Wie wird Phishing durchgeführt?

Meist geht es beim Phishing um die Unterstützung anderer bösartiger Zwecke wie Kontoübernahmen, Ransomware-Angriffen oder der Kompromittierung geschäftlicher E-Mail-Konten. Früher wurden für Phishing-Angriffe in der Regel E-Mails oder Instant Messaging verwendet. Heutzutage nutzt man dafür eine Vielzahl von Kanälen, von SMS über Telefonanrufe bis hin zu QR-Codes.

Es gibt mehrere Taktiken, die Angreifer nutzen können, um ihre Phishing-Versuche effektiver zu gestalten:

• Finden, Kaufen oder Scraping bekannter Kontaktinformationen
• Einrichten gefälschter Websites und Apps, die die echten imitieren
• Verwendung von Techniken wie DNS Fast Fluxing, um ihre Hosting-Server zu verschleiern
• Verwendung von Domain-Spoofing und E-Mail-Spoofing, um Nachrichten legitim erscheinen zu lassen
• Manipulation von Links, damit URLs in Phishing-Nachrichten korrekt erscheinen
• Versenden von E-Mails aus einer vertrauenswürdigen Infrastruktur, die Prüfungen bestehen und Spam-Filter passieren kann
• Mit generativer KI schnell realistisch klingende und fehlerfreie Nachrichten erstellen

Die meisten Phishing-Angriffe lassen sich in einige allgemeine Kategorien unterteilen. Es ist nützlich, sich mit einigen dieser verschiedenen Vektoren von Phishing-Angriffen vertraut zu machen, um sie in freier Wildbahn zu erkennen.

Betrug mit gefälschten Websites

Diese Art von Betrug wird häufig mit anderen Betrugsmaschen gepaart, z. B. dem Kontodeaktivierungsscam (siehe unten). Bei diesem Angriff erstellt der Angreifer eine Website, die praktisch identisch mit der legitimen Website eines Unternehmens ist, das das Opfer nutzt, z. B. einer Bank. Wenn der Benutzer die Seite auf irgendeine Weise besucht, sei es durch einen E-Mail-Phishing-Versuch, einen Hyperlink in einem Forum oder über eine Suchmaschine, erreicht das Opfer eine Website, die es für die legitime Seite hält, anstatt für eine betrügerische Kopie. Alle vom Opfer eingegebenen Informationen werden gesammelt und anschließend verkauft oder für weitere Angriffe missbraucht.

In den frühen Tagen des Internets waren solche Duplikate von Webseiten aufgrund ihrer schlampigen Machart ziemlich leicht zu erkennen. Heutzutage sind betrügerische Websites vom Original optisch oft nicht mehr zu unterscheiden.

Durch Überprüfen der URL im Webbrowser kann man möglicherweise einen Betrug erkennen. Wenn die URL anders aussieht als die übliche, sollte dies als sehr verdächtig angesehen werden. Wenn die Seite als unsicher aufgeführt ist und HTTPS nicht aktiviert ist, ist dies ein Alarmsignal und garantiert nahezu, dass die Website entweder defekt ist oder ein Phishing-Angriff vorliegt.

Angreifer nutzen häufig Domain-Spoofing, um die tatsächliche URL der Website täuschend echt nachzuahmen. Sie können auch Methoden wie Domain-Hijacking anwenden, um die tatsächliche Adresse der Website zu übernehmen. Selbst die aufmerksamsten Nutzer können getäuscht werden; daher ist es manchmal ratsam, sich an die angebliche Quelle der E-Mail zu wenden (z. B. durch einen Anruf beim Kundendienst der Bank), um sicherzustellen, dass die Nachricht, die zur Webseite geführt hat, legitim ist.

Kontoabschaltungs-Scam

Wenn es einem Angreifer gelingt, beim Opfer den Eindruck der Dringlichkeit zu erwecken, weil angeblich ein wichtiges Konto deaktiviert werden soll, kann er das Opfer dazu verleiten, wichtige Informationen wie Anmeldedaten preiszugeben. Hier ein Beispiel: Der Angreifer sendet eine E-Mail, die dem Anschein nach von einer wichtigen Institution wie einer Bank stammt, und behauptet, dass das Bankkonto des Opfers gesperrt wird, wenn es nicht schnell Maßnahmen ergreift. Der Angreifer fordert vom Opfer dann die Angabe von Anmeldename und Passwort für dessen Bankkonto, um die Deaktivierung zu verhindern. In einer besonders geschickten Version des Angriffs wird das Opfer nach Eingabe der Informationen auf die echte Website der Bank weitergeleitet, damit es aussieht, als wäre alles in Ordnung.

Dieser Art von Angriff kann man dadurch begegnen, dass man die Website des betreffenden Dienstes direkt aufruft und prüft, ob der echte Anbieter den Benutzer auch dort dringlich über denselben Kontostatus informiert. Dabei sollte man auch die URL-Leiste überprüfen und sich vergewissern, dass die Website sicher ist. Jede nicht sichere Website, die einen Anmeldenamen und ein Passwort anfordert, sollte ernsthaft angezweifelt und in der Regel nicht verwendet werden.

Vorschussbetrug

Dieser weit verbreitete E-Mail-Phishing-Angriff wurde durch die E-Mail eines „Nigerianischen Prinzen“ bekannt gemacht, bei der ein angeblicher nigerianischer Prinz in einer ausweglosen Situation anbietet, dem Opfer eine große Geldsumme gegen eine kleine Gebühr im Voraus zu geben. Es überrascht nicht, dass keine große Geldsumme eintrifft, wenn die Gebühr bezahlt wurde. Die interessante Geschichte ist, dass diese Art von Betrug seit über hundert Jahren in verschiedenen Formen auftritt; ursprünglich war sie Ende des 19. Jahrhunderts als der „Spanische Gefangene“-Betrug bekannt, bei dem ein Betrüger ein Opfer kontaktierte, um dessen Gier und Mitgefühl auszunutzen. Der Betrüger gab vor, einen reichen Gefangenen aus Spanien herausschmuggeln zu wollen. Das Opfer sollte das Geld zur Bestechung einiger Gefängniswärter aufbringen und dafür später reich belohnt werden.

Diesen Angriff (in all seinen Formen) bekämpft man am besten dadurch, dass man überhaupt nicht reagiert, wenn Unbekannte nach Geld fragen, für das man angeblich eine Gegenleistung erhalten soll. Wenn es zu gut klingt, um wahr zu sein, ist es das wahrscheinlich auch. Eine einfache Google-Suche zum Thema der Anfrage oder einem Teil des Textes bringt oft die Details des Betrugs ans Licht. Spam-Filter können darauf trainiert werden, auch diese Arten von E-Mails zu erkennen.

Wie passt Phishing in größere Angriffskampagnen?

Einige Phishing-Angriffe zielen einfach darauf ab, private Informationen von so vielen Menschen wie möglich zu sammeln. Die Angreifer können diese Informationen selbst verwenden, um Benutzerkonten zu übernehmen oder deren Identitäten zu stehlen. Oder sie können diese Informationen auf dem Schwarzmarkt an den Meistbietenden verkaufen.

Andere Phishing-Angriffe sind Teil größerer Bemühungen von Gruppen, die als Advanced Persistent Threats (APTs) bekannt sind. Ein APT, das Zugang zu vertraulichen Informationen eines Unternehmens erhalten möchte, ein Unternehmen mit Ransomware infizieren oder das Unternehmen auf andere Weise kompromittieren möchte, könnte mit einer Phishing-Kampagne beginnen, die ihm Zugang zu einem Konto einer Person verschafft, die im Unternehmen arbeitet. Sobald sie diesen Einstiegspunkt haben, können sie verschiedene Techniken einsetzen, um tiefer in das Netzwerk des Unternehmens einzudringen (dieser Prozess wird als laterale Bewegung bezeichnet). Viele berüchtigte Cyberangriffe haben mit recht einfachen Phishing-E-Mails begonnen.

Was ist „Spear Phishing“?

Diese Art von Phishing richtet sich an bestimmte Personen oder Unternehmen, daher der Begriff Spear-Phishing. Indem ein Angreifer Details sammelt oder Informationen über ein bestimmtes Ziel kauft, kann er einen personalisierten Betrugsversuch starten. Dies ist derzeit die effektivste Art von Phishing.

Was ist „Clone Phishing“?

Beim „Clone Phishing“ wird eine zuvor zugestellte echte E-Mail nachgeahmt und die Links darin oder die Dateianhänge geändert, um das Opfer zum Öffnen einer schädlichen Website oder Datei zu verleiten. Ein Angreifer kann beispielsweise eine vorhandene E-Mail nehmen und eine schädliche Datei mit demselben Dateinamen wie der ursprüngliche Dateianhang beifügen. Dann versendet er die E-Mail erneut mit einer gefälschten E-Mail-Adresse, die anscheinend vom ursprünglichen Absender stammt. So kann der Angreifer das durch die erste Mitteilung entstandene Vertrauen ausnutzen, um das Opfer zu einer Handlung zu bewegen.

Was ist „Whaling“?

Für Angriffe, die speziell auf Führungskräfte oder andere privilegierte Benutzer in Unternehmen abzielen, wird häufig der Begriff „Whaling“ verwendet. Diese Art von Angriffen zielt in der Regel auf Inhalte ab, die voraussichtlich die Aufmerksamkeit des Opfers erfordern, etwa gerichtliche Vorladungen oder andere Angelegenheiten auf Führungsebene. Whaling-Angriffe können hochgradig personalisiert sein und der Betrüger gibt sich wahrscheinlich als jemand aus, den das Opfer kennt, sei es eine andere Führungskraft innerhalb des Unternehmens oder eine andere vertrauenswürdige Partei.

Phishing über mehrere Kanäle (Multi-Channel-Phishing)

Angreifer mit ausreichenden Ressourcen können Phishing-Kampagnen gleichzeitig über mehrere Kanäle durchführen. Anstatt einfach nur E-Mails zu verschicken, senden sie auch Textnachrichten, rufen sie an, kontaktieren sie über soziale Medien und so weiter. Generative KI-Modelle können Angreifern dabei helfen, die benötigten Inhalte zu erstellen, von E-Mail-Texten bis hin zu Deepfakes vertrauenswürdiger Personen. Dieser Artikel über Multi-Channel-Phishing erklärt, wie Zero Trust-Sicherheit Organisationen dabei unterstützen kann, sich gegen solche Kampagnen zu verteidigen.

Wie hilft Cloudflare Unternehmen bei der Abwehr von Phishing-Angriffen?

Phishing kann über eine Vielzahl von Angriffsvektoren erfolgen, aber einer der größten ist E-Mail. Viele E-Mail-Anbieter versuchen automatisch, Phishing-E-Mails zu blockieren, aber manchmal dringen sie dennoch zu den Nutzern durch – was die E-Mail-Sicherheit zu einem wichtigen Anliegen macht.

Glücklicherweise gibt es viele Anzeichen, die darauf hindeuten, dass eine E-Mail Teil eines Phishing-Angriffs sein könnte. Erfahren Sie, wie Sie eine Phishing-E-Mail erkennen.

Darüber hinaus bietet Cloudflare Email Security fortschrittlichen Phishing-Schutz. Es durchforstet das Internet und untersucht die Phishing-Infrastruktur, um Phishing-Kampagnen im Voraus zu erkennen. Erfahren Sie, wie Cloudflare Email Security funktioniert.