Definition Phishing

Was ist Phishing?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Phishing ahmt vertraute E-Mails und Websites nach, um persönliche Daten, Benutzernamen und Passwörter zu erbeuten.
Phishing ahmt vertraute E-Mails und Websites nach, um persönliche Daten, Benutzernamen und Passwörter zu erbeuten. (Bild: Pixabay / CC0)

Phishing beschreibt den Versuch des Diebstahls von Kennungen und Passwörtern per Internet durch den Versand von gefälschten E-Mails oder SMS. Internet-Anwender werden von Cyberkriminellen mittels täuschend echt nachgemachter E-Mails auf gefälschte Internetseiten von Banken, Onlineshops oder anderen Onlinediensten gelockt um dort deren Benutzerkennungen und Passwörter zu ergattern. Die ergaunerten Daten werden beispielsweise für Kontoplünderungen oder Hackerangriffe auf Unternehmen verwendet.

Phishing leitet sich von dem englischen Wort "fishing" für angeln ab. Es verfolgt das Ziel, sich Zugangsdaten von Internetusern illegal zu "angeln" und diese für kriminelle Handlungen zum Schaden des Users zu verwenden. Oft stehen die Zugangsdaten zum Onlinebanking im Fokus von Phishing-Attacken. Aber auch Kennungen und Passwörter von Mailaccounts, Onlineshops oder sozialen Netzwerken sind häufig Ziel des Phishings.

Durch die ergaunerten Zugangsdaten ist es dem Phisher möglich, die Identität seines Opfers auf der jeweiligen Internetplattform zu übernehmen. Dies versetzt ihn in die Lage, dem Opfer finanziellen Schaden zuzufügen, seinen Ruf zu schädigen oder Waren unter fremdem Namen zu bestellen.

Phishing-Risiko Punycode-Domains

Gefälschte Domainnamen mittels Unicode

Phishing-Risiko Punycode-Domains

02.02.18 - Phishing ist alt, funktioniert für Cyberkriminelle aber immer noch blendend. Ein guter Schutz gegen Phishing sind aufmerksame Anwender, die bemerken wenn ein angeblicher Paypal-Link nicht zur Paypal-Webseite zeigt. Was aber, wenn Angreifer den User mit einer gefälschten Domain austricksen könnten, die sich augenscheinlich genauso schreibt wie die echte? Genau das schaffen Angreifer mit Punycode-Domains und längst nicht jeder Browser schützt Anwender davor. lesen

Für das Phishing genutzte Methoden

Die häufigste für das Phishing verwendete Methode beruht auf dem massenhaften Versenden von E-Mails mit gefälschtem Inhalt. Die E-Mails sind so gestaltet, dass sie den originalen E-Mails von Banken, Onlineshops oder anderen Internetplattformen in puncto Design, Absenderadresse und Kundenansprache möglichst nahe kommen.

Der Empfänger wird in der E-Mail dazu aufgefordert, einen in der Mail enthaltenen Link anzuklicken und dort seine Zugangsdaten einzugeben. Der Link führt zu einer gefälschten Login-Seite des Angreifers. Diese Seite ist der Originalseite der Internetplattform täuschend echt nachempfunden. Hält der Empfänger die E-Mail für echt und gibt seine Daten auf der gefälschten Internetseite ein, ist der Phisher im Besitz seiner Zugangsdaten und kann diese beliebig für seine Zwecke einsetzen. Da die gefälschten E-Mails in großen Mengen versandt werden, tappen trotz der Bekanntheit dieser Art von Attacken und vorhandener Schutzmaßnahmen immer wieder einzelne User in die Falle der Angreifer.

Was ist Spear-Phishing?

Eine besondere Form des Phishing ist das Spear-Phishing. Dabei handelt es sich in der Analogie des Fischens um den gezielten Versuch mittels einer Harpune einen einzelnen Fisch zu erlegen, statt mit dem Netz Dutzende oder Hunderte Fische zu erbeuten.

