Es gibt viele Techniken für einen Cyberangriff auf private Anwender oder Unternehmen. Aber die Methode Nummer 1 ist Phishing in all seinen vielen Varianten. Wir erklären Ihnen, wie zehn besonders perfide Phishing-Arten funktionieren.
(Quelle: Shutterstock/janews)
Salopp übersetzt heisst Phishing nichts anderes als angeln. Denn Cyberangreifer werfen an einer langen digitalen Leine einen Haken samt Köder aus und warten einfach darauf, dass die Opfer «anbeissen». Die ersten Attacken waren noch mündlich per Telefon, mit denen man versuchte, den Opfern mit Lügengeschichten das Geld aus der Tasche zu ziehen. Diese Art der Attacken gibt es zwar heute noch, aber digitales Phishing ist lohnender bei weniger Aufwand. Seit die E-Mail zum Standard wurde, ist auch Phishing ein Standardangriff. Genaue Zahlen gibt es zwar keine, aber die Angreifer erbeuten viele Milliarden US-Dollar – pro Jahr.
Es gibt unzählige Arten von Phishing: Im Internet haben sich diverse Phishing-Techniken etabliert. Der Klassiker oder seine Grundform ist das E-Mail-Phishing (siehe Punkt 1).
Wir stellen Ihnen zehn aktuelle Varianten von Phishing vor und wie diese funktionieren. In allen Bereichen passierten in den vergangenen Jahren teils spektakuläre Angriffe. Auch diese wollen wir Ihnen erzählen.
1. Das E-Mail-Phishing
In der klassischen Form des Phishings senden Betrüger gefälschte E-Mails, die wie Nachrichten von vertrauenswürdigen Quellen aussehen. Das sind meist nachgebaute E-Mails von bekannten Banken oder anderen Unternehmen. Schliesslich wird so die Wahrscheinlichkeit erhöht, dass der Empfänger wirklich ein Kunde des Unternehmens ist, von dem die E-Mail gefälscht wurde. In den heutzutage teils perfekt aufgebauten und sprachlich fehlerfreien Phishing-E-Mails finden sich fast immer Links, die zu gefährlichen Internetadressen führen. Oft stecken auch gefährliche Anhänge in den Mails.
Der Köder ist zum Beispiel die Information eines Unternehmens, dass man sich unbedingt bei seinem Konto einloggen soll, um die aktuellen Kundendaten zu prüfen, Bild 1. Allerdings: Der Link führt zu einer oft fast perfekt gefälschten Webseite des Unternehmens. Loggt man sich ein, passiert natürlich weiter nichts. Manchmal bekommen Kunden noch eine Fehlermeldung, dass der Dienst gerade gestört wäre.
Bild 1: Klassische Phishing-E-Mail, bei der man wegen einer Paketlieferung einem gefährlichen Link folgen soll – die seltsamen Linkadressen weisen bereits darauf hin, das etwas faul ist
Quelle: PCtipp.ch
In Wirklichkeit hat das Onlineformular die Log-in-Daten des Kontos in eine Datenbank der Hacker übertragen und gespeichert. Auf diese Weise gelangen Passwörter oder Kreditkartendaten in die Hände von Gaunern, die sie vielfach selbst nutzen oder gesammelt im Darknet verkaufen.
2. Gezielt: Spear-Phishing
Diese Art des Phishings zielt auf eine einzelne Person oder eine besondere Gruppe ab. Dies kann eine Abteilung eines Unternehmens sein oder auch ein führender Angestellter. Die Angreifer investieren zuerst Zeit und Geld in die Recherche, wie sie die ausgesuchte Gruppe in die Falle locken können. Danach verschicken die Cybergangster die Spear-Phishing E-Mail und versuchen durch Fragen an die Personen an sensible Daten zu gelangen. In den E-Mails sind eventuell Links zu gefälschten Seiten, die manchmal Malware ohne Zutun übertragen oder auch per verlockendem Download angeboten werden. Aber auch gefährliche Anhänge sind vielfach dabei. Das Ziel ist meist das erste Eindringen in einen PC, um dort Zugangsdaten abzugreifen oder um eine Hintertür auf dem PC bzw. Netzwerk zu installieren, Bild 2.
Bild 2: Spear-Phishing zielt zum Beispiel auf Unternehmen, die viele Rechnungen per E-Mail mit Anhang bekommen – hier steckte eine Malware als Script in der ZIP-Datei
Quelle: PCtipp.ch
Spektakulärer Fall: der Angriff auf den Mattel-Konzern 2015. Dabei fälschten die Hacker die Identität des CEO und verschickten eine Spear-Phishing-Mail an die Finanzabteilung. Eine Mitarbeiterin überwies 3 Millionen US-Dollar, ohne das Ganze zu hinterfragen. Erst eine Kontrollinstanz entdeckte die Überweisung und holte das Geld wieder zurück.
3. Vishing – Voice Phishing
Die Idee des Betrugs per Telefonanruf ist zwar alt, aber die Ausführung ist inzwischen sehr ausgereift. Die Angreifer geben sich als Bankmitarbeiter, Beamter oder als Supporter aus und versuchen den Anwender zu einer Aktion zu überreden. Das Ziel ist es, das Opfer zur Preisgabe sensibler Daten zu verleiten, Zahlungen zu leisten oder Zugang zum Computer zu gewähren. Oft werden gefälschte Telefonnummern oder automatisierte Anrufe verwendet. Die angezeigten Telefonnummern stammen dabei sogar aus dem Land oder Ortsnetz, da dafür Internettelefonnummern via SIP-Technik genutzt werden: eine lokale Nummer, die per Internet mit einer ausländischen Nummer verbunden wird, ohne dass dies der Angerufene sieht.
In den letzten Jahren gab es verstärkt Anrufe von falschen Microsoft-Mitarbeitern. Diese behaupteten, dass das verwendete Windows an Microsoft gemeldet habe, es wäre ein Trojaner oder Virus im System. Der falsche Support-Mitarbeiter bietet natürlich seine Hilfe an: Man soll seine E-Mail-Adresse angeben, per Mail einen Link empfangen und ausführen. Schutzabfragen soll man natürlich bestätigen. In Wirklichkeit wird im Hintergrund eine Remote-Software installiert und der echte Antivirenschutz umgangen. Der PC wird so ausspioniert. Zugangsdaten werden gestohlen oder der Rechner dient ab diesem Zeitpunkt unerkannt in einem Bot-Netz als Sklaven-PC und greift andere Systeme an. Gute Schutz-Software kann diese Angriffe abwehren!
4. Quishing – QR-Code-Phishing
Bild 3: Betrüger haben auch schon an Parkuhren die QR-Codes überklebt. Die Autofahrer haben nach dem Scan des Codes an eine gefälschte Webseite gezahlt
Quelle: PCtipp.ch
Quishing ist eine spezielle Form des Phishings, bei der Angreifer QR-Codes verwenden, um ihre Opfer zu täuschen. Statt auf einen gefälschten Link in einer E-Mail oder Nachricht zu klicken, werden die Nutzer aufgefordert, einen QR-Code zu scannen – zum Beispiel per Smartphone vom Bildschirm. Dieser Code, der eine Linkadresse enthält, leitet Nutzer auf eine bösartige Website, die etwa persönliche Daten stiehlt, Malware herunterlädt oder Zahlungsinformationen abgreift. Schutz-Software, die gefährliche Links aus E-Mails filtert, hat hier oft Probleme, da es nur ein Bild gibt und keinen richtigen Link. Diese Angriffsmethode ist aktuell auf dem Vormarsch, da viele Anwender die Gefahr bisher nicht kennen, Bild 3.
