Phishing: Wie Phishing in Mails, SMS oder per Telefon funktioniert und wie Sie sich schützen können

Phishing bezeichnet den Versuch von Cyber-Angreifern, unter Vortäuschung falscher Tatsachen (Identitäten, E-Mails, Websites, Formulare u.Ä.) an persönliche Daten, Informationen oder auch Geld oder Gegenstände von ahnungslosen Nutzern zu gelangen. Die „Beute“ wird dann entweder missbraucht, entwendet, verschlüsselt oder vernichtet.

Das Wort „Phishing“ steht dabei für die Kombination der Wörter „fishing“ – Englisch für „angeln“, „ködern“ – und (da ist sich das Internet unsicher) entweder für „Password Harvesting“ („Passwörter sammeln“) oder „Phreaking“ (eine alte Form des Telefon-Hackings zum Erhalt von Gratisanrufen aus den 1970er Jahren).

Während die Wurzeln des Social Engineering bis in die 1970er Jahre zurückreichen, wird Phishing per E-Mail oder über das Internet etwa seit Ende der 1990er Jahre praktiziert. Phishing-Methoden haben sich aufgrund ihrer vergleichsweise einfachen Anwendbarkeit und ihrer guten Erfolgsquote (die Schwachstelle ist schließlich keine Maschine, sondern der Mensch selber) seitdem rasant verbreitet. Jährlich werden mehr als 2 Millionen Phishing-Versuche an die gemeinnützige Anti-Phishing Working Group gemeldet – bei einer wahrscheinlich noch viel höheren Dunkelziffer.

Und der Erfolg gibt den Phishern Recht: Nach einer Studie des amerikanischen Telefonanbieters Verizon sind 46% der Umfrageteilnehmer bereits einem Phishing-Versuch zum Opfer gefallen, 15% dieser Personen würden auch erneut auf einen gefährlichen Anhang in einer Mail klicken. Die kumulierten finanziellen Schäden über verschiedene Phishing-Methoden hinweg gehen weltweit in die Milliardenhöhe.

Phishing-Attacken folgen einem standardisierten Muster. Sie können zwar über verschiedene Medien erfolgen – die Vorgehensweise sowie die Intention sind sich aber stets sehr ähnlich.

Viele Nutzer wägen sich in Sicherheit, da sie der Meinung sind, Phishing-Muster bereits gut zu (er-)kennen. Doch die Angriffsstrategien der Cyberkriminellen werden immer besser. Zum Teil beschaffen diese sich im Vorfeld Informationen über das Opfer (bspw. dass es einen bestimmten Anruf oder eine bestimmte E-Mail erwartet), die die Erfolgschancen des Angriffs massiv erhöhen. Dies kann z.B. über Social Media, Telefon- oder E-Mail-Spionage erfolgen. Selbst hochrangige Politiker und Tech-Firmen sind bereits Phishing-Angriffen zum Opfer gefallen.

Opfer von Phishing-Attacken sind vielfältigen Gefahren ausgesetzt. Je nach Vorgehensweise verfolgen die Angreifer verschiedene Ziele, an deren Ende aber meistens deren finanzielle Bereicherung auf Kosten des Opfers steht. Hier sind einige der häufigsten Gefahren, die Ihnen oder Ihrem Unternehmen als Folge eines Phishing-Angriffs widerfahren können:

Wie Sie sehen, sind die Gefahren, die von Phishing-Angriffen ausgehen, zahlreich und schwerwiegend. Wie Sie einen Phishing-Angriff effektiv erkennen und sich somit schützen können, lesen Sie weiter unten in diesem Beitrag.

Die meisten Menschen kennen den Begriff „Phishing“ in Verbindung mit verdächtigen E-Mails. Phishing wird jedoch – als Unterkategorie des Social Engineering – über verschiedenste Medien praktiziert. Wie das genau funktioniert, erfahren Sie hier.

Phishing per E-Mail ist die bekannteste und am meisten verbreitete Form des Phishing. Dabei versenden die Angreifer meist unter falschem Namen E-Mails an potenzielle Opfer, die auf den speziell angepassten Aufbau der E-Mail hereinfallen sollen. Die E-Mails enthalten dann entweder offene oder hinter Buttons versteckte Links oder Anhänge, die den Nutzer auf eine gefälschte Website führen oder Schadsoftware installieren.

Voice Phishing – auch Vishing genannt – beschreibt Betrugsversuche, die per Sprache – also vor allem am Telefon – stattfinden. Das Kunstwort „Vishing“ ergibt sich dabei aus der Verschmelzung des „V“ aus „Voice“ und dem Wort „Phishing“. Bei dieser Art des Phishings versuchen Angreifer ihre Opfer per Telefon zur Herausgabe sensibler Daten wie Adressen, Zugangsdaten, Kreditkartennummern, Unternehmensinformationen u.Ä. zu bewegen.  Die Angreifer geben sich dabei als vermeintliche Mitarbeiter bestimmter Organisationen oder auch des eigenen Unternehmens aus. Teilweise – je größer das vermutete Potential auf Seite des Opfers vermutet wird – wird der Kontakt über mehrere Telefonate mühsam aufgebaut, um das Vertrauen des Opfers zu gewinnen. Auch sogenannte Ping-Anrufe, bei denen Computer wahllos Nummern anrufen, sofort auflegen und die Täter dann auf den Rückruf des Opfers warten, gehören zum Repertoire der Vishing-Angreifer.

Ein Klassiker unter den Vishing-Angriffen ist der sogenannte „Enkeltrick“, bei dem Angreifer vorzugsweise ältere Menschen am Telefon zu Geldzahlungen bewegen wollen. Dabei geben sie sich als deren Enkel oder enge Verwandte aus, die angeblich in finanziellen Nöten sind und dringend Geld benötigen.

Website-Phishing tritt oft in Kombination mit anderen Phishing-Arten auf. Eine Phishing-Website ist die möglichst exakte Kopie einer bereits existierenden Website einer vertrauenswürdigen Institution (Banken, Behörden, Online-Shop, Zahlungsdienstleister o.Ä.). Über diese gefälschten Websites wird versucht, das Opfer, welches vorher auf verschiedenen Wegen auf diese Website gelockt wurde, zur Eingabe von (Zugangs-)Daten zu bewegen. Die Formulare auf den Phishing-Websites, in die die Daten eingegeben werden, fangen diese Daten ab und werden dem Angreifer zugeführt. Er kann die Daten nun verwenden, um sich selbst auf der echten Website mit den Login-Daten des Opfers einzuloggen.

Cyberkriminelle haben neben den klassischen Kommunikationskanälen des Internets längst auch die sozialen Medien als mögliches Fanggebiet für Phishing-Opfer entdeckt. Dabei erstellen sie zum Teil gefälschte Profile, von denen aus sie Nachrichten an potenzielle Opfer verschicken und so versuchen, an Daten oder Geld zu kommen. Eine andere Taktik ist das Hacken von realen Social-Media-Profilen, um die Accounts der gehackten Personen zu missbrauchen. Denn diese realen Profile besitzen den großen Vorteil, dass sie bereits mit zahlreichen Freunden verbunden sind und dadurch eine hohe Glaubwürdigkeit für die Kontakte dieses Profils aufweisen. Die Opfer haben dann oft keine Ahnung, dass sie gerade nicht von ihrem echten Freund, sondern von einem Angreifer angeschrieben werden – und lassen sich womöglich leichtfertig auf die Forderungen des vermeintlichen Bekannten ein.

