Definition Phishing

Was ist Phishing?

| Autor / Redakteur: Tutanch / Peter Schmitz

Phishing ahmt vertraute E-Mails und Websites nach, um persönliche Daten, Benutzernamen und Passwörter zu erbeuten.
Phishing ahmt vertraute E-Mails und Websites nach, um persönliche Daten, Benutzernamen und Passwörter zu erbeuten. (Bild: Pixabay / CC0)

Phishing beschreibt den Versuch des Diebstahls von Kennungen und Passwörtern per Internet durch den Versand von gefälschten E-Mails oder SMS. Internet-Anwender werden von Cyberkriminellen mittels täuschend echt nachgemachter E-Mails auf gefälschte Internetseiten von Banken, Onlineshops oder anderen Onlinediensten gelockt um dort deren Benutzerkennungen und Passwörter zu ergattern. Die ergaunerten Daten werden beispielsweise für Kontoplünderungen oder Hackerangriffe auf Unternehmen verwendet.

Phishing leitet sich von dem englischen Wort "fishing" für angeln ab. Es verfolgt das Ziel, sich Zugangsdaten von Internetusern illegal zu "angeln" und diese für kriminelle Handlungen zum Schaden des Users zu verwenden. Oft stehen die Zugangsdaten zum Onlinebanking im Fokus von Phishing-Attacken. Aber auch Kennungen und Passwörter von Mailaccounts, Onlineshops oder sozialen Netzwerken sind häufig Ziel des Phishings.

Durch die ergaunerten Zugangsdaten ist es dem Phisher möglich, die Identität seines Opfers auf der jeweiligen Internetplattform zu übernehmen. Dies versetzt ihn in die Lage, dem Opfer finanziellen Schaden zuzufügen, seinen Ruf zu schädigen oder Waren unter fremdem Namen zu bestellen.

Phishing-Risiko Punycode-Domains

Gefälschte Domainnamen mittels Unicode

Phishing-Risiko Punycode-Domains

02.02.18 - Phishing ist alt, funktioniert für Cyberkriminelle aber immer noch blendend. Ein guter Schutz gegen Phishing sind aufmerksame Anwender, die bemerken wenn ein angeblicher Paypal-Link nicht zur Paypal-Webseite zeigt. Was aber, wenn Angreifer den User mit einer gefälschten Domain austricksen könnten, die sich augenscheinlich genauso schreibt wie die echte? Genau das schaffen Angreifer mit Punycode-Domains und längst nicht jeder Browser schützt Anwender davor. lesen

Für das Phishing genutzte Methoden

Die häufigste für das Phishing verwendete Methode beruht auf dem massenhaften Versenden von E-Mails mit gefälschtem Inhalt. Die E-Mails sind so gestaltet, dass sie den originalen E-Mails von Banken, Onlineshops oder anderen Internetplattformen in puncto Design, Absenderadresse und Kundenansprache möglichst nahe kommen.

Der Empfänger wird in der E-Mail dazu aufgefordert, einen in der Mail enthaltenen Link anzuklicken und dort seine Zugangsdaten einzugeben. Der Link führt zu einer gefälschten Login-Seite des Angreifers. Diese Seite ist der Originalseite der Internetplattform täuschend echt nachempfunden. Hält der Empfänger die E-Mail für echt und gibt seine Daten auf der gefälschten Internetseite ein, ist der Phisher im Besitz seiner Zugangsdaten und kann diese beliebig für seine Zwecke einsetzen. Da die gefälschten E-Mails in großen Mengen versandt werden, tappen trotz der Bekanntheit dieser Art von Attacken und vorhandener Schutzmaßnahmen immer wieder einzelne User in die Falle der Angreifer.

Was ist Spear-Phishing?

Eine besondere Form des Phishing ist das Spear-Phishing. Dabei handelt es sich in der Analogie des Fischens um den gezielten Versuch mittels einer Harpune einen einzelnen Fisch zu erlegen, statt mit dem Netz Dutzende oder Hunderte Fische zu erbeuten.

Beim Spear-Phishing erfolgt eine gezielte Phishing-Attacke auf eine eng abgegrenzte Benutzergruppe, über die der Angreifer vorher Informationen einholt. Ziel einer Spear-Phishing-Attacke können beispielsweise die Mitarbeiter der Personalabteilung eines Unternehmens sein, denen eine E-Mail mit einer gefälschten Bewerbung auf eine aktuelle Stellenausschreibung des Unternehmens zugeht.

Praxistipps für Mitarbeiter gegen Spam und Phishing

Security-Awareness-Tipps

Praxistipps für Mitarbeiter gegen Spam und Phishing

15.12.17 - Ähnlich wie beim Erste-Hilfe-Kurs sollten Unternehmen ihre Mitarbeiter auch regelmäßig zu Spam- und Phishing-Thematiken schulen, um den Mitarbeiter als schwächstes Glied in der Verteidigungskette zu stärken. Dabei ist die Technik selbst oft ein Problem, denn Je effektiver Spam-Filter und Anti-Phishing-Routinen arbeiten, desto seltener muss der Mitarbeiter sich selbst Gedanken machen, ob er gerade das Ziel einer Phishingattacke ist. lesen

Schutz vor Phishing-Angriffen

Um sich vor Phishing zu schützen, ist neben verschiedenen technischen Schutzmaßnahmen eine gesunde Vorsicht im Umgang mit E-Mails und der Eingabe von Zugangsdaten im Netz erforderlich.

Grundsätzlich ist davon abzuraten, in E-Mails enthaltene Links anzuklicken und auf den aufgerufenen Seiten persönliche Daten einzugeben. Login-Seiten sollten immer direkt über die Adresszeile des Browsers geöffnet werden. Die Identität der geöffneten Seite ist zusätzlich in der Adresszeile zu prüfen. Dort lässt sich verifizieren, ob die aufgerufene Seite ein gültiges Zertifikat des jeweiligen Anbieters verwendet.

Oft ist es möglich, Phishing-Mails direkt an deren Inhalt zu erkennen. Meist fehlt eine persönliche Ansprache mit Namen oder anderen Kundendaten. Schlecht gemachte Phishing-Mails fallen zudem durch Mängel in der Rechtschreibung und die Dringlichkeit der Ansprache auf. Sind Sie sich bei einer erhaltenen Mail nicht sicher, ob es sich um eine Phishing-Mail handelt, können Sie nach enthaltenen Textpassagen im Internet suchen. Oft zeigen die Suchtreffer direkt, dass der Inhalt aus einer bekannten Phishing-Mail stammt.

Technische Schutzmaßnahmen vor dem Phishing

Das Risiko von Phishing-Attacken lässt sich durch technische Maßnahmen zusätzlich minimieren. Viele Virenprogramme aber auch E-Mailprogramme sind in der Lage, Phishing-Mails aufgrund bestimmter Merkmale zu erkennen und vor diesen zu warnen. Zudem lässt sich die HTML-Darstellung von E-Mails in den Mailprogrammen ausschalten oder so wählen, dass nur Inhalte von vertrauten Quellen angezeigt werden. Zusätzlich zu den Mailprogrammen erkennen moderne Browser viele Phishing-Webseiten und warnen direkt bei deren Aufruf.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

KMU im Fokus der Cyberkriminellen

Cisco Cybersecurity Special Report

KMU im Fokus der Cyberkriminellen

IT-Angriffe auf kleine und mittelständische Unternehmen (KMU) werden nicht nur häufiger, sondern richten auch immer größere Schäden an. Laut dem Cisco „Cybersecurity Special Report Small and Midmarket Businesses“, für den 1.800 Unternehmen aus 26 Ländern befragt wurden, betrug bei gut jedem zweiten Sicherheitsvorfall (54 Prozent) der finanzielle Schaden mehr als 500.000 US-Dollar. lesen

IT-Sicherheit im Internet of Things ist ein Muss

Sicherheit in Embedded-Systemen

IT-Sicherheit im Internet of Things ist ein Muss

Bereits heute formen geschätzt rund 14 Milliarden vernetzte Geräte das Internet der Dinge (IoT) – und es wächst rasant. Security ist die wohl wichtigste Anforderung an Geräte, die über das Internet of Things vernetzt sind. Typische Angriffsvektoren und ihre möglichen Auswirkungen zeigt der folgende Beitrag. lesen

