Definition Phishing

Was ist Phishing?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Phishing ahmt vertraute E-Mails und Websites nach, um persönliche Daten, Benutzernamen und Passwörter zu erbeuten.
Phishing ahmt vertraute E-Mails und Websites nach, um persönliche Daten, Benutzernamen und Passwörter zu erbeuten. (Bild: Pixabay / CC0)

Phishing beschreibt den Versuch des Diebstahls von Kennungen und Passwörtern per Internet durch den Versand von gefälschten E-Mails oder SMS. Internet-Anwender werden von Cyberkriminellen mittels täuschend echt nachgemachter E-Mails auf gefälschte Internetseiten von Banken, Onlineshops oder anderen Onlinediensten gelockt um dort deren Benutzerkennungen und Passwörter zu ergattern. Die ergaunerten Daten werden beispielsweise für Kontoplünderungen oder Hackerangriffe auf Unternehmen verwendet.

Phishing leitet sich von dem englischen Wort "fishing" für angeln ab. Es verfolgt das Ziel, sich Zugangsdaten von Internetusern illegal zu "angeln" und diese für kriminelle Handlungen zum Schaden des Users zu verwenden. Oft stehen die Zugangsdaten zum Onlinebanking im Fokus von Phishing-Attacken. Aber auch Kennungen und Passwörter von Mailaccounts, Onlineshops oder sozialen Netzwerken sind häufig Ziel des Phishings.

Durch die ergaunerten Zugangsdaten ist es dem Phisher möglich, die Identität seines Opfers auf der jeweiligen Internetplattform zu übernehmen. Dies versetzt ihn in die Lage, dem Opfer finanziellen Schaden zuzufügen, seinen Ruf zu schädigen oder Waren unter fremdem Namen zu bestellen.

Phishing-Risiko Punycode-Domains

Gefälschte Domainnamen mittels Unicode

Phishing-Risiko Punycode-Domains

02.02.18 - Phishing ist alt, funktioniert für Cyberkriminelle aber immer noch blendend. Ein guter Schutz gegen Phishing sind aufmerksame Anwender, die bemerken wenn ein angeblicher Paypal-Link nicht zur Paypal-Webseite zeigt. Was aber, wenn Angreifer den User mit einer gefälschten Domain austricksen könnten, die sich augenscheinlich genauso schreibt wie die echte? Genau das schaffen Angreifer mit Punycode-Domains und längst nicht jeder Browser schützt Anwender davor. lesen

Für das Phishing genutzte Methoden

Die häufigste für das Phishing verwendete Methode beruht auf dem massenhaften Versenden von E-Mails mit gefälschtem Inhalt. Die E-Mails sind so gestaltet, dass sie den originalen E-Mails von Banken, Onlineshops oder anderen Internetplattformen in puncto Design, Absenderadresse und Kundenansprache möglichst nahe kommen.

Der Empfänger wird in der E-Mail dazu aufgefordert, einen in der Mail enthaltenen Link anzuklicken und dort seine Zugangsdaten einzugeben. Der Link führt zu einer gefälschten Login-Seite des Angreifers. Diese Seite ist der Originalseite der Internetplattform täuschend echt nachempfunden. Hält der Empfänger die E-Mail für echt und gibt seine Daten auf der gefälschten Internetseite ein, ist der Phisher im Besitz seiner Zugangsdaten und kann diese beliebig für seine Zwecke einsetzen. Da die gefälschten E-Mails in großen Mengen versandt werden, tappen trotz der Bekanntheit dieser Art von Attacken und vorhandener Schutzmaßnahmen immer wieder einzelne User in die Falle der Angreifer.

Was ist Spear-Phishing?

Eine besondere Form des Phishing ist das Spear-Phishing. Dabei handelt es sich in der Analogie des Fischens um den gezielten Versuch mittels einer Harpune einen einzelnen Fisch zu erlegen, statt mit dem Netz Dutzende oder Hunderte Fische zu erbeuten.