Smishing – Phishing per SMS, woraus sich auch die Bezeichnung ableitet – ist eine neuere Form des Phishings. Ablauf und Ziel sind wiederum sehr ähnlich zu anderen Phishing-Arten. Die Angreifer versenden dabei SMS an zufällige oder zielgerichtet ausgewählte Mobilfunknummern. Inhalt der SMS ist meistens eine Handlungsaufforderung mit einem klickbaren Link. Klassische Inhalte bei Shmishing sind vermeintliche Bestätigungsaufforderungen für Bankkonten, die Verifizierung eines Kontos, neuerdings aber auch vermeintliche Sendungsverfolgungen von Paketen – hinter deren Links dann der Download einer App steht, die das Smartphone des Opfers ausspioniert.

Nicht nur anhand des Mediums lassen sich Phishing-Angriffe differenzieren – auch anhand ihrer Vorgehensweise und Strategie lassen sich die Cyberattacken kategorisieren. Dies sind die wichtigsten Arten des Phishings:

Deceptive Phishing, also „irreführendes“ Phishing, beschreibt die klassische Form des Phishing. Dabei geben sich Angreifer als vertrauenswürdige Organisationen, Institutionen und Unternehmen aus und versuchen Ihre Opfer auf eine gefälschte – also „irreführende“ – Website zu locken. Dort werden dann Zugangsdaten, Kontonummern, Passwörter und vieles mehr abgefangen und anschließend missbraucht.

Viele Phishing-Mails werden wahllos an eine große Anzahl an E-Mail-Konten gesendet. Mit hoher Wahrscheinlichkeit haben auch Sie schon einmal eine solche E-Mail bekommen oder in Ihrem Spam-Ordner gefunden.

Beim Spear Phishing („Phishing mit einem Speer“) greifen die Hacker jedoch wesentlich gezielter an. Um in der Fischerei-Metapher zu bleiben: Stellt „normales“ Phishing das Fangen von Fischen mit Schleppnetzen dar, die überall wahllos durchpflügen, dann ist Spear Phishing die hochspezialisierte Jagd auf eine Fischart mit einer speziellen Harpune.

Die Angreifer sammeln im Vorfeld detaillierte Informationen zur ausgewählten Gruppe der Opfer, deren Netzwerk, Arbeitskollegen, Unternehmen und vieles mehr. Im Vorfeld erfolgt zudem häufig eine Analyse des E-Mail-Verkehrs, um etwa Schreibstil und anderer Merkmale des echten Mail-Austausches nachempfinden zu können. Anschließend wird eine speziell angefertigte Phishing-Mail an die Opfer geschickt. Klassischerweise sind auch dort dann meistens Links zu kompromittierten Websites oder verseuchte Dateianhänge enthalten. Aufgrund der detaillierten Vorbereitung und dem angeeigneten Wissen der Angreifer ist die Erfolgswahrscheinlichkeit beim Spear Phishing deutlich höher als bei konventionellem, nicht zielgerichtetem Phishing.

Phishing über die CEO-Fraud- bzw. BEC-Methode ist eine weitere hochspezialisierte Vorgehensweise im Phishing. Dabei geben sich die Betrüger gegenüber Mitarbeitern eines Unternehmens als Vorstand oder sehr hohe Führungskraft des Unternehmens aus. Die angeschriebenen Mitarbeiter – vorwiegend aus der Finanz- bzw. Buchhaltungsabteilung des Unternehmens – fühlen sich durch die „streng vertrauliche“ und persönliche Ansprache geehrt. Es folgen oft längere Konversationen und E-Mail-Verläufe, an deren Ende es die Betrüger schaffen, die Mitarbeiter von der Rechtmäßigkeit der Zahlung auf Wunsch des vermeintlichen Chefs zu überzeugen.

CEO-Fraud und BEC ist als Phishing-Methode enorm erfolgreich. Einige der spektakulärsten Phishing-Angriffe gehen auf Ihre Anwendung zurück. Das FBI hat ermittelt, dass US-amerikanischen Unternehmen durch CEO-Fraud alleine im Jahr 2020 ein Schaden in Höhe von 1,8 Milliarden US$ entstanden ist – eine enorme Summe, die unterstreicht, wie lukrativ Phishing für den Angreifer sein kann.

Pharming ist eine neuere Art des Phishings, die selbst sehr versierte und vorsichtige Nutzer in die Irre und zur ungewollten Datenweitergabe verleiten kann.

Angreifer verschaffen sich beim Pharming Zugang zu den DNS-Einstellungen realer, vertrauenswürdiger Website-Domänen. Dies kann z.B. durch das Entwender der Zugangsdaten zum Domain-Hoster erfolgen. Die Aufgabe von DNS-Servern ist das Ermitteln der korrekten IP-Adresse der gewünschten Website bzw. des zugehörigen Web-Servers, damit der Browser des Nutzers die Verbindung zu diesem Server aufbauen kann. Die sogenannten „Pharmer“ manipulieren allerdings diese sog. IP-Adressauflösung.

Die Opfer werden dadurch, obwohl sie die korrekte Internetadresse eingeben, auf eine gefälschte Seite weitergeleitet. Diese ist dem Original nachempfunden (siehe auch Website-Phishing) und oft täuschend echt. Die Dateneingaben der Opfer (Zugangsdaten, Finanzdaten, persönliche Angaben u.v.m.) landen allerdings bei den Betrügern – und werden anschließend missbraucht.

Eine besondere Form des Spear-Phishings ist das sogenannte Whaling. Der Begriff leitet sich vom Wort „Whale“, also „Wal“ ab und verrät schon, dass es die Betrüger bei dieser Form des Phishings auf die „ganz dicken Fische“ abgesehen haben.

Im Gegensatz zum Spear Phishing, wo zwar eine spezifische, aber zumeist größer gefasste Personengruppe als Ziel der Angriffe herhalten muss, konzentrieren sich die Täter beim Whaling auf sehr vermögende Personen sowie die obersten Chefs und Führungsetagen von Unternehmen – CEOs, COOs, CFOs und andere hochrangige Führungskräfte.

Diese Personen werden mit großer Sorgfalt ausgewählt. Im Vorfeld des Whaling-Angriffs findet eine umfassende Recherche zu persönlichen Daten, Vorlieben, Stellung im Unternehmen und Insider-Informationen statt. Teilweise versuchen die Täter auch unter Vortäuschung falscher Identitäten über Anrufe oder Social Media an zusätzliche Informationen zu kommen. Ebenso findet häufig unter großem Aufwand über längere Zeit E-Mail-Spionage statt, z.B. über sog. Man-in-the-Middle-Angriffe auf die E-Mail-Übertragung.

Der Whaling-Angriff erfolgt dann über präzise und detailliert verfasste E-Mails, die Handlungsdruck ausüben und das Opfer nach und nach in eine Falle laufen lassen. Inhalte sind nicht selten vermeintliche Gerichtsvorladungen oder drohende Rufschädigung durch unterlassene Handlungen. Oft schaffen es die Betrüger so, das Opfer auf einen Link oder einen Anhang klicken zu lassen, der die Systeme mit bösartiger Software verseucht und anschließend zum Diebstahl hochsensibler Daten führt.

Teilweise wird Whaling auch verwendet, um sich Zugang zu den Benutzerkonten eines Geschäftsführers zu verschaffen – um anschließend mit Hilfe des CEO-Fraud / Business E-Mail Compromise (BEC) andere Mitarbeiter mit dem authentischen E-Mail-Konto des Geschäftsführers bzw. der Führungskraft hinters Licht zu führen.

Eine besonders perfide Phishing-Taktik, die ähnlich wie das Pharming auch technisch versierte Personen zu Opfern werden lässt, ist das Clone Phishing. Dort werden die Geschädigten mit exakten Kopien originaler, vertrauenswürdiger E-Mails hinters Licht geführt.