FIDO2 bringt den passwortfreien Login

Offener Standard für starke Authentifizierung

FIDO2 bringt den passwortfreien Login

Für viele Anwender findet ein wichtiger Teil des Lebens im Web statt, von Kommunikation über Bank- und Finanzgeschäfte, bis zum Online-Einkauf. Die sichere Anmeldung an Online-Diensten ist dabei unerlässlich um die digitalen Identitäten der Nutzer zu schützen. Dem stehen jedes Jahr größere Zahlen an gestohlenen Benutzerdaten entgegen, die zeigen, dass Benutzername und Passwort keine Zukunft mehr haben. lesen

Was ist eine Endpoint Protection Plattform?

Definition Endpoint Protection Plattform (EPP)

Was ist eine Endpoint Protection Plattform?

Eine Endpoint Protection Plattform (EPP) soll die verschiedenen Endgeräte in einer Enterprise-IT-Umgebung wie PCs, Laptops, Tablets oder Smartphones vor diversen Gefahren schützen. Die Software besitzt Funktionen zum Schutz vor Viren, Malware, Spyware oder Phishing. Zudem können Firewall- oder IPS- und IDS-Funktionen sowie weitere Security-Technologien integriert sein. lesen

Nachhaltige Prävention, statt Reaktion auf Cyber-Gefahren

Sustainable Cyber Resilience

Nachhaltige Prävention, statt Reaktion auf Cyber-Gefahren

Durch Digitalisierung und Vernetzung hat sich die für Cyberkriminelle ausnutzbare Angriffsfläche bei Unternehmen vergrößert. Für Unternehmen wird es daher unverzichtbar, einen Zustand der „Sustainable Cyber Resilience“ zu erreichen, der nachhaltigen Widerstandsfähigkeit. Schwachstellen-Management ist dafür ein unverzichtbarer Faktor. lesen

Mobiler Endgeräteschutz aus der Cloud

Securepoint-Lösung für den Mittelstand

Mobiler Endgeräteschutz aus der Cloud

Mobilgeräte sind aus dem heutigen Arbeitsleben nicht mehr wegzudenken. Doch was passiert, wenn das Gerät das geschützte Firmennetzwerk verlässt. Securepoint hat nun eine Cloud-Lösung entwickelt, die für alle gängigen Betriebssysteme funktioniert. Vorgestellt wird sie im Oktober auf der It-sa. lesen

Lösegeld-Zahlungen nach Ransomware-Angriffen steigen enorm an

Barracuda-Umfrage

Lösegeld-Zahlungen nach Ransomware-Angriffen steigen enorm an

Angriffe durch Ransomware sind im laufenden Jahr und im Vergleich zum Jahr 2017 gesunken, zugleich ist die Zahlungsbereitschaft der Unternehmen aber um mehr als das sechsfache gestiegen, so das Ergebnis einer Umfrage von Barracuda, bei der rund 630 Organisationen weltweit, davon 145 in EMEA befragt wurden. lesen

Investitionen in die IT-Sicherheit lohnen sich!

Wirtschaftliche Gründe für IT-Sicherheit

Investitionen in die IT-Sicherheit lohnen sich!

Wenn ein Unternehmen und seine IT-Abteilung beim Thema Sicherheit nicht an einem Strang ziehen, besteht ein hohes Risiko für Datenschutz­verstöße. Alle IT-Experten sollten deshalb wissen, wie sie ihren Geschäftsführern Sicherheitserfordernisse so vermitteln können, dass sie verstanden und ernst genommen werden. lesen

KI in den Händen von Cyberkriminellen

Künstliche Intelligenz und Cyberkriminalität

KI in den Händen von Cyberkriminellen

Das Wettrüsten in der IT-Sicherheit findet schon seit vielen Jahren statt. Doch mit dem Auf­kom­men von KI und maschinellem Lernen steht mehr auf dem Spiel als jemals zuvor. Denn es besteht die Gefahr, dass Cyber­krimi­nelle künstliche Intelligenz (KI) und maschi­nelles Lernen (ML) für ihre Zwecke nutzen, bevor Hersteller von Sicherheitslösungen ein Gegenmittel gefunden haben. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44503867 / Definitionen)