Phishing

Phishing: Wie sich Betrüger vertrauliche Daten erschleichen

Wer schon länger im Internet unterwegs ist, kennt E-Mails mit den Betreffzeilen „Ihr Konto wurde vorübergehend gesperrt“ oder „Sie müssen Ihre Zugangsdaten aktualisieren“. Derart Dringlichkeit vortäuschende Anliegen verheißen nur selten etwas Gutes: In den meisten Fällen handelt es sich um einen Phishing-Versuch.

Angreifer nutzen dieses sogenannte Phishing dazu, sensible Informationen auszuspähen, seien es die Login-Daten für das Online-Banking oder die Zugangsdaten zum administrativen Bereich einer Firmen-Webseite. Beides bringt im Erfolgsfall Geld ein - entweder direkt durch den Missbrauch der erbeuteten Details oder indirekt durch deren Verkauf auf dem Schwarzmarkt oder an die Konkurrenz. Auch Erpressung ist eine Möglichkeit.

Cyberkriminelle haben also durchaus eine gesteigerte Motivation, es auf einen Versuch ankommen zu lassen. Zumal dieses Vorgehen deutlich einfacher und mit weniger Aufwand durchzuführen ist, als ähnliche Angriffe mit vergleichbarem Ergebnis.

Was Phishing bedeutet

Als Form des digitalen Trickbetrugs oder des Datendiebstahls ist es das ausgewiesene Ziel des Phishings, eigentlich nicht für unbefugte Dritte bestimmte Daten zu sammeln. Der Kunstbegriff selbst leitet sich vom englischen Wort „fishing“ ab und vermischt es mit dem ebenfalls englischen Begriff „Password“. Beides verdeutlicht zum Neologismus zusammengesetzt bildlich, worum es geht: Das Angeln oder Fischen nach Passwörtern und Zugangsdaten.

Früher haben die Angreifer noch im Trüben gefischt: Wahllos wurden E-Mails verschickt und die Rezipienten darin aufgefordert, doch bitte ihre sensiblen Daten preiszugeben. Mit der Zeit hat sich das Phishing jedoch professionalisiert: Mehr als zehn Prozent aller angegriffenen Internetnutzer haben schon einmal auf einen schädlichen Link geklickt oder einen gefährlichen E-Mail-Anhang geöffnet. Ein „Phisher“ muss im Schnitt also gerade einmal zehn Nachrichten versenden, um einmal erfolgreich zu sein.

Diese Erfolgsaussichten ziehen Nachahmer an: Mittlerweile ist das Phishing für mehr als 90 Prozent aller gezielten Angriffe im Internet verantwortlich. Neben der weitverbreiteten Malware gilt das Phishing heute als eine der größten Gefahren im World Wide Web.

Wie Phishing funktioniert

Phisher bedienen sich heutzutage verschiedener Techniken, um sich das Vertrauen ihrer Opfer zu erschleichen. Die gängigste Methode ist weiterhin das seit Langem genutzte und mittlerweile perfektionierte Social Engineering. Ziel bei dieser sozialen Manipulation ist es, beim Opfer eine bestimmte Verhaltensweise auszulösen - in den meisten Fällen das Anklicken eines beigelegten Links.

Der Verweis täuscht in der Regel eine vertraute Webseite vor, soll in Wahrheit aber nur die Daten des getäuschten Besuchers offenlegen. Verschleiert wird das häufig durch eine leicht abgewandelte URL, eine ausgeblendete Adressleiste oder ein Pop-up. Auch Sicherheitslücken in Browsern können Inhalte von betrügerischen Servern darstellen, ohne dass der Nutzer es merkt - etwa durch gefälschte oder mit einem Bild überlagerte Adressleisten.

Spear Phishing als Gefahrenquelle

Aus dem Social Engineering, das dem traditionellen Phishing zugrunde liegt, ist später das sehr viel raffiniertere Spear Phishing hervorgegangen. Hier versenden die Angreifer nicht wahllos E-Mails an eine möglichst große Anzahl an Empfänger, sondern suchen sich ihre Opfer im Vorfeld genau aus und personalisieren das Anschreiben. Perfide: Durch das Einflechten zuvor recherchierter persönlicher Daten in die E-Mail, tappen Betroffene häufiger in die Falle.

Insbesondere Mitarbeiter größerer Firmen gelten als lukrative Ziele: Sie sind das schwächste Glied in der Sicherheitskette und lassen sich durch eine vermeintliche E-Mail des Vorgesetzten leicht davon überzeugen, sich eine verseuchte Datei anzusehen oder auf einen Link zu klicken. Häufig geben sich die Angreifer auch als IT-Administratoren aus und geben vor, manuell einen Passwort-Wechsel oder dergleichen durchführen zu müssen.

Weitere Angriffsmöglichkeiten sind Domain-Spoofing, Man-in-the-Middle-Angriffe und Browser-Schwachstellen, über die ungefragt Trojaner auf den Zielrechner geladen werden. All, das geht über das herkömmliche Phishing hinaus und erfordert deutlich mehr Aufwand und Technikwissen.

Wie man sich wirksam gegen Phishing schützt

Einen hundertprozentigen Schutz gegen Phishing gibt es nicht - die Schwachstelle Mensch bleibt stets bestehen. Das Risiko lässt sich jedoch eindämmen. Einige wichtige Punkte, die es zu beachten gilt:

  • private Informationen nicht jedem frei im Internet zugänglich machen. Das eigene Profil auf Facebook und anderen sozialen Netzwerke für den Zugriff unbekannter Dritter sperren.
  • verdächtige E-Mails auf Unstimmigkeiten prüfen. Ist eine Verteiler-Liste als Empfänger eingetragen? Besteht der Betreff aus einer Handlungsaufforderung? Ist die Anrede unpersönlich? Verweist ein Link in der E-Mail auf eine unbekannte URL? Gibt es Rechtschreib- und Grammatikfehler oder untypische Redewendungen? Baut der E-Mail-Text zeitlichen Druck auf? All das ist ein Anlass, an der Aufrichtigkeit des Absenders zu zweifeln.
  • den Browser unbedingt durch einen Phishing-Filter schützen.
  • häufig besuchte Webseiten wie die der eigenen Bank stets händisch in die Adresszeile des Browsers eintippen.
  • Ansonsten gilt: Stets wachsam und skeptisch sein - auch wenn die E-Mail oder der Link auf den ersten Blick von Freunden, Bekannten oder Geschäftspartnern stammt.