Phishing ist ein Versuch des Diebstahls von Passwörtern über das Internet durch den Versand gefälschter E-Mails. Die Internetnutzer werden hierbei von Cyberkriminellen über täuschend echt gefälschte E-Mails auf falsche Internetseiten, Onlineshops, von Banken oder weiteren Onlinediensten gelockt, um hier die Kennungen und die dazugehörigen Passwörter zu erbeuten. Die erschwindelten Daten werden zum Beispiel für das Leerräumen von Konten oder Hackerangriffe verwendet.
Das Wort Phishing leitet sich von dem Wort „fishing“ ab und bedeutet angeln. Das Verfahren verfolgt das Ziel, sich die Daten von Internetnutzern gesetzwidrig zu „angeln“ und die Daten für unbefugte Handlungen des Nutzers zu verwenden, um hiermit Schaden anzurichten. Zumeist stehen hierbei Zugangsdaten für das Onlinebanking im Mittelpunkt der Phishing-Attacken. Auch Kennungen von Mailaccounts oder sozialen Netzwerken sind oftmals Ziel von Phishingattacken.
Durch die erschlichenen Zugangsdaten ist es einem sogenannten Phisher möglich, die Identität des Nutzers als Opfers auf der entsprechenden Internetplattform übernehmen zu können. Dies versetzt diesen in die Lage, dem Nutzer einen wirtschaftlichen Schaden zuzufügen, den Ruf zu schädigen oder auch Waren unter dessen Namen zu bestellen.
Phishing-Mails sind oftmals Spam. Dieser verstopft vor allem E-Mail-Postfächer und ordnet Betrugsversuche an und infiziert auch das System des Empfängers mit einem Schadprogramm zum Auskundschaften persönlicher Daten. Phishing ist das Kunstwort, welches sich aus Phishing und Passwort zusammensetzt.
Ein Fischen nach Passwörtern hört sich vertrauensseliger an, als es in der Wahrheit der Fall ist. Phishing steht am Anfang unterschiedlicher Delikte, welche vom Datendiebstahl über gesetzwidrige Abbuchen von Konten bis hin zu Angriffen auf differenzierte Infrastrukturen reicht. Opfer von Phishing-Angriffen waren in der Vergangenheit US-amerikanische und europäische Energieversorger. Es waren auch Kernkraftwerksbetreiber darunter.
Sowohl eine Phishing-Mail als auch die Website, auf welche ein Link verweist, sind hierbei meistens gewissenhaft nachgeahmt. Die Cyber-Kriminellen begreifen ihr Handwerk sehr gut. Oftmals gelingt es, durch professionelle Nachahmung des Corporate Designs inklusive Farbgebung, Logo und Schriftarten der betreffenden Organisation plausibel die Echtheit vorzuspielen.
Die Empfänger lassen sich auf diese Weise leicht dazu verleiten, auf den Link in einer E-Mail zu klicken, da dieser sich oft hinter einem optimal designten Button versteckt. An dieser Stelle haben die Betrüger die mutmaßlichen Opfer genau dort, wo sie diese auch hinhaben wollen. So landen die Nutzer hier auf der gefälschten Website einer Disposition, die generell als zuverlässig anerkannt ist.
Methoden, die das Phishing nutzt
Die häufigste verwendete Methode für das Phishing beruht auf dem unzähligen Versenden von E-Mails mit nachgemachtem Inhalt. So sind hier die E-Mails so gestaltet, dass diese den originalen E-Mails von Onlineshops, Banken oder anderen Internetplattformen in Sachen Absenderadresse, Design und Kundenansprache sehr nahekommen.
Der Nutzer wird in dieser E-Mail dazu aufgefordert, einen hierin enthaltenen Link zu klicken und hier auch die Zugangsdaten einzugeben. Dieser falsche Link führt zu einer imitierten Login-Seite des Widersachers. Jene Seite ist der Originalseite der jeweiligen Plattform annäherungsweise echt nachempfunden.
Wenn nun der Empfänger diese E-Mail für echt hält und seine Daten auf jener nachgemachten Internetseite eingibt, ist der Phisher nun im Besitz dieser Daten und kann die wahllos für seine eigenen Zwecke verwenden. Da die gefälschten E-Mails heute in hoher Anzahl versandt werden, tappen trotz der allgemeinen Bekanntheit dieser Attacken und den Schutzmaßnahmen immer wieder ahnungslose Nutzer in die Falle der Phisher.
Merkmale von Phishing-Mails
Am einfachsten zu verstehen sind E-Mails, welche in einem absurden Deutsch geschrieben sind. Zumeist wurden sie auch gar nicht in deutscher Sprache verfasst, sondern sind mit einem Übersetzer aus einer fremden Sprache einfach digital übersetzt worden. Ein anderes Anzeichen auf solche E-Mails sind Fehler bei der Zeichensetzung, wie zum Beispiel kyrillische Buchstaben oder falsche und fehlende Umlaute.