Beim Spear-Phishing erfolgt eine gezielte Phishing-Attacke auf eine eng abgegrenzte Benutzergruppe, über die der Angreifer vorher Informationen einholt. Ziel einer Spear-Phishing-Attacke können beispielsweise die Mitarbeiter der Personalabteilung eines Unternehmens sein, denen eine E-Mail mit einer gefälschten Bewerbung auf eine aktuelle Stellenausschreibung des Unternehmens zugeht.

Praxistipps für Mitarbeiter gegen Spam und Phishing

Security-Awareness-Tipps

Praxistipps für Mitarbeiter gegen Spam und Phishing

15.12.17 - Ähnlich wie beim Erste-Hilfe-Kurs sollten Unternehmen ihre Mitarbeiter auch regelmäßig zu Spam- und Phishing-Thematiken schulen, um den Mitarbeiter als schwächstes Glied in der Verteidigungskette zu stärken. Dabei ist die Technik selbst oft ein Problem, denn Je effektiver Spam-Filter und Anti-Phishing-Routinen arbeiten, desto seltener muss der Mitarbeiter sich selbst Gedanken machen, ob er gerade das Ziel einer Phishingattacke ist. lesen

Schutz vor Phishing-Angriffen

Um sich vor Phishing zu schützen, ist neben verschiedenen technischen Schutzmaßnahmen eine gesunde Vorsicht im Umgang mit E-Mails und der Eingabe von Zugangsdaten im Netz erforderlich.

Grundsätzlich ist davon abzuraten, in E-Mails enthaltene Links anzuklicken und auf den aufgerufenen Seiten persönliche Daten einzugeben. Login-Seiten sollten immer direkt über die Adresszeile des Browsers geöffnet werden. Die Identität der geöffneten Seite ist zusätzlich in der Adresszeile zu prüfen. Dort lässt sich verifizieren, ob die aufgerufene Seite ein gültiges Zertifikat des jeweiligen Anbieters verwendet.

Oft ist es möglich, Phishing-Mails direkt an deren Inhalt zu erkennen. Meist fehlt eine persönliche Ansprache mit Namen oder anderen Kundendaten. Schlecht gemachte Phishing-Mails fallen zudem durch Mängel in der Rechtschreibung und die Dringlichkeit der Ansprache auf. Sind Sie sich bei einer erhaltenen Mail nicht sicher, ob es sich um eine Phishing-Mail handelt, können Sie nach enthaltenen Textpassagen im Internet suchen. Oft zeigen die Suchtreffer direkt, dass der Inhalt aus einer bekannten Phishing-Mail stammt.

Technische Schutzmaßnahmen vor dem Phishing

Das Risiko von Phishing-Attacken lässt sich durch technische Maßnahmen zusätzlich minimieren. Viele Virenprogramme aber auch E-Mailprogramme sind in der Lage, Phishing-Mails aufgrund bestimmter Merkmale zu erkennen und vor diesen zu warnen. Zudem lässt sich die HTML-Darstellung von E-Mails in den Mailprogrammen ausschalten oder so wählen, dass nur Inhalte von vertrauten Quellen angezeigt werden. Zusätzlich zu den Mailprogrammen erkennen moderne Browser viele Phishing-Webseiten und warnen direkt bei deren Aufruf.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Bad Bots vs. Security-KI

Erfolgsfaktoren beim Einsatz von KI

Bad Bots vs. Security-KI

Cyberangreifer nutzen ein vielfältiges Arsenal an Hacking-Tools, um Unternehmen zu attackieren: Fake-/ Phishing-Mails zum Identitätsdiebstahl, Ransomware zum Erpressen hoher Summen und neuerdings auch Bad Bots, um beim E-Commerce-Verkehr Sicherheitslücken aufzuspüren. lesen

Automatisierung für effektiven Cyberschutz

Security Automation

Automatisierung für effektiven Cyberschutz

Für Unternehmen ist ein wirksamer Malware-Schutz elementar. Laut Bitkom war 2018 Jahr bereits jeder zweite Internetnutzer ein Opfer von Cyberkriminalität. Pro Tag wurden 2019 BSI 320.000 neue Schadprogramm-Varianten verbreitet. Durch Automatisierung der IT-Security lassen sich viele Probleme beim Kampf gegen Schadsoftware mit überschaubarem Aufwand bewältigen. lesen