Beim Spear-Phishing erfolgt eine gezielte Phishing-Attacke auf eine eng abgegrenzte Benutzergruppe, über die der Angreifer vorher Informationen einholt. Ziel einer Spear-Phishing-Attacke können beispielsweise die Mitarbeiter der Personalabteilung eines Unternehmens sein, denen eine E-Mail mit einer gefälschten Bewerbung auf eine aktuelle Stellenausschreibung des Unternehmens zugeht.

Praxistipps für Mitarbeiter gegen Spam und Phishing

Security-Awareness-Tipps

Praxistipps für Mitarbeiter gegen Spam und Phishing

15.12.17 - Ähnlich wie beim Erste-Hilfe-Kurs sollten Unternehmen ihre Mitarbeiter auch regelmäßig zu Spam- und Phishing-Thematiken schulen, um den Mitarbeiter als schwächstes Glied in der Verteidigungskette zu stärken. Dabei ist die Technik selbst oft ein Problem, denn Je effektiver Spam-Filter und Anti-Phishing-Routinen arbeiten, desto seltener muss der Mitarbeiter sich selbst Gedanken machen, ob er gerade das Ziel einer Phishingattacke ist. lesen

Schutz vor Phishing-Angriffen

Um sich vor Phishing zu schützen, ist neben verschiedenen technischen Schutzmaßnahmen eine gesunde Vorsicht im Umgang mit E-Mails und der Eingabe von Zugangsdaten im Netz erforderlich.

Grundsätzlich ist davon abzuraten, in E-Mails enthaltene Links anzuklicken und auf den aufgerufenen Seiten persönliche Daten einzugeben. Login-Seiten sollten immer direkt über die Adresszeile des Browsers geöffnet werden. Die Identität der geöffneten Seite ist zusätzlich in der Adresszeile zu prüfen. Dort lässt sich verifizieren, ob die aufgerufene Seite ein gültiges Zertifikat des jeweiligen Anbieters verwendet.

Oft ist es möglich, Phishing-Mails direkt an deren Inhalt zu erkennen. Meist fehlt eine persönliche Ansprache mit Namen oder anderen Kundendaten. Schlecht gemachte Phishing-Mails fallen zudem durch Mängel in der Rechtschreibung und die Dringlichkeit der Ansprache auf. Sind Sie sich bei einer erhaltenen Mail nicht sicher, ob es sich um eine Phishing-Mail handelt, können Sie nach enthaltenen Textpassagen im Internet suchen. Oft zeigen die Suchtreffer direkt, dass der Inhalt aus einer bekannten Phishing-Mail stammt.

Technische Schutzmaßnahmen vor dem Phishing

Das Risiko von Phishing-Attacken lässt sich durch technische Maßnahmen zusätzlich minimieren. Viele Virenprogramme aber auch E-Mailprogramme sind in der Lage, Phishing-Mails aufgrund bestimmter Merkmale zu erkennen und vor diesen zu warnen. Zudem lässt sich die HTML-Darstellung von E-Mails in den Mailprogrammen ausschalten oder so wählen, dass nur Inhalte von vertrauten Quellen angezeigt werden. Zusätzlich zu den Mailprogrammen erkennen moderne Browser viele Phishing-Webseiten und warnen direkt bei deren Aufruf.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Tausendfache Datenverluste, meist selbst verschuldet

2019 MidYear QuickView Data Breach Report

Tausendfache Datenverluste, meist selbst verschuldet

Die Angst vor Datenverlust bremst weiterhin den Einsatz von Cloud Computing in Deutschland. Kann man verstehen, gerade erst zeigt der "2019 MidYear QuickView Data Breach Report", dass in den ersten sechs Monaten dieses Jahres weltweit 2800 (!) Datenverluste öffentlich gemacht werden mussten. Schadenssumme: 4,1 Milliarden Dollar. lesen

Cyber-Angreifer tarnen sich immer besser

Fortinet Threat Landscape Report

Cyber-Angreifer tarnen sich immer besser

Cyber-Kriminelle suchen nach immer neuen Schwachstellen auf der gesamten digitalen Angriffsfläche von Unternehmen. Mit Ausweich- und Antianalyseverfahren werden ihre Ansätze dabei immer ausgefeilter. Das sind Ergebnisse des aktuellen Fortinet Threat Landscape Report. Zudem hat der Threat Landscape Index einen neuen Höchstwert erreicht: Gegenüber dem Vorjahr hat er sich um fast vier Prozent erhöht. lesen