Dazu nutzen die Angreifer zunächst einmal das Wissen, welche E-Mails das Opfer empfängt. Dafür werden entweder Nachrichten über unsichere Verbindungen bspw. durch Man-in-the-Middle-Angriffe abgefangen oder Nutzeraccounts gehackt. Finden die Angreifer eine vertrauenswürdige E-Mail, die den Nutzer zu einer Dateneingabe oder Website führt, wird diese E-Mail 1:1 geklont – lediglich die Links und / oder Anhänge der E-Mail werden durch bösartige Varianten ersetzt. Der Absender der E-Mail wird von den Hackern ebenfalls manipuliert und die E-Mail mit dem Betreff „Update“ versehen. So denkt das Opfer, die ursprüngliche, vertrauenswürdige Partei hätte in der ersten E-Mail einfach etwas vergessen und reagiert nun mit einer aktualisierten Version der E-Mail. In Unwissenheit klickt das Opfer nun auf die Links oder Anhänge der zweiten Mail – mit den bekannten Folgen, die von Datendiebstahl bis zu Geldbetrug reichen.

Ein reales Bedrohungsszenario im Rahmen des Clone Phishing ist der unverschlüsselte oder nicht ausreichend verschlüsselte E-Mail-Versand. Die Angreifer haben so die Möglichkeit, Nachrichten im Klartext mitzulesen – und dadurch die Grundlage für das exakte Kopieren dieser Nachrichten. Anschließend ist es für sie ein leichtes, das Opfer mit einer vermeintlich identischen Update-Klon-E-Mail zum Klicken eines Links zu bewegen.

Eine Lösungsmöglichkeit ist der Einsatz eines Gateways zur sicheren E-Mail-Übertragung, wie comcrypto MXG. Das Abfangen und unbemerkte Mitlesen wird mit Hilfe der adaptiven Verschlüsselung von comcrypto MXG unmöglich, indem der unverschlüsselte Versand  komplett unterbunden wird und immer ein definiertes Mindest-Sicherheitsniveau, z.B. die qualifizierte Transportverschlüsselung, für die gesamte E-Mail-Kommunikation zum Einsatz kommt.

Phishing-Angriffe geschehen auf den unterschiedlichsten Wegen, mit verschiedensten Methoden und in nahezu allen Kommunikationsmedien. Dabei werden die Angriffe immer raffinierter und ausgefeilter. Es gibt jedoch nach wie vor Möglichkeiten, Phishing-Attacken anhand bestimmter Muster oder Unregelmäßigkeiten gut zu erkennen.

Oberste Regel sollte sein: Hinterfragen Sie die Nachricht, die bei Ihnen ankommt! Wenn Sie diese nicht erwarten, lange nichts von diesem Absender gehört haben und / oder Druckmittel angewendet werden, sollten Sie unbedingt skeptisch sein. Kontaktieren Sie den vermeintlichen Absender im Zweifel, bevor Sie irgendwelche Links oder Anhänge öffnen, Daten eingeben oder Geld überweisen.

Folgende Auffälligkeiten der Nachrichtenstruktur können auf einen Phishing-Versuch hindeuten:

Folgende Auffälligkeiten des Nachrichteninhalts können auf einen Phishing-Versuch hindeuten:

Während im vorangegangen Beispiel-Bild viele Auffälligkeiten für eine Phishing-Nachricht, wie die Masche des unerwarteten Gewinns, der Einsatz mehrerer Sprachen sowie Rechtschreibfehler zu finden sind, muss man im folgenden Fall schon näher hinschauen. Betrüger haben hier gezielt versucht, stilistische Elemente des Auftritts der Volksbank zu kopieren um damit glaubwürdig zu erscheinen. Über die Fehlermeldung im oberen Bildrand, geschrieben in kyrillischen Buchstaben und die unpersönliche Anrede als "Kunde", ist aber auch diese E-Mail klar als Phishing-Angriff zu identifizieren.

