Was ist Phishing und wie funktioniert diese Betrugsmethode?
Startseite
Artikel
Was ist Phishing und wie funktioniert diese Betrugsmethode?

Was ist Phishing und wie funktioniert diese Betrugsmethode?

Anfänger
Veröffentlicht Nov 28, 2018Aktualisiert Mar 13, 2024
7m

TL;DR

  • Phishing ist eine Betrugsmethode, bei der sich Angreifer als vertrauenswürdige Akteure ausgeben, um andere dazu zu bringen, vertrauliche Informationen preiszugeben.

  • Bleib wachsam gegenüber Phishing, indem du typische Anzeichen wie verdächtige URLs erkennst und dich von dringenden Anfragen nach persönlichen Daten in Acht nimmst.

  • Lerne die verschiedenen Phishing-Techniken kennen, von gängigen E-Mail-Betrügereien bis hin zu ausgeklügeltem Spear-Phishing, um deine Cybersicherheit zu erhöhen.

Einführung

Phishing ist eine Betrugsmethode, bei der sich Angreifer als seriöse Akteure ausgeben, um dich zur Weitergabe vertraulicher Daten zu verleiten. In diesem Artikel erfährst du, was Phishing ist, wie es funktioniert und wie du dich davor schützen kannst.

So funktioniert Phishing-Betrug

Phishing ist eine Form des Social Engineerings, eine Methode, Menschen zu einem bestimmten Verhalten zu bewegen, z. B. zur Preisgabe vertraulicher Informationen. Der Angreifer sammelt persönliche Daten aus öffentlichen Quellen (wie sozialen Medien), um eine legitim erscheinende E-Mail zu erstellen. Das Opfer erhält dann in der Regel eine betrügerische Nachricht, die so aussieht, als stamme sie von einer vertrauenswürdigen Person oder einer seriösen Organisation.

Phishing erfolgt in den meisten Fällen über E-Mails mit schädlichen Links oder Anhängen. Ein Klick auf diese Links kann Malware auf dem Gerät des Opfers installieren oder es zu einer gefälschten Website führen, um persönliche und finanzielle Informationen von ihm zu stehlen.

Während schlecht geschriebene Phishing-E-Mails oft leicht zu erkennen sind, verwenden Cyberkriminelle zunehmend fortschrittliche Tools wie Chatbots und KI-Stimmengeneratoren, um die Erfolgswahrscheinlichkeit ihrer Angriffsversuche zu erhöhen. Für die Nutzer wird es immer schwieriger, zwischen echter und betrügerischer Kommunikation zu unterscheiden.

Phishing-Angriffe erkennen

Phishing-E-Mails zu erkennen, ist nicht immer einfach, aber es gibt einige Anzeichen, auf die du achten solltest.

Häufige Anzeichen

Sei vorsichtig, wenn eine Nachricht verdächtige URLs enthält, von einer unbekannten E-Mail-Adresse stammt, ein Gefühl von Angst oder Dringlichkeit vermittelt, Rechtschreib- oder Grammatikfehler aufweist oder dich nach persönlichen Daten fragt. In der Regel wird dir die URL-Adresse angezeigt, wenn du mit den Mauszeiger über den Link bewegst.

Vorsicht bei Online-Zahlungen

Phisher geben sich häufig als seriöse Online-Zahlungsdienste wie PayPal, Venmo oder Wise aus. Du erhältst eine betrügerische E-Mail, in der du aufgefordert wirst, deine Anmeldedaten zu verifizieren. Bleib daher unbedingt wachsam und melde verdächtige Aktivitäten.

Nachrichten von angeblichen Bankmitarbeitern

Betrüger können sich auch als Mitarbeiter von Banken oder anderen Finanzinstituten ausgeben und behaupten, dass es eine Sicherheitslücke gibt, um so an deine persönlichen Daten zu gelangen. Zu den üblichen Maschen gehören gefälschte E-Mail-Nachrichten über Geldüberweisungen und die Aufforderung an neue Mitarbeiter, Zahlungen auf ein bestimmtes Bankkonto zu leisten. Möglicherweise wird auch behauptet, dass ein dringendes Sicherheitsupgrade durchgeführt werden muss.

Phishing-Attacken am Arbeitsplatz

Bei diesen personalisierten Angriffen gibt sich der Betrüger als CEO, CFO oder eine andere Führungskraft eines Unternehmens aus und fordert dich auf, eine Überweisung oder einen angeblichen Kauf zu tätigen. Eine weitere Betrugsmasche sind Telefonanrufe, bei denen KI-Stimmengeneratoren eingesetzt werden.

Wie du Phishing-Angriffe verhindern kannst

Um Phishing-Angriffe abzuwehren, ist es wichtig, mehrere Sicherheitsmaßnahmen zu ergreifen. Vermeide es, direkt auf Links zu klicken. Besuche stattdessen die offizielle Website oder die offiziellen Kommunikationskanäle des Unternehmens, um zu überprüfen, ob die erhaltenen Informationen echt sind. Erwäge die Verwendung von Sicherheitstools wie Antivirensoftware, Firewalls und Spam-Filtern. 

Unternehmen sollten zudem E-Mail-Authentifizierungsstandards zur Überprüfung eingehender E-Mails implementieren. Beispiele für gängige E-Mail-Authentifizierungsmethoden sind DKIM (DomainKeys Identified E-Mail) und DMARC (Domain-based Message Authenticator, Reporting, and Conformance).

Des Weiteren solltest du deine Familienmitglieder und Freunde über die Risiken von Phishing informieren, und Unternehmen sollten ihre Mitarbeiter über Phishing-Techniken aufklären und regelmäßige Sensibilisierungsmaßnahmen durchführen, um das Risiko zu mindern.

Wenn du weitere Unterstützung und Informationen benötigst, wende dich an staatliche Stellen wie OnGuardOnline.gov und Organisationen wie die Anti-Phishing Trading Group Inc. Diese bieten viele Ressourcen und Empfehlungen zum Erkennen, Vermeiden und Melden von Phishing-Angriffen.

Arten von Phishing

Die Phishing-Techniken entwickeln sich ständig weiter, und Cyberkriminelle lassen sich immer neue Methoden einfallen. Die verschiedenen Arten von Phishing lassen sich nach dem Ziel und der Methode des Angriffs kategorisieren. Schauen wir sie uns genauer an.

Clone-Phishing

Ein Angreifer kopiert den Inhalt einer zuvor gesendeten legitimen E-Mail in eine neue E-Mail zu demselben Thema und fügt einen Link zu einer bösartigen Website hinzu. Möglicherweise behauptet er, dass es sich um einen aktualisierten oder neuen Link handelt und dass der vorherige Link falsch oder abgelaufen ist.

Spear-Phishing

Diese Art von Attacken kann sowohl auf Personen als auch auf Einrichtungen abzielen. Spear-Phishing-Angriffe sind aufwendiger und raffinierter als andere Phishing-Methoden. Der Betrüger sammelt zunächst Informationen über das Opfer (z. B. die Namen von Freunden oder Familienmitgliedern) und nutzt diese dann, um es zu einer bösartigen Website-Datei zu führen.

Pharming

Ein Angreifer manipuliert DNS-Einträge, um den Nutzer von einer legitimen Website auf eine vom Angreifer gefälschte Website umzuleiten. Dies ist die gefährlichste Art von Phishing-Angriff, da die DNS-Einträge nicht in der Kontrolle des Nutzers liegen und er sich daher nicht dagegen wehren kann.

Whaling

Whaling ist eine Form des Spear-Phishings, die sich gegen wohlhabende und bekannte Personen wie CEOs oder Regierungsmitglieder richtet.

E-Mail-Spoofing

Bei Phishing werden in der Regel E-Mail-Nachrichten von Unternehmen und Privatpersonen gefälscht. Ahnungslose Opfer erhalten Links zu bösartigen Websites, auf denen sie aufgefordert werden, ihre Anmeldedaten oder persönlichen Informationen auf authentisch wirkenden Anmeldeseiten einzugeben. Die Seiten können Trojaner, Keylogger und andere bösartige Skripte enthalten, die persönliche Daten ausspionieren.

Website-Weiterleitungen

Nutzer werden zu einer anderen URL weitergeleitet als der, die sie eigentlich besuchen wollten. Auf diese Weise können Betrüger Malware auf dem Computer des Opfers installieren.

Typosquatting

Wenn ein Nutzer eine URL falsch eingibt, kann es sein, dass er auf einer gefälschten Website landet. Dieses Risiko ist besonders hoch bei fremdsprachigen Websites, gängigen Rechtschreibfehlern und subtilen Variationen der Top-Level-Domain. Phisher kaufen Domains, um legitime Websites zu imitieren und Nutzer auszutricksen, die die URL falsch lesen oder bei der Eingabe einen Tippfehler machen.

Bezahlte Werbeanzeigen

Eine weitere Taktik ist die Platzierung von Anzeigen und Werbung zur Täuschung der Nutzer. Die Angreifer verwenden Domains, die denen einer legitimen Website sehr ähnlich sind (Stichwort: Typosquatting), und bezahlen dafür, dass sie in den Suchmaschinenergebnissen weit oben erscheinen, möglicherweise sogar unter den ersten Treffern bei Google.

Watering-Hole-Angriffe

Bei einem Watering-Hole-Angriff analysieren Phisher die Nutzer und ermitteln, welche Websites sie häufig aufsuchen. Sie scannen die Websites auf Schwachstellen und versuchen, bösartige Skripte einzuschleusen, um die Nutzer beim nächsten Besuch zu attackieren.

Identitätstäuschung und angebliche Geschenke

Bei einer Identitätstäuschung gibt sich ein Betrüger als eine einflussreiche Persönlichkeit in den sozialen Medien aus. Er kann beispielsweise behaupten, er sei eine hochrangige Führungskraft eines Unternehmen, oder vermeintliche Werbegeschenke anpreisen. Potenzielle Opfer können sogar persönlich angesprochen und manipuliert werden (Stichwort: Social Engineering), um besonders leichtgläubige Nutzer zu identifizieren. Die Betrüger können verifizierte Konten hacken und den Nutzernamen ändern, um sich als die echte Person auszugeben und gleichzeitig den verifizierten Status beizubehalten.

In letzter Zeit nehmen Phisher auch vermehrt Plattformen wie Discord, X und Telegram ins Visier. Das Ziel bleibt das gleiche: Chats fälschen, sich als jemand anderes ausgeben und legitime Dienste imitieren.

Bösartige Apps

Phisher bieten manchmal auch bösartige Apps an, mit denen sie das Verhalten der Nutzer überwachen oder ihre persönlichen Daten stehlen. Die Apps können Preis-Tracker, Wallets und andere Krypto-Tools umfassen (die möglicherweise bereits von vielen Krypto-Tradern genutzt werden).

SMS und Sprachnachrichten

Phishing kann auch über SMS oder Sprachnachrichten erfolgen, in denen Nutzer zur Preisgabe persönlicher Informationen aufgefordert werden.

Unterschied zwischen Phishing und Pharming

Auch wenn manche Pharming als eine Art von Phishing-Angriff betrachten, gibt es einen wichtigen Unterschied. Beim Phishing macht das Opfer einen Fehler, während beim Pharming einfach versucht wird, auf eine legitime Website zuzugreifen, deren DNS-Eintrag vom Angreifer kompromittiert wurde.

Phishing im Krypto- und Blockchain-Bereich

Obwohl die Blockchain-Technologie aufgrund ihres dezentralen Charakters ein hohes Maß an Datensicherheit bietet, solltest du wachsam gegenüber Social-Engineering- und Phishing-Versuchen bleiben. Cyberkriminelle probieren häufig, menschliche Schwächen auszunutzen, um sich Zugang zu privaten Schlüsseln oder Anmeldedaten zu verschaffen. In den meisten Fällen beruht der Betrug auf einem Fehler des Menschen.

Betrüger können auch versuchen, Nutzer dazu zu bringen, ihre Seed-Phrasen preiszugeben oder Mittel an falsche Adressen zu senden. Es ist daher wichtig, vorsichtig zu sein und bewährte Sicherheitspraktiken anzuwenden.

Fazit

Zusammenfassend lässt sich sagen, dass es für den Schutz deiner persönlichen und finanziellen Daten entscheidend ist, Phishing-Angriffe zu erkennen und über die immer raffinierteren Betrugsversuche informiert zu bleiben. Durch geeignete Sicherheitsmaßnahmen, Sensibilisierung und höchste Wachsamkeit kannst du dich gegen die allgegenwärtige Bedrohung durch Phishing in unserer vernetzten digitalen Welt wappnen. Bleib sicher!

Weiterführende Lektüre

Haftungsausschluss: Dieser Inhalt wird dir ohne Zusicherung oder Gewährleistung jeglicher Art ausschließlich zu allgemeinen Informations- und Bildungszwecken zur Verfügung gestellt. Er ist weder als finanzielle, rechtliche oder sonstige fachliche Beratung noch als Empfehlung für den Kauf bestimmter Produkte oder Dienstleistungen zu verstehen. Du solltest dich von einem professionellen Berater beraten lassen. Wenn der Artikel von einer Drittpartei verfasst wurde, beachte bitte, dass die zum Ausdruck gebrachten Ansichten diejenigen der Drittpartei sind und nicht unbedingt die der Binance Academy widerspiegeln. Bitte lies hier unseren vollständigen Disclaimer für weiterführende Informationen. Die Preise von Kryptowerten sind volatil. Der Wert deiner Anlage kann steigen oder fallen. Es kann sein, dass du den investierten Betrag nicht zurückerhältst. Die Verantwortung für deine Anlageentscheidungen liegt allein bei dir. Die Binance Academy haftet nicht für etwaige Verluste, die dir entstehen. Die hier bereitgestellten Informationen stellen keine finanzielle, rechtliche oder sonstige fachliche Beratung dar. Weitere Informationen findest du in unseren Nutzungsbedingungen und unserem Risikohinweis.