Mobile Phishing – Gefahr für Nutzer und Unternehmen

Smartphones als Gefahrenquelle Nummer eins

Mobile Phishing – Gefahr für Nutzer und Unternehmen

In Zeiten allgegenwärtiger und alleskönnender Smartphones haben sich Phishing-Angriffe längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten. Höchste Zeit, die Gefahren erst zu nehmen! lesen

Tipps für mehr Passwortsicherheit

Umfassende Passwort-Strategie

Tipps für mehr Passwortsicherheit

Einer der Hauptgründe für Datenschutz­verletzungen sind nach wie vor schwache oder mehrfach verwendete Passwörter. Den meisten Unternehmen ist dieses Problem durchaus bewusst, allerdings fällt es vielen schwer, effektive Sicherheitsrichtlinien zu etablieren. LogMeIn, die Firma hinter dem Passwort-Manager „LastPass“ gibt Unternehmen Tipps, wie sie ihre IT-Sicherheit steigern können. lesen

So gefährlich ist eine gut gestaltete Phishing-E-Mail

Mitarbeiter an der Angel

So gefährlich ist eine gut gestaltete Phishing-E-Mail

Informationen, die Unternehmen besitzen, sind nicht nur für das Unternehmen selbst wertvoll, sondern auch für Cyberkriminelle. Ein beliebtes Opfer von Cyberangriffen sind Mitarbeiter, denen Informationen entlockt werden, mit dem Ziel, auf das Firmennetzwerk zuzugreifen. Dafür verwenden die Angreifer oft eines der mächtigsten Werkzeuge im Arsenal eines Cyberkriminellen, nämlich die Phishing-E-Mail. lesen

E-Mail-Angriffe sind Bedrohung für Geschäftsabläufe

Barracuda-Report zur IT-Security

E-Mail-Angriffe sind Bedrohung für Geschäftsabläufe

In den letzten zwölf Monaten wurden 43 Prozent der Unternehmen Ziel eines Spear-Phishing-Angriffs. So das Ergebnis einer Studie von Barracuda. Demnach haben E-Mail-Angriffe auch weiterhin erhebliche Auswirkungen auf die Geschäftsabläufe. lesen

Lieber Bußgeld zahlen, als Sicherheitsrichtlinien ändern

CyberArk-Studie

Lieber Bußgeld zahlen, als Sicherheitsrichtlinien ändern

Laut einer Umfrage von CyberArk glauben 63 Prozent der befragten deutschen Unternehmen, dass Angreifer problemlos in ihre Netzwerke eindringen können. Ein Grund dafür ist vielfach das Fehlen einer durchgängigen Privileged-Access-Security-Strategie. lesen

Bringt eine Hyperkonvergente Infrastruktur mehr Sicherheit?

Sichere Datacenter-Design-Prinzipien

Bringt eine Hyperkonvergente Infrastruktur mehr Sicherheit?

Traditionelle Rechenzentrumslandschaften mit separaten Server-, Storage- und Netzwerkressourcen sind unübersichtlich, komplex und bieten zahlreiche Angriffspunkte für Cyber-Attacken. Im Vergleich dazu lassen sich hyperkonvergente Infrastrukturen mit ihrem Security-by-Design-Ansatz deutlich effizienter absichern, so Christian Winterfeldt von Dell EMC. lesen

Grundlagen der E-Mail-Sicherheit

Keine Chance für Phishing und Trojaner

Grundlagen der E-Mail-Sicherheit

E-Mails sind für Unternehmen immer noch das wichtigste Kommunikationsmittel und gleich­zeitig sind sie wichtigster Einfallsweg für Malware in ein Firmennetzwerk. Ransomware, Phishing, virenverseuchte Attachments und auch Spam sind konkrete Bedrohungen für die IT-Sicherheit. Administratoren müssen wissen was zu tun ist, um die Mail-Übertagungen in ihren Netzen abzusichern. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44503867 / Definitionen)