Auch Phishing-Websites haben zum Teil charakteristische Eigenschaften, an denen sie sich identifizieren lassen. Bei folgenden Hinweisen sollten Sie besondere Vorsicht walten lassen:

Neben vorsichtigem Verhalten bei verdächtigen Erkennungsmerkmalen von Phishing-Versuchen können Sie sich auch ganz aktiv vor Phishing-Angriffen schützen. Die folgenden Tipps helfen Ihnen dabei:

Zum Abschluss noch ein allgemeingültiger Ratschlag im Umgang mit Websites, E-Mails und anderen Nachrichtenquellen: Seien Sie generell skeptisch! Unerwartete Gewinne sind sehr unwahrscheinlich und Angebote, die zu gut sind, um wahr zu sein, sind es in den allermeisten Fällen auch.

Die Liste erfolgreicher Phishing-Attacken in der Vergangenheit ist nahezu endlos. Weltweit gehen die jährlichen Schäden durch Phishing in Milliardenhöhe. An dieser Stelle möchten wir Ihnen eine kleine Auswahl spektakulärer Fälle verschiedener Phishing-Arten zeigen, die sich tatsächlich so zugetragen haben.

Der Leiter der Wahlkampfkampagne von Hillary Clinton, John Podesta, sowie einige weitere Mitarbeiter Clintons fielen im Frühjahr 2016 einem russischen Spear-Phishing-Angriff zum Opfer. Die Mail sah wie folgt aus:

Der Politiker fiel auf die Falle herein, klickte auf den mit bit.ly gekürzten Link und gelangte auf eine gefälschte Website, in der er seine Google-Accountdaten eingab. Darauffolgend stahlen die Angreifer der russischen Hackergruppe „Fancy Bear“ eine gewaltige Menge der Nachrichten von John Podesta – die zum Großteil im Herbst 2016 auf der Plattform WikiLaks veröffentlicht wurden.

Erkennen können hätte man den Angriff vor allem an drei Stellen der E-Mail:

Die CEO-Fraud-Methode richtet nicht nur in den USA erhebliche Schäden an, wo das FBI von Schadenssummen bis zu 1,8 Milliarden US-Dollar jährlich berichtet.

Im August 2016 fiel der deutsche Automobilzulieferer Leoni einem Phishing-Angriff der CEO-Fraud-Methode zum Opfer. Dabei nutzten die Täter gefälschte Dokumente, Identitäten und E-Mails, um sich als hochrangige Manager auszugeben und das Vertrauen der Mitarbeiter zu erschleichen. Im Anschluss wurden innerhalb von 3 Wochen nach und nach mehr als 40 Millionen Euro auf die Konten der Betrüger in China und Hongkong transferiert - in dem Glauben, unternehmensinterne Projekte zu finanzieren.

Auch der Luftfahrtkonzern FACC aus Österreich wurde Anfang 2016 Opfer des CEO-Fraud / Business E-Mail Compromise (BEC). Dort erhielt eine Mitarbeiterin aus dem Finanzbereich gefälschte E-Mails mit der Bitte, millionenschwere Überweisungen zu tätigen. Dabei gaben sich die Angreifer als ranghohe Unternehmensmitglieder aus und deuteten an, das Geld werde schnellstmöglich für eine Geschäftsübernahme benötigt. Zudem sei die Sache streng vertraulich und zeitkritisch. Die Mitarbeiterin gab daraufhin mehr als 50 Millionen Euro für die Überweisung frei.

Ein für Phishing eher ungewöhnliches Schadensbild zeichnete sich Ende 2015 in der ukrainischen Region Iwano-Frankiwsk ab. Dort gab es einen mittelschweren Blackout: Mehr als 230.000 Haushalte hatten für mehrere Stunden keinen Strom.

Grund war eine vermutlich russische Hackergruppe, die mit Hilfe von Phishing E-Mails schädliche Dateianhänge in das Netzwerk des Stromversorgers geschleust hat. Die Microsoft Office-Dateien, die an den Mails hingen, führten bei Ihrer Öffnung bösartige Makros aus. Mit deren Hilfe haben sich die Angreifer bis in die zentrale Steuerung der Stromversorgung vorgearbeitet und das Netz schließlich lahmgelegt.