger auch oft Foren, Kommentarfunktionen und Hilfeforen von Social Media Plattformen, um sich als offizielle Organisation auszugeben, Fragen zu beantworten und so Nutzer auszutricksen, sodass diese ihre persönlichen Nutzerdaten preisgeben (auch bekannt als Angler-Phishing).

Browser-Phishing

Da viele Menschen mittlerweile immer vorsichtiger werden, was Phishing-Mails anbelangt, setzen die Angreifer verstärkt auf eine neue Masche – Links in der Trefferliste von Suchmaschinen. Hierbei platzieren die Angreifer Phishing-Links in Suchmaschinen durch das Schalten von Werbeanzeigen oder bringen die Fake-Webseiten mittels Suchmaschinenoptimierung (SEO) in die Trefferliste. Auch hier ist das Ziel, die potenziellen Opfer auf die gefälschten Webseiten zu locken und sie dazu zu bringen, dort ihre Anmeldedaten einzugeben.

Woran erkennt man Phishing-Mails?

Bis vor einigen Jahren strotzten Phishing Nachrichten noch vor Fehlern, wodurch diese leicht zu erkennen waren. Die Betrüger gehen hier aber mittlerweile professioneller vor auch Dank der sich stetig weiterentwickelnden KI (künstliche Intelligenz). Rechtschreib- und Grammatikfehler sind nur noch selten zu finden. Doch auch bei einem gut formulierten Text sollte man vorsichtig sein, besonders dann, wenn in einer Nachricht Links, unerwartete Anhänge oder die Aufforderung zur Angabe persönlicher Daten enthalten sind. Nachfolgend stellen wir eine Reihe von Techniken vor, die Angreifer verwenden. Sie zu kennen und zu berücksichtigen aber auch generell vorsichtig auf jegliche Anfragen zu reagieren, hilft, nicht auf eine Phishing-Attacke hereinzufallen:

Wie schütze ich mich vor Phishing Versuchen?

Mit einer Kombination aus Technologie, Schulung und erhöhter Wachsamkeit, lässt sich Phishing wirksam bekämpfen.

Viele Unternehmen setzen auf Spam-Filter, E-Mail-Sicherheitssoftware, Antivirensoftware oder Webfilter, die verdächtige Nachrichten erkennen und blockieren bzw. den Aufruf von kompromittierten Links unterbinden. Entscheidend ist aber auch hier wieder die Schulung von Mitarbeitern, um über die verschiedenen Arten von Phishing-Angriffen zu informieren. Dieses Schulungswissen hilft den Mitarbeitern, verdächtige Nachrichten die einen Spamfilter überwunden haben, zu erkennen und auf Betrugsversuche angemessen und sicher zu reagieren. Dazu gehört auch die Einrichtung eines Meldewesens, um Phishingversuche an das IT- und Cybersecurity-Team des Unternehmens weiterleiten zu können. Zudem sollten Firmen Unternehmensrichtlinien aufstellen, die Geldtransfers oder Weitergabe von sensiblen Informationen aufgrund einer E-Mailanweisung ohne Plausibilisierung auf einem anderen Kommunikationsweg verbieten.

Auch wenn Privatpersonen nicht über die technischen Möglichkeiten von Unternehmen verfügen, sollte jeder versuchen, sich über das Internet für die eigene Internetsicherheit auf dem Laufenden zu halten. Sollte man darüber hinaus in den Genuss von Firmenschulung kommen, sollten man dies nicht als Pflichtübung ansehen, sondern eher als großartige Möglichkeit, sich für die eigene Sicherheit in der Privatkommunikation bestmöglich aufzustellen.

Bei der täglichen E-Mail und Internetnutzung sollte immer eine gesunde Portion Skepsis vorhanden sein und im Zweifel folgende Vorsichtsmaßnahmen angewendet werden:

Domain Erläuterung
sparkasse.de Die eigentliche Domain von Sparkasse ist sparkasse.de.
sparkasse.pl Die Domain ist nicht sparkasse.de.
id.sparkasse.de id ist eine Subdomain von sparkasse.de, die der Sparkasse gehört.
id-sparkasse.de id-sparkasse.de ist keine Domain von sparkasse.de, weil - keine gültigen Trennzeichen sind. Nur . sind Trennzeichen.
banking.sparkasse.de banking ist eine Subdomain von sparkasse.de die der Sparkasse gehört.
banking-sparkasse.de banking-sparkasse.de ist keine Domain von sparkasse.de, weil - keine gültigen Trennzeichen sind. Nur . sind Trennzeichen.
sicherheit.sparkasse.de sicherheit ist eine Subdomain von sparkasse.de die der Sparkasse gehört.
sparkasse.de.sicherheit.de Das ist nicht sparkasse.de, sondern sicherheit.de. Die Haupt-Domain befindet sich immer auf der rechten Seite, nicht auf der linken.

Im Gegensatz zu normalen Texten die von links nach rechts gelesen werden, sind Domains herarchisch strukturiert. Sie setzen sich aus verschiedenen Ebenen zusammen und werden von rechts nach links gelesen. Die Trennung zwischen den einzelnen Teilen einer Domain erfolgt immer mit einem Punkt und wichtig sind hierbei die ersten zwei Teile von rechts aus gelesen.

Fazit

Trotz aller Bemühungen von ISPs, Hostern, Betriebssystemherstellern, Antiviren- und Antispamfilterherstellern, etc. Phishing wirksam zu bekämpfen, ist es trotz vieler Erfolge zu einer dauerhaften Sicherheitsbedrohung in unserer digitalen Welt geworden, die nicht ignoriert werden darf. In einer Art Hase und Igel Spiel entwickeln die Angreifer fortwährende neue Angriffsmethoden, die erst erkannt werden müssen und auf die sich die Nutzerwelt und deren Dienstleister einstellen müssen. Dabei spielt besonders die ständige Technologieentwicklung eine besonders wichtige Rolle. In den letzten Jahren wurde das sogenannte KI-Phishing immer populärer, bei der generative KI (künstliche Intelligenz) eingesetzt wird, um maßgeschneiderte Anschreiben für E-Mails, SMS, Webseiten und andere Texte zu generieren. So konnte insbesondere auch das Phishing über Länder- und Sprachgrenzen hinaus professionalisiert werden, da Rechtschreibe- und Grammatikfehler sowie andere typische Merkmale von Phishing-Versuchen mittels KI minimiert werden. Auch die Geschwindigkeit der Erstellung von Phishing-Dokumenten kann durch KI oftmals um ein Vielfaches beschleunigt werden. Neben der Erstellung von Texten gilt Gleiches für die KI-gestützte Schaffung von glaubwürdigen Bildern, zum Klonen von Stimmen in Sprachnachrichten und anderen Inhalten, die im Rahmen von Phishing-Versuchen eingesetzt werden.

So ist es wichtig, dass jeder einzelne Nutzer wachsam nach Unregelmäßigkeiten Ausschau hält und mit der nötigen Skepsis erhaltene Nachrichten wie E-Mails und SMS bewertet. Nur so kann man dazu beitragen, sich selbst und seine Daten zu schützen.