Gefahrenzone Social Web

RSA Quarterly Fraud Report Q3 2019

Gefahrenzone Social Web

Betrug und Markenmissbrauch im Social Web machen mittlerweile 17 Prozent aller Betrugsfälle aus. Das sind 75 Prozent mehr als zur gleichen Zeit im Jahr 2018. Seit Anfang 2019 wurden mehr als 26 Millionen kompromittierte Kreditkarten bei Online-Shops – aber eben auch auf sozialen Medien entdeckt. Das sind die Ergebnisse des RSA Quarterly Fraud Report Q3 2019. lesen

Neue Lösungen müssen die E-Mail ersetzen

E-Mail versus neue Kommunikations-Tools

Neue Lösungen müssen die E-Mail ersetzen

Die Arbeitswelt verändert sich ständig, Mitarbeiter arbeiten mobil und flexibel und Unternehmen brauchen Kommunikationswege, die sich an die neuen Gegebenheiten anpassen. E-Mail ist schon lange nicht mehr die erste Wahl, Instant Messenger-Plattformen kommen wegen mangelnder Sicherheit und Datenschutz­richtlinien nicht in Frage. Es bedarf also neuer Technologien, die aktuell und sicher sind. lesen

Gesundheitswesen unter Beschuss

eMail als Einfallstor

Gesundheitswesen unter Beschuss

Das Gesundheitswesen rückt bei Cyberkriminellen immer mehr in den Fokus. Doch nicht nur Viren sind eine Gefahr für die IT im Gesundheitssektor, sondern auch andere Schadsoftware wie so genannte Ransomware, die den PC verschlüsselt und die Anwender zur Zahlung von Lösegeld auffordert. lesen

Versteckte Malware in WAV-Dateien

Steganographie bei Audiodateien

Versteckte Malware in WAV-Dateien

Cyberkriminelle finden immer neue Wege, um Malware in Zielsysteme einzuschleusen. Eine neue und besonders unauffällige Methode ist es Schadcode in Audio-Dateien zu verstecken. Experten für Threat Research von BlackBerry Cylance können die bisher entdeckten, schädlichen WAV-Datei-Loader, in drei Kategorien einteilen. lesen

Cyberkriminalität betrifft mehr als jeden zweiten User

IT-Security

Cyberkriminalität betrifft mehr als jeden zweiten User

Die Zahl an Opfern von Cyberangriffen ist gestiegen. Laut einer Umfrage des Bitkom wurde im vergangenen Jahr mehr als jeder zweite Onliner (55 Prozent) Opfer von Attacken im Netz. Das sind fast 5 Prozent mehr als 2018. Dabei können sich Nutzer mit wenig Aufwand davor schützen. lesen

„Smartere“ Cyberangriffe

Sicherheitsprognosen 2020

„Smartere“ Cyberangriffe

Cyber-Kriminelle machen Unternehmen das Leben schwer. Besonders Phishing-Angriffe und immer ausgefeiltere Malware-Attacken standen 2019 ganz oben auf der Liste der Bedrohungen – und auch 2020 werden diese mit im Vordergrund stehen. Allerdings werden die Angriffe von Cyber-Kriminellen immer ausgefeilter und damit schwieriger zu identifizieren – nicht nur für Mitarbeiter, sondern auch für Security-Anwendungen. lesen

Public Cloud-Umgebungen richtig absichern

Cloud Security

Public Cloud-Umgebungen richtig absichern

Unberechtigte Zugriffe, unsichere Schnittstellen und Fehlkonfigurationen: Das sind laut einer aktuellen Umfrage die drei größten Sicherheits­risiken in der Public Cloud. Sie in den Griff zu bekommen, ist komplex – wie unter anderem ein Datenschutzvorfall bei Facebook zeigt. Es gibt einige wichtige Sicherheits­maßnahmen, die Unternehmen treffen sollten. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44503867 / Definitionen)