IT-Security

IT-Knowledge: Was ist Phishing?

Wissen ist Macht. Und das möchten wir in unserer neuen Formatreihe „IT-Knowledge“ mit Ihnen teilen. Also was ist nochmal genau … Phishing?

Marie Götzl
Nov 21, 2024

„Phishing“ hat durch mehr und mehr Nachrichtenrelevanz eine große Bekanntheit erlangt. Das Wort selbst ist eine Abwandlung des englischen Wortes "fishing" und beschreibt den Versuch eines Angreifers, sein potenzielles Opfer zu einer bestimmten Aktion zu verleiten, zum Beispiel zum Öffnen eines E-Mail-Anhangs oder zum Anklicken eines Links. Wichtig hierbei: Phishing ist nur ein Oberbegriff. Es gibt verschiedene Methoden, die ein Angreifer anwenden kann. Jede Methode wiederum enthält in der Regel noch weitere Untermethoden mit spezifischen Merkmalen. 

Prävention mit IT-Knowledge: Bedrohungen frühzeitig erkennen 

Wenn Sie diese Methoden kennen, hilft es Ihnen dabei, ein Bewusstsein dafür zu entwickeln. Und dieses Bewusstsein wird Ihnen helfen, Bedrohungen zu erkennen. Menschen fallen eher auf Phishing-Methoden herein, mit denen sie nicht vertraut sind. Darum sehen Sie diesen Blogpost als kleine Schulung an. Grob können Sie die Phishing Methoden in verschiedene Kategorien einteilen:  
 

1. Massen-Phishing 🎣

Das Hauptmerkmal dieses Angriffsvektors ist „Masse statt Klasse“. Sie sind die häufigste Art von Phishing-Angriffen und sind wahrscheinlich das Erste, was den Leuten in den Sinn kommt, wenn sie an Phishing denken. Zum Beispiel eine E-Mail von einer Bank, die Ihnen mitteilt, dass es ein Problem mit Ihrem Konto gibt, obwohl Sie kein Kunde dieser Bank sind. 
Das meist per E-Mail verbreitete Massenphishing zielt darauf ab, den Empfänger dazu zu bringen, auf einen Link zu klicken oder einen Anhang zu öffnen. 
 

2. Spear-Phishing 🐬

Wahrscheinlich der komplexeste Phishing-Angriff, den es gibt. Das Ziel eines solchen Angriffs wird nicht zufällig gewählt, jeder Angriff ist auf das beabsichtigte Ziel zugeschnitten und ist das Ergebnis von Nachforschungen und Vorbereitung. 
Ein Angreifer versucht in der Regel, sich in seiner Nachricht als eine Autoritätsperson auszugeben und Druck und Dringlichkeit zu nutzen, um das Opfer zu bestimmten Handlungen zu drängen, z. B. zu einer Geldüberweisung, zur Weitergabe sensibler Informationen oder zum Zugriff auf sichere Server/Computersysteme. 
 

3. Business-E-Mail-Compromise 📩

Bei einer Business-E-Mail-Compromise (BEC) Attacke geben sich Kriminelle als Führungskräfte oder wichtige externe Partner aus. In der Regel nehmen sie per E-Mail-Kontakt zu Mitarbeitern der Personalabteilung oder der Lohnbuchhaltung auf, um sie zur Überweisung großer Geldbeträge oder zur Herausgabe vertraulicher Informationen zu bewegen. Oft nutzen sie bei diesen Angriffen psychologische Faktoren wie Zeitdruck oder Respekt vor Autoritäten. 
Ein erfolgreicher BEC-Angriff schädigt nicht nur den Ruf eines Unternehmens, sondern verursacht auch enorme finanzielle Schäden, die oft in die Millionen gehen. 
 

4. Klon-Phishing 👥

Klon-Phishing ist eine ausgefeiltere Phishing-Methode. Der Angreifer kopiert das Erscheinungsbild einer offiziellen Nachricht - meist E-Mails -, um beim Empfänger ein Gefühl der Vertrautheit mit der Marke hervorzurufen. Der Angreifer versucht, dem Original so nahe wie möglich zu kommen, einschließlich des Logos, der richtigen Farben sowie der Positionierung der Signatur und der häufig verwendeten Grußformel. Diese Angriffsmethode kann dazu verwendet werden, Malware zu verbreiten, indem das Opfer dazu gebracht wird, einen Link oder einen Anhang zu öffnen. Sie kann aber auch dazu verwendet werden, sensible Informationen zu sammeln, zum Beispiel indem sich der Angreifer als Bank ausgibt, um Login-Daten zu erhalten. 
 

Überschneidungen: Wie Spear-Phishing in BEC integriert sein kann 

Spear-Phishing ist oft der erste Schritt bei einem BEC-Angriff, da er die benötigten Informationen oder den Zugang liefert, um den BEC auszuführen. In diesem Sinne dient Spear-Phishing als Methode, den BEC überhaupt erst zu ermöglichen. 
 
  • Gezielte Täuschung: In einem BEC-Angriff könnte der Angreifer eine Spear-Phishing-E-Mail verwenden, um das Opfer (z. B. einen Buchhalter oder Geschäftsführer) davon zu überzeugen, eine gefälschte Rechnung zu begleichen oder eine Banküberweisung zu veranlassen. 
  • Identitätsmissbrauch: Der Angreifer könnte sich in einem Spear-Phishing-Angriff als eine bekannte Person (z. B. CEO oder Geschäftspartner) ausgeben und das Opfer unter Druck setzen, eine Transaktion vorzunehmen. 
  • Manipulation von Vertrauen: Der personalisierte Charakter des Spear-Phishings macht es einfacher, das Opfer davon zu überzeugen, auf die gefälschte BEC-Anfrage zu reagieren. 

Fazit: Wachsamkeit ist der Schlüssel zur Sicherheit 

Phishing ist eine der häufigsten und gefährlichsten Methoden, mit denen Cyberkriminelle Angriffe starten. Die verschiedenen Phishing-Techniken – von Massen-Phishing bis zu gezielten Spear-Phishing-Attacken – zeigen, wie einfallsreich Angreifer vorgehen, um Schwachstellen auszunutzen. Unternehmen stehen vor der Herausforderung, ihre Mitarbeitenden umfassend für diese Bedrohungen zu sensibilisieren, denn der menschliche Faktor bleibt das größte Einfallstor für Cyberangriffe. 

Jetzt mehr zu Cyber Security Awareness erfahren!

 

 

Ihr nächster Schritt:

Schärfen Sie das Bewusstsein Ihrer Mitarbeitenden und machen Sie IT-Sicherheit zur Priorität. Gemeinsam sind wir sicherer. 

 

 

Medialine als Ihr IT-Security-Partner
Jetzt Kontakt aufnehmen!

Schreiben Sie uns eine Mail untersales@medialine.agoder füllen Sie das Formular aus, wenn Sieeinen unverbindlichen Beratungstermin mit einem unserer Cybersecurity-Experten vereinbaren wollen. Wir beraten Sie gern zu Ihren individuellen Anforderungen. Gemeinsam schneidern wir die ideale Lösung für Ihre Bedürfnisse! 
IT-Security IT-News

Weitere Artikel

Über IT-News auf dem Laufenden bleiben

Einmal im Monat informieren wir zu aktuellen Trend-Themen, News und Veranstaltungen aus der IT-Welt. Zusätzlich erhalten Sie im Bedarfsfall Sondernewsletter, falls es aktuelle Entwicklungen oder Sicherheitsrisiken nicht zulassen, Ihnen diese Informationen bis zum nächsten planmäßigen Newsletter vorzuenthalten.

Unsere Datenschutzhinweise, die Sie umfassend über unsere Datenverarbeitung und Ihre Datenschutzrechte informieren, finden Sie hier. 

Willkommen an Bord! Bitte halten Sie sich fest, während wir durch den Datenstrom segeln.