Spektakulärer Fall: Im Kanton Waadt wurden im Juli und Oktober 2024 die QR-Code-Aufkleber an Parkautomaten mit gefälschten Aufklebern überklebt. Jeder, der die Gebühren schnell per Kreditkarte zahlen wollte, wurde so auf eine fast perfekt gefälschte Bezahlseite geführt. Dort gaben die Autofahrer ihre Daten ein und bestätigten teilweise die Zahlung oder gaben ihre Kreditkartendaten samt Prüfziffern weiter. So kamen die Angreifer an die Daten der Nutzer und missbrauchten sie zum Teil sofort. Wenige Monate später nutzten Angreifer in Deutschland die gleiche Masche. Die Aufkleber tauchen immer öfter auch an anderen Automaten auf. Unsere Empfehlung: Nutzen Sie die Original-Apps der Anbieter aus dem App-Store von Google oder Apple zum Bezahlen.
5. Smishing – SMS-Phishing
Ähnlich wie beim E-Mail-Phishing schicken Angreifer gefährliche Links per SMS oder auch als Messenger-Nachricht. Die Nutzer werden aufgefordert, auf einen Link zu klicken. Dieser installiert eine App mit Malware oder führt zu gefälschten Log-in-Seiten, um dort die Zugangsdaten abzugreifen. Diese Art von Angriffen gibt es seit vielen Jahren. Sie treten meist in Wellen auf.
Bild 4: SMS-Phishing schickt gefährliche Nachrichten samt Links an mobile Geräte, die aber oft schon vom Handy gefiltert werden
Quelle: PCtipp.ch
Viele Anwender bekommen die Attacken manchmal gar nicht mit. Denn je nach Mobilfunkanbieter und Smartphone-Hersteller werden die Phishing-SMS gleich gefiltert und als Spam ausgeblendet und abgelegt. Schauen Sie einmal unter Ihren SMS-Nachrichten nach: Gehen Sie zum Beispiel zu Ihrem Account und zum Eintrag Als Spam markiert & blockiert Bild 4.
Die am meisten genutzten Maschen: Ein Paket kann nicht geliefert werden, bevor nicht auf einen Link geklickt wurde. Die erweiterte Falle ist etwa der Hinweis «Hallo Mama/Papa, das ist meine neue Nummer. Bitte schreibt mir kurz auf WhatsApp». Dazu gibt es eine Telefonnummer. Wer sich danach auf WhatsApp meldet, bekommt dort einen gefährlichen Link zurückgeschickt.
6. Clone-Phishing – Doppelgänger
Der Aufwand ist zwar höher, aber viele fallen darauf rein: Über ein gehacktes Mailkonto wird eine legitime, bereits versendete E-Mail erneut versendet – dieses Mal allerdings mit gefährlichen Links oder Anhängen mit Malware oder gefährlichen Skripten. Das Vertrauen der Empfänger ist sehr hoch, da sie diese E-Mail und deren Absender kennen.
Diese Art des Phishings ist sehr aufwendig und kein Massenangriff. Daher wird sie selten und meist nur für wertvolle Ziele verwendet: etwa in Unternehmen von einem Mitarbeiter zu einem Mitarbeiter oder zu einem externen Zulieferer. Gute Schutz-Software kann die Links und die Malware zwar erkennen, aber das falsche Vertrauen des Empfängers kann zu erfolgreichen Attacken führen, da er Warnungen nicht ernst nimmt und diese für einen Fehlalarm hält.
7. Social Media Phishing
Bild 5: Social-Media-Phishing per Messenger bei Facebook per gefälschtem Konto, das Phishing-Links versendet. Bild: Kaspersky
Quelle: PCtipp.ch
Leider ist es für Cyberkriminelle immer noch sehr einfach, massenhaft falsche Social-Media-Profile zu erstellen, Bild 5. Die Netzwerke wollen schliesslich wachsen, um mehr Werbung an mehr Nutzer auszuspielen. Allerdings ist das für die realen Nutzer mitunter gefährlich. Denn weitergeleitete oder durch gefälschte Konten mehrfach gelikte Beiträge mit Links haben eine sehr hohe Verbreitung, Bild 6. Die Social-Media-Dienste kontrollieren die Links nur sehr rudimentär.