Darüber hinaus als Phishing zu erkennen sind solche Mails, welche auf Französisch oder Englisch geschrieben sind. Sollten Nutzer nun nicht der Kunde einer Bank mit Hauptsitz im Ausland sein, kann er sicher sein, dass er E-Mails von Ihrer Bank nur in deutscher Sprache bekommt.
Die Bank und andere Partner wie beispielsweise Online-Zahlungsdienste sprechen Kunden in E-Mails generell mit dem vollen Namen an und nie mit „Sehr geehrter Kunde“. Sehr clevere Phishing-Täter haben aber meist auch den Namen des Nutzers bereits herausgefunden und schreiben diesen mit einer persönlichen Anrede an, zum Beispiel „sehr geehrte Frau Müller“ oder „sehr geehrter Herr Meier“. Hiermit versuchen Kriminelle, der Mail eine bessere Glaubwürdigkeit zu leihen.
Wenn Nutzer nun über die Mails aufgefordert werden und innerhalb einer bestimmten Frist zu handeln, sollten diese ebenso stutzig werden. Vor allem, wenn die Aufforderung auch mit einer Androhung verbunden ist. Hierzu gehört zum Beispiel, dass ansonsten die Kreditkarte gesperrt wird.
Die Anordnung, persönliche Daten auch eine PIN einzugeben, ist ein weiteres Anzeichen. Online-Zahlungsdienste und Banken werden ihre Kunden um so etwas nicht über E-Mails bitten. PIN oder TAN werden von Banken nie per E-Mail oder telefonisch von Banken abgefragt und diese Maßnahmen zählen zu den essentiellen Sicherheitsregeln.
In immer mehr Phishing-Mails werden die Nutzer aufgefordert, eine angehängte Datei zu öffnen, welche entweder als Anhang an der Mail direkt angehängt ist oder auch über einen Link zum Downloaden zur Verfügung gestellt wird. In solchen E-Mails dürfen die Nutzer eine derartige Datei auf keinen Fall herunterladen oder diese öffnen.
In aller Regel beinhaltet eine solche Datei ein schädliches Programm oder auch einen Virus bzw. ein sogenanntes trojanisches Pferd. Die Nutzer sollten sich auch von den angedrohten Auswirkungen wie zum Beispiel einer Einschaltung von Inkassounternehmen, einer Kontosperrung oder anderen erlogenen Gründen nie dazu verleiten lassen, eine angefügte Datei zu öffnen.
Die Banken versenden normalerweise keine E-Mails, sondern eher Postbriefe. Falls die Nutzer doch E-Mails von der Bank bekommen, so wird diese keinerlei Dateianhänge (zum Beispiel Formulare, über welche eine Eingabe notwendig ist) versenden. Banken oder andere Dienstleistungsunternehmen versenden selten E-Mails mit Links, auf welche der Empfänger klicken muss.
In diesem Fall geht es zum Beispiel um geänderte AGBs, nie aber um das Anmelden auf dem Kundenkonto. Besser ist es immer, die eigentliche Internetseite aufzurufen, indem die Nutzer diese in das den Browser eintippen.
Wenn die Bank dem Kunden niemals E-Mails schickt und vielleicht auch die E-Mail-Adresse gar nicht kennt, sollten die Empfänger die E-Mail einfach löschen.
Einige Phishing-Mails sind heutzutage sehr gut erstellt worden. Die Absender-Mailadresse scheint dem Empfänger zuverlässig, der Link in dem Text aber auch, das Deutsch ist zumeist auch korrekt. Trotzdem muss eine solche E-Mail nicht reell sein. Auch Angaben des Absenders von E-Mails lassen sich immer sehr gut fälschen.
Das Spear-Phishing
Nicht alle Phishing-E-Mails landen in der Folge einer ziellosen Spam-Welle in dem Postfach. Das Spear-Phishing richtet sich systematisch gegen bestimmte Unternehmen. Daher sind die Phishing-Mails meistens mit hohem Aufwand und viel Exaktheit auf einen konkreten Nutzer bzw. Empfänger zugeschnitten.
Die Strohmänner gehören in diesen Fällen meist einer organisierten Gruppe an. Das Spear-Phishing ist zumeist nur der Beginn einer gestaffelten Kette von Angriffen, bei welcher es oft um Betrug oder auch um das Abschöpfen von Firmengeheimnissen geht.
Als seriöser Internetanbieter oder Bank getarnt, fordern Spam-Mails mit einem nachgemachtem Absender zum Beispiel zu einer scheinbar notwendigen Aktualisierung die persönlichen Informationen auf. Als Ausflucht für die Bestätigung der Informationen wird dann beispielsweise der schnelle Ablauf der Kreditkarte genannt.
Auch ein Passwort muss angeblich wegen eines vorgetäuschten Sicherheitsvorfalls erneuert werden. Hierbei erwägen die Verbrecher darauf, dass sich unter den Empfängern dieser Spam-Welle genügend Kunden jenes im Absender genannten Unternehmens befinden.