Was ist Phishing und wie funktioniert diese Betrugsmethode?
Startseite
Artikel
Was ist Phishing und wie funktioniert diese Betrugsmethode?

Was ist Phishing und wie funktioniert diese Betrugsmethode?

Anfänger
Veröffentlicht Nov 28, 2018Aktualisiert May 29, 2024
7m

TL;DR

  • Phishing ist eine Betrugsmethode, bei der sich Angreifer als vertrauensw√ľrdige Akteure ausgeben, um andere dazu zu bringen, vertrauliche Informationen preiszugeben.

  • Bleib wachsam gegen√ľber Phishing, indem du typische Anzeichen wie verd√§chtige URLs erkennst und dich von dringenden Anfragen nach pers√∂nlichen Daten in Acht nimmst.

  • Lerne die verschiedenen Phishing-Techniken kennen, von g√§ngigen E-Mail-Betr√ľgereien bis hin zu ausgekl√ľgeltem Spear-Phishing, um deine Cybersicherheit zu erh√∂hen.

Einf√ľhrung

Phishing ist eine Betrugsmethode, bei der sich Angreifer als seri√∂se Akteure ausgeben, um dich zur Weitergabe vertraulicher Daten zu verleiten. In diesem Artikel erf√§hrst du, was Phishing ist, wie es funktioniert und wie du dich davor sch√ľtzen kannst.

So funktioniert Phishing-Betrug

Phishing ist eine Form des Social Engineerings, eine Methode, Menschen zu einem bestimmten Verhalten zu bewegen, z.¬†B. zur Preisgabe vertraulicher Informationen. Der Angreifer sammelt pers√∂nliche Daten aus √∂ffentlichen Quellen (wie sozialen Medien), um eine legitim erscheinende E-Mail zu erstellen. Das Opfer erh√§lt dann in der Regel eine betr√ľgerische Nachricht, die so aussieht, als stamme sie von einer vertrauensw√ľrdigen Person oder einer seri√∂sen Organisation.

Phishing erfolgt in den meisten F√§llen √ľber E-Mails mit sch√§dlichen Links oder Anh√§ngen. Ein Klick auf diese Links kann Malware auf dem Ger√§t des Opfers installieren oder es zu einer gef√§lschten Website f√ľhren, um pers√∂nliche und finanzielle Informationen von ihm zu stehlen.

W√§hrend schlecht geschriebene Phishing-E-Mails oft leicht zu erkennen sind, verwenden Cyberkriminelle zunehmend fortschrittliche Tools wie Chatbots und KI-Stimmengeneratoren, um die Erfolgswahrscheinlichkeit ihrer Angriffsversuche zu erh√∂hen. F√ľr die Nutzer wird es immer schwieriger, zwischen echter und betr√ľgerischer Kommunikation zu unterscheiden.

Phishing-Angriffe erkennen

Phishing-E-Mails zu erkennen, ist nicht immer einfach, aber es gibt einige Anzeichen, auf die du achten solltest.

Häufige Anzeichen

Sei vorsichtig, wenn eine Nachricht verd√§chtige URLs enth√§lt, von einer unbekannten E-Mail-Adresse stammt, ein Gef√ľhl von Angst oder Dringlichkeit vermittelt, Rechtschreib- oder Grammatikfehler aufweist oder dich nach pers√∂nlichen Daten fragt. In der Regel wird dir die URL-Adresse angezeigt, wenn du mit den Mauszeiger √ľber den Link bewegst.

Vorsicht bei Online-Zahlungen

Phisher geben sich h√§ufig als seri√∂se Online-Zahlungsdienste wie PayPal, Venmo oder Wise aus. Du erh√§ltst eine betr√ľgerische E-Mail, in der du aufgefordert wirst, deine Anmeldedaten zu verifizieren. Bleib daher unbedingt wachsam und melde verd√§chtige Aktivit√§ten.

Nachrichten von angeblichen Bankmitarbeitern

Betr√ľger k√∂nnen sich auch als Mitarbeiter von Banken oder anderen Finanzinstituten ausgeben und behaupten, dass es eine Sicherheitsl√ľcke gibt, um so an deine pers√∂nlichen Daten zu gelangen. Zu den √ľblichen Maschen geh√∂ren gef√§lschte E-Mail-Nachrichten √ľber Geld√ľberweisungen und die Aufforderung an neue Mitarbeiter, Zahlungen auf ein bestimmtes Bankkonto zu leisten. M√∂glicherweise wird auch behauptet, dass ein dringendes Sicherheitsupgrade durchgef√ľhrt werden muss.

Phishing-Attacken am Arbeitsplatz

Bei diesen personalisierten Angriffen gibt sich der Betr√ľger als CEO, CFO oder eine andere F√ľhrungskraft eines Unternehmens aus und fordert dich auf, eine √úberweisung oder einen angeblichen Kauf zu t√§tigen. Eine weitere Betrugsmasche sind Telefonanrufe, bei denen KI-Stimmengeneratoren eingesetzt werden.

Wie du Phishing-Angriffe verhindern kannst

Um Phishing-Angriffe abzuwehren, ist es wichtig, mehrere Sicherheitsma√ünahmen zu ergreifen. Vermeide es, direkt auf Links zu klicken. Besuche stattdessen die offizielle Website oder die offiziellen Kommunikationskan√§le des Unternehmens, um zu √ľberpr√ľfen, ob die erhaltenen Informationen echt sind. Erw√§ge die Verwendung von Sicherheitstools wie Antivirensoftware, Firewalls und Spam-Filtern.¬†

Unternehmen sollten zudem E-Mail-Authentifizierungsstandards zur √úberpr√ľfung eingehender E-Mails implementieren. Beispiele f√ľr g√§ngige E-Mail-Authentifizierungsmethoden sind DKIM (DomainKeys Identified E-Mail) und DMARC (Domain-based Message Authenticator, Reporting, and Conformance).

Des Weiteren solltest du deine Familienmitglieder und Freunde √ľber die Risiken von Phishing informieren, und Unternehmen sollten ihre Mitarbeiter √ľber Phishing-Techniken aufkl√§ren und regelm√§√üige Sensibilisierungsma√ünahmen durchf√ľhren, um das Risiko zu mindern.

Wenn du weitere Unterst√ľtzung und Informationen ben√∂tigst, wende dich an staatliche Stellen wie OnGuardOnline.gov und Organisationen wie die Anti-Phishing Trading Group Inc. Diese bieten viele Ressourcen und Empfehlungen zum Erkennen, Vermeiden und Melden von Phishing-Angriffen.

Arten von Phishing

Die Phishing-Techniken entwickeln sich ständig weiter, und Cyberkriminelle lassen sich immer neue Methoden einfallen. Die verschiedenen Arten von Phishing lassen sich nach dem Ziel und der Methode des Angriffs kategorisieren. Schauen wir sie uns genauer an.

Clone-Phishing

Ein Angreifer kopiert den Inhalt einer zuvor gesendeten legitimen E-Mail in eine neue E-Mail zu demselben Thema und f√ľgt einen Link zu einer b√∂sartigen Website hinzu. M√∂glicherweise behauptet er, dass es sich um einen aktualisierten oder neuen Link handelt und dass der vorherige Link falsch oder abgelaufen ist.

Spear-Phishing

Diese Art von Attacken kann sowohl auf Personen als auch auf Einrichtungen abzielen. Spear-Phishing-Angriffe sind aufwendiger und raffinierter als andere Phishing-Methoden. Der Betr√ľger sammelt zun√§chst Informationen √ľber das Opfer (z.¬†B. die Namen von Freunden oder Familienmitgliedern) und nutzt diese dann, um es zu einer b√∂sartigen Website-Datei zu f√ľhren.

Pharming

Ein Angreifer manipuliert DNS-Einträge, um den Nutzer von einer legitimen Website auf eine vom Angreifer gefälschte Website umzuleiten. Dies ist die gefährlichste Art von Phishing-Angriff, da die DNS-Einträge nicht in der Kontrolle des Nutzers liegen und er sich daher nicht dagegen wehren kann.

Whaling

Whaling ist eine Form des Spear-Phishings, die sich gegen wohlhabende und bekannte Personen wie CEOs oder Regierungsmitglieder richtet.

E-Mail-Spoofing

Bei Phishing werden in der Regel E-Mail-Nachrichten von Unternehmen und Privatpersonen gefälscht. Ahnungslose Opfer erhalten Links zu bösartigen Websites, auf denen sie aufgefordert werden, ihre Anmeldedaten oder persönlichen Informationen auf authentisch wirkenden Anmeldeseiten einzugeben. Die Seiten können Trojaner, Keylogger und andere bösartige Skripte enthalten, die persönliche Daten ausspionieren.

Website-Weiterleitungen

Nutzer werden zu einer anderen URL weitergeleitet als der, die sie eigentlich besuchen wollten. Auf diese Weise k√∂nnen Betr√ľger Malware auf dem Computer des Opfers installieren.

Typosquatting

Wenn ein Nutzer eine URL falsch eingibt, kann es sein, dass er auf einer gefälschten Website landet. Dieses Risiko ist besonders hoch bei fremdsprachigen Websites, gängigen Rechtschreibfehlern und subtilen Variationen der Top-Level-Domain. Phisher kaufen Domains, um legitime Websites zu imitieren und Nutzer auszutricksen, die die URL falsch lesen oder bei der Eingabe einen Tippfehler machen.

Bezahlte Werbeanzeigen

Eine weitere Taktik ist die Platzierung von Anzeigen und Werbung zur T√§uschung der Nutzer. Die Angreifer verwenden Domains, die denen einer legitimen Website sehr √§hnlich sind (Stichwort: Typosquatting), und bezahlen daf√ľr, dass sie in den Suchmaschinenergebnissen weit oben erscheinen, m√∂glicherweise sogar unter den ersten Treffern bei Google.

Watering-Hole-Angriffe

Bei einem Watering-Hole-Angriff analysieren Phisher die Nutzer und ermitteln, welche Websites sie häufig aufsuchen. Sie scannen die Websites auf Schwachstellen und versuchen, bösartige Skripte einzuschleusen, um die Nutzer beim nächsten Besuch zu attackieren.

Identitätstäuschung und angebliche Geschenke

Bei einer Identit√§tst√§uschung gibt sich ein Betr√ľger als eine einflussreiche Pers√∂nlichkeit in den sozialen Medien aus. Er kann beispielsweise behaupten, er sei eine hochrangige F√ľhrungskraft eines Unternehmen, oder vermeintliche Werbegeschenke anpreisen. Potenzielle Opfer k√∂nnen sogar pers√∂nlich angesprochen und manipuliert werden (Stichwort: Social Engineering), um besonders leichtgl√§ubige Nutzer zu identifizieren. Die Betr√ľger k√∂nnen verifizierte Konten hacken und den Nutzernamen √§ndern, um sich als die echte Person auszugeben und gleichzeitig den verifizierten Status beizubehalten.

In letzter Zeit nehmen Phisher auch vermehrt Plattformen wie Discord, X und Telegram ins Visier. Das Ziel bleibt das gleiche: Chats fälschen, sich als jemand anderes ausgeben und legitime Dienste imitieren.

Bösartige Apps

Phisher bieten manchmal auch b√∂sartige Apps an, mit denen sie das Verhalten der Nutzer √ľberwachen oder ihre pers√∂nlichen Daten stehlen. Die Apps k√∂nnen Preis-Tracker, Wallets und andere Krypto-Tools umfassen (die m√∂glicherweise bereits von vielen Krypto-Tradern genutzt werden).

SMS und Sprachnachrichten

Phishing kann auch √ľber SMS oder Sprachnachrichten erfolgen, in denen Nutzer zur Preisgabe pers√∂nlicher Informationen aufgefordert werden.

Unterschied zwischen Phishing und Pharming

Auch wenn manche Pharming als eine Art von Phishing-Angriff betrachten, gibt es einen wichtigen Unterschied. Beim Phishing macht das Opfer einen Fehler, während beim Pharming einfach versucht wird, auf eine legitime Website zuzugreifen, deren DNS-Eintrag vom Angreifer kompromittiert wurde.

Phishing im Krypto- und Blockchain-Bereich

Obwohl die Blockchain-Technologie aufgrund ihres dezentralen Charakters ein hohes Ma√ü an Datensicherheit bietet, solltest du wachsam gegen√ľber Social-Engineering- und Phishing-Versuchen bleiben. Cyberkriminelle probieren h√§ufig, menschliche Schw√§chen auszunutzen, um sich Zugang zu privaten Schl√ľsseln oder Anmeldedaten zu verschaffen. In den meisten F√§llen beruht der Betrug auf einem Fehler des Menschen.

Betr√ľger k√∂nnen auch versuchen, Nutzer dazu zu bringen, ihre Seed-Phrasen preiszugeben oder Mittel an falsche Adressen zu senden. Es ist daher wichtig, vorsichtig zu sein und bew√§hrte Sicherheitspraktiken anzuwenden.

Fazit

Zusammenfassend l√§sst sich sagen, dass es f√ľr den Schutz deiner pers√∂nlichen und finanziellen Daten entscheidend ist, Phishing-Angriffe zu erkennen und √ľber die immer raffinierteren Betrugsversuche informiert zu bleiben. Durch geeignete Sicherheitsma√ünahmen, Sensibilisierung und h√∂chste Wachsamkeit kannst du dich gegen die allgegenw√§rtige Bedrohung durch Phishing in unserer vernetzten digitalen Welt wappnen. Bleib sicher!

Weiterf√ľhrende Lekt√ľre

Haftungsausschluss: Dieser Inhalt wird dir ohne Zusicherung oder Gew√§hrleistung jeglicher Art ausschlie√ülich zu allgemeinen Informations- und Bildungszwecken zur Verf√ľgung gestellt. Er ist weder als finanzielle, rechtliche oder sonstige fachliche Beratung noch als Empfehlung f√ľr den Kauf bestimmter Produkte oder Dienstleistungen zu verstehen. Du solltest dich von einem professionellen Berater beraten lassen. Wenn der Artikel von einer Drittpartei verfasst wurde, beachte bitte, dass die zum Ausdruck gebrachten Ansichten diejenigen der Drittpartei sind und nicht unbedingt die der Binance Academy widerspiegeln. Bitte lies hier unseren vollst√§ndigen Disclaimer f√ľr weiterf√ľhrende Informationen. Die Preise von Kryptowerten sind volatil. Der Wert deiner Anlage kann steigen oder fallen. Es kann sein, dass du den investierten Betrag nicht zur√ľckerh√§ltst. Die Verantwortung f√ľr deine Anlageentscheidungen liegt allein bei dir. Die Binance Academy haftet nicht f√ľr etwaige Verluste, die dir entstehen. Die hier bereitgestellten Informationen stellen keine finanzielle, rechtliche oder sonstige fachliche Beratung dar. Weitere Informationen findest du in unseren Nutzungsbedingungen und unserem Risikohinweis.