Interessant dazu ist die kostenlose
Bild 6: Viele gefälschte Facebook-Accounts verteilen immer wieder falsche Postings – hier: der Account sei gesperrt. Bild: GroupIB
Quelle: PCtipp.ch
Anwendung Scamio von Bitdefender unter dem Link bitdefender.com/de-de/consumer/scamio. Es handelt sich um eine KI, der man am Smartphone Daten, Bilder und Links zum Sicherheitscheck geben kann – wenn man ein kostenloses Bitdefender-Konto hat, Bild 7.
Bild 7: Der kostenlose Bitdefender-Service Scamio prüft Social-Links und Texte – etwa in WhatsApp – auf ihre Gefährlichkeit
Quelle: PCtipp.ch
Spektakulärer Fall: Im Jahr 2022 gab es eine LinkedIn-Phishing-Kampagne. Dabei erstellten Hacker gefälschte LinkedIn-Profile und gaben sich als Personalvermittler aus. Sie verschickten Nachrichten mit Links zu vermeintlichen Stellenangeboten. Allerdings versteckte sich dort gefährliche Malware, welche die Nutzer angriff. Das Ziel war es, Mitarbeiter in Unternehmen und aus der IT-Abteilung zu verführen. Nach der Attacke mussten einige Unternehmen Datenlecks melden und erlitten auch finanzielle Verluste, Bild 8.
Bild 8: Typisches Social-Media-Phishing per E-Mail-Nachricht: Man soll seinen Instagram-Account neu verifizieren und übergibt somit seine ganzen Log-in-Daten. Bild: Kaspersky
Quelle: PCtipp.ch
8. Man-in-the-Middle-Phishing
Die Angreifer «fischen» die Kommunikation zwischen zwei Parteien ab, etwa dem Benutzer und einer legalen Website. Das Vorgehen funktioniert meist über unsichere Netzwerke, welche die Angreifer selbst zur Verfügung stellen – etwa kostenlose WLANs an öffentlichen Plätzen. Ist der Nutzer im Netzwerk, lesen die Angreifer die komplette Kommunikation mit oder belauschen die versendeten Daten. Der Angriff ist nicht einfach, da Nutzer und Webseite oft verschlüsselt kommunizieren. Aber: es gibt auch viel unverschlüsselten Datenverkehr abzufangen.
Spektakulärer Fall: In europäischen Städten richtete der Security-Hersteller F-Secure 2014 kostenlose WLAN-Hotspots ein. Die Nutzer mussten bei der Verbindung einer AGB zustimmen. Darin stand, dass sie automatisch zustimmen, ihre Daten jedem preiszugeben. Eine Klausel beinhaltete sogar eine Zustimmung, ihr erstgeborenes Kind an F-Secure zu übergeben. Die Nutzer stimmten zu, da fast niemand die AGB gelesen hatte.
F-Secure fing auch Daten ab und schilderte den Nutzern später, was man alles von ihnen hätte stehlen können. Unser Tipp: Nutzen Sie öffentliche WLANs mit einem VPN-Tool. Damit ist ein solcher Angriff nicht möglich.
9. CEO-Fraud oder BEC
BEC (Business Email Compromise) wird nur sehr speziell ausgeführt – anders als etwa die vielen erfassten Phishing-E-Mails, Bild 9. Die Angreifer investieren dafür viel Zeit und Geld, weil auf diese Weise bereits Millionen US-Dollar erbeutet wurden. Dabei greifen die Hacker auf ein E-Mail-Konto eines Unternehmens zu; nach Möglichkeit das Konto des Chefs. Dort lesen die Angreifer, wer die Zulieferer oder Grosskunden sind. Im Namen dieses Chefs wird die Finanzverwaltung angewiesen, ein Projekt zu bezahlen. Auch Nachfragen der Finanzverwaltungen werden abgefangen und bestätigt. Danach gibt es noch Änderungen bei den Kontodaten und der Betrug läuft – denn, wer widerspricht schon dem Chef.
