Allgemeines über Phishing
Phishing ist seit Jahrzehnten ein Bestandteil des Internets und hat großen Anteil an den wesentlichen Bedrohungen für Internet-Nutzerinnen bzw. Internet-Nutzer. Dieser Artikel beschreibt grundlegende Hintergrundinformationen, potentielle Gefahren und mögliche Auswirkungen von Phishing-Attacken.
Genau wie der technologische Wandel die Internetverwendung im Vergleich zu früher stark verändert hat, passten sich Cyber-Betrüger selbst und die verwendeten Tools ebenso an. Auch Phishing hat sich seit ersten Algorithmen-basierten Vorgehensweisen weitgehend verändert.
Was ist Phishing überhaupt und warum ist es gefährlich?
Beim „Phishing“ handelt es sich um Betrugsversuche über das Internet. Dabei werden nicht wie bei Hacking-Attacken die Computersysteme selbst – beispielsweise über Sicherheitslücken – angegriffen, sondern rein nur unter diversen Vorwänden Benutzerinnen bzw. Benutzer dazu verleitet von sich aus Daten preiszugeben oder Geld zu überweisen. Konkret versuchen Angreifer (meist handelt es sich hierbei um organisierte Gruppen) durch den betrügerischen Einsatz elektronischer Kommunikationsmittel und sogenannter „Social-Engineering-Methoden“ vertrauliche Daten abzugreifen. Die gestohlenen Daten werden schlussendlich missbräuchlich und in betrügerischer Absicht verwendet oder verkauft. Dabei wird die Gutgläubigkeit potentieller Opfer ausgenützt, um Datendiebstahl zu begehen.
Die Angreifer erstellen mittlerweile authentisch aussehende Webseiten, übertragen täuschend echt wirkende Emails und versenden auch andere überzeugende elektronische Nachrichten (z.B.: Push-Nachrichten, SMS, Betriebssystemnachrichten). Dabei konzentrieren sich die Angreifer wegen der umfangreichen, potentiellen Zielgruppe überwiegend auf das Imitieren großer, bekannter bzw. vertrauenswürdiger Organisationen oder Unternehmen.
Gerne werden hierzu Emails verwendet, die u.a. auf gefälschte Webseiten verweisen, sowie gefälschte Push-Nachrichten, die Betriebssystemfunktionen suggerieren. Als Inhalt sind unterschiedliche Szenarien in Verwendung, die meist Wünsche (z.B.: unerwarteter Lotterie-Gewinn) oder Anliegen (vermeiden einer Sperre eines Online-Banking-Accounts) der Menschen ausnützen.
Oft kursieren beispielsweise gefälschte E-Mails, die Endanwenderinnen und Endanwender auffordern, neue Nachrichten im Online-Banking abzufragen und „freundlicherweise“ wird auch gleich der dafür notwendige Link in der betreffenden Phishing-Nachricht mitgeschickt. Dieser führt angeblich direkt in den Nachrichtenbereich (z.B.: Posteingang) des Online-Banking-Accounts. In Wahrheit wird jedoch auf eine gefälschte Webseite weitergeleitet. Leider sind die Auswirkungen von Phishing-Angriffen oftmals sehr fatal und verursachen große Schäden.
Welche Auswirkungen haben Phishing-Angriffe?
Phishing-Angriffe zielen in erster Linie darauf ab, sensible Daten zu stehlen und diese missbräuchlich zu verwenden. Nach erfolgreichen Phishing-Angriffen können beispielsweise illegitime Banküberweisungen, unautorisierte Kreditkartentransaktionen oder Online-Käufe auf eCommerce-Plattformen durchgeführt werden. Neben finanziellem Verlust kann Phishing auch zu einem weitreichenden Identitätsdiebstahl führen, nämlich dann, wenn Phishing ein Bestandteil eines groß angelegten Angriffs ist.
Derzeit sind Phishing-Angriffe auf Banken – insbesondere auf deren Online-Banking-Systeme – besonders häufig anzutreffen. Solche ausgereiften Angriffe sind sehr problematisch, da es immer schwerer wird, diese zu erkennen.
Phishing war nicht immer so ausgereift wie es heutzutage der Fall ist. Ungeachtet dessen wird Phishing sowohl für Sabotage- als auch für Spionage-Zwecke eingesetzt und ist ein weit verbreitetes Phänomen der Internet-Kriminalität. Oft beginnen Angreiferinnen und Angreifer bei Null und müssen zuerst Daten über ein Opfer gewinnen.
Wie kann man das Risiko reduzieren?
Kein seriöses Unternehmen, weder eine Bank, noch ein Kreditkartenunternehmen, auch kein eCommerce-Händler, der Internet-Service-Provider (ISP) oder die professionelle IT-Abteilung des Arbeitgebers versendet unbestellte Nachrichten, in denen jemand aufgefordert wird, einem Link zu folgen oder sensible Daten elektronisch einzugeben. Solche Aufforderungen können Sie weitgehend ignorieren.
Auch wenn es nicht ganz so komfortabel ist wie der vermeintliche Aufruf eines vorbereiteten Links, rufen Sie Webseiten zur Eingabe sensibler Daten selbst durch manuelle Eingabe im Browserfenster auf.
Man sollte sich niemals unter Druck setzen lassen. E-Mails mit Aufforderungen zu Handlungen – wie zum Beispiel der Eingabe sensibler Daten – sind mit an Sicherheit grenzender Wahrscheinlichkeit Phishing-Versuche, oder andere Betrugsversuche.
Die oft freizügige Nutzung von Internetplattformen wie Social-Media erlaubt Angreifern öffentlich zugängliche Informationsressourcen als Grundlage für einen Angriff zu verwenden. Insbesondere öffentlich zugängliche Nutzerprofile sind vor diesem Hintergrund problematisch. Dabei sind etwa die bekannten Plattformen wie Facebook, LinkedIn, Twitter oder Xing brauchbare Quellen für Hintergrundinformationen über den persönlichen und beruflichen Werdegang oder die Interessen und Aktivitäten eines künftigen Opfers.
Mit Hilfe solcher detaillierten Informationen können zielgerichtete, auf die jeweilige Person perfekt zugeschnittene Phishing-Versuche gestartet werden. Diese sind somit noch gefährlicher, weil sie nur sehr schwer als Phishing erkennbar sind und werden daher in der Regel auch eher für sehr „wertvolle“ Ziele eingesetzt. So zum Beispiel im Zuge von CEO-Fraud, wobei die Kriminellen sich als Personen aus der Leitungsebene von Unternehmen ausgeben und dadurch Zahlungen an von ihnen kontrollierte Konten veranlassen.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria