Welche Arten von Phishing gibt es?
Stoppen Sie mehr Bedrohungen mit Trend Micro Email Security – fortschrittlicher Schutz für Ihre Inbox!
Phishing reicht von der klassischen E-Mail-Phishing-Masche bis hin zu kreativeren Methoden wie dem Spear Phishing und Smishing. Sie alle dienen demselben Zweck: Ihre persönlichen Daten zu stehlen.
Welche Arten von Phishing-Angriffen gibt es?
Phishing-Angriffe sind Social-Engineering-Angriffe und können je nach Angreifer sehr unterschiedliche Ziele haben. Es gibt viele Phishing-Beispiele, die von generischen Betrugs-E-Mails zu anspruchsvolleren zielgerichteten reichen können.
Phishing kann auch ein gezielter Angriff auf eine bestimmte Person sein. Der Angreifer formuliert die E-Mail oft so, dass sie direkt an Sie gerichtet ist und Informationen enthält, die nur ein Bekannter kennen würde. Ein Angreifer erhält diese Informationen in der Regel, nachdem er sich Zugang zu Ihren persönlichen Daten verschafft hat. Wenn es sich um eine solche E-Mail handelt, ist es selbst für die aufmerksamsten Empfänger sehr schwierig, nicht zum Opfer zu werden. PhishMe Research hat herausgefunden, dass Ransomware über 97 % aller Phishing-E-Mails ausmacht.
Was ist Spear Phishing?
Beim Angeln mit der Angelrute können Sie eine Reihe von Gegenständen unter der Wasseroberfläche finden – eine Flunder, eine Forelle oder ein Stück Abfall. Beim Fischen mit dem Speer gehen Sie gezielt auf die Jagd nach einem bestimmten Fisch. Daher der Name Spear Fishing (Speerfischen).
Beim Spear Phishing wird eine bestimmte Gruppe oder eine Person mit einer bestimmten Funktion anvisiert, z. B. der Systemadministrator eines Unternehmens. Nachfolgend finden Sie ein Beispiel für eine Spear Phishing-E-Mail. Beachten Sie den Hinweis auf die Branche, in der der Empfänger tätig ist, den Download-Link, den das Opfer anklicken soll, und die unmittelbare Reaktion, die angefordert wird.
Was ist Whaling?
Whaling ist eine noch gezieltere Art von Phishing, da es die Wale im Visier hat bzw. die richtig großen „Fische“. Diese Angriffe zielen in der Regel auf den CEO, CFO oder ein anderes Mitglied der Geschäftsleitung eines bestimmten Unternehmens oder in einer Branche. In einer Whaling-E-Mail kann beispielsweise stehen, dass dem Unternehmen rechtliche Konsequenzen drohen und Sie auf den Link klicken müssen, um weitere Informationen zu erhalten.
Der Link leitet Sie auf eine Seite, auf der Sie gebeten werden, alle wichtigen Daten über das Unternehmen einzugeben, etwa die Steuer-ID und Nummern von Bankkonten.
Was ist Vishing?
Vishing dient demselben Zweck wie andere Arten von Phishing-Angriffen. Den Angreifern geht es auch hier um Ihre vertraulichen persönlichen Daten oder Unternehmensinformationen. Dieser Angriff erfolgt über einen Telefonanruf. Daher das „V“ (vom englischen „Voice“) anstelle des „Ph“ im Namen.
Ein häufiger Vishing-Angriff besteht darin, dass sich eine Person bei einem Anruf als Vertreter von Microsoft ausgibt. Diese Person teilt Ihnen mit, dass sie Malware auf Ihrem Computer entdeckt hat. Sie werden dann aufgefordert, Ihre Kreditkartendaten anzugeben, damit der Angreifer eine aktualisierte Version der Antimalware-Software auf Ihrem Computer installieren kann. Der Angreifer hat nun Ihre Kreditkartendaten, und mit hoher Wahrscheinlichkeit haben Sie Malware auf Ihrem Computer installiert.
Diese könnte alles enthalten, von einem Banking-Trojaner bis hin zu einem Bot (kurz für „Robot“). Der Banking-Trojaner beobachtet alle Onlineaktivitäten, um weitere Daten zu stehlen – oft die Daten des Bankkontos einschließlich des Passworts.
Ein Bot ist eine Software, die so konzipiert ist, dass sie die vom Hacker gewünschten Aufgaben erfüllt. Er wird per Command and Control (C&C) gesteuert, um Bitcoins zu schürfen, Spam zu versenden