Bild 9: Die Webseite AV-Atlas.org registriert ständig das Aufkommen von Phishing-E-Mails – die mit Anhang liegen vorn
Quelle: PCtipp.ch
Spektakulärer Fall: Die belgische Crelan Bank wurde Opfer eines Betrugs, der das Unternehmen etwa 75,8 Millionen US-Dollar kostete. Ein Angreifer kompromittierte das Konto einer hochrangigen Führungskraft innerhalb des Unternehmens und wies seine Mitarbeiter an, Geld auf ein vom Angreifer kontrolliertes Konto zu überweisen. Der Phishing-Angriff auf die Crelan Bank wurde erst später bei einem internen Audit entdeckt, denn Zahlungen in dieser Höhe waren wohl keine Seltenheit. Laut eines FBI-IC3-Berichts (ic3.gov) lagen die Schäden durch Business Email Compromise im Jahr 2023 bei 2,9 Milliarden US-Dollar – nur in den USA!
10. Whaling – der dickste Fisch
Diese Angriffe sind eine spezielle Form von Spear-Phishing-Angriffen gemischt mit BEC, die sich auf hochrangige Personen wie CEOs oder Vorstandsmitglieder eines Unternehmens konzentriert. Das Ziel ist es, vertrauliche Informationen, Forschungsdaten oder extrem hohe Summen zu stehlen.
Spektakuläre Fälle: Fast identisch zum Fall der Crelan Bank wurden auch andere Unternehmen betrogen. So erlitt Ubiquiti Networks einen Verlust von 46,7 Millionen US-Dollar, da per gefälschter Chef-E-Mail die Finanzabteilung diverse Überweisungen an betrügerische Konten durchführte. Der österreichische Flugzeugzulieferer FACC verlor 50 Millionen Euro auf die fast gleiche Weise.
Übrigens: Auch das Bundesamt für Cybersicherheit (kurz BACS; Link zur Website ncsc.admin.ch) hat die Entwicklung in der Schweiz immer im Blick und veröffentlich frei zugängliche Halbjahresberichte. Der Bericht zum ersten Halbjahr 2024 zeigt, wie gross bereits der ständige Anteil an Phishing als Bedrohung ist, Bild 10. Im Vergleich zum Halbjahr 2023 hat sich die Zahl an Phishing-Angriffen verdoppelt. Auch die Übersicht der am meisten für Phishing missbrauchten Marken- und Firmennamen nach Branchen ist im Bericht sehr interessant, Bild 11.
Bild 10: Der Halbjahresbericht 2024 des Bundesamts für Cybersicherheit (BACS) informiert, dass der Anteil an Phishing sich gegenüber dem Vorjahr verdoppelt hat
Quelle: PCtipp.ch
Bild 11: Die meisten Phishing-E-Mails missbrauchten laut BACS die Marken und Firmennamen aus den Branchen Finanzsektor, öffentlicher Verkehr und Telekommunikation
Quelle: PCtipp.ch
Sicherheit im Internet - 10 Tipps | PCtipp Lifehack
Sehr gute Infos zu Phishing Mails etc etc. Ich erhalte seit ca 2-3 Monaten täglich 3-5 Mails mit Sonderangeboten und Rabatt von 50-70 %.
Solche unbekannten Anbieter werden von mir "Geschredert" (Junk). Hier 2 Beispiele :
Synoshi Spin Power Scrubber
Jetzt bestellen & 50% Rabatt sichern! 🚀
Hinterlegter Link :
h**ps://interfc.net/4ctwGZ214326SojJ9178enyevmzfgx12378ZQXZAWAGZHGCVZF1581/8252p19
Weitere "Rabatt E-Mails" :
Akusoli - Shoe Insoles
Begrenzter Vorrat: Sichern Sie sich jetzt 70 % Rabatt auf Akusoli Einlegesohlen
Hinterlegter Link :
h**ps://0795fcw.com/4hObvx214206RtTx8801amulrnyiya12378FOPYPQNHGBWBMRD1581/8250u19
Scheint eine neue Masche zu sein. Wer hat mehr Infos über solche "Rabatt-Mails" ?
Habe einige Mails an "antiphishing.ch" weitergeleitet, Vielleicht können diese Mails gestoppt werden.
vor 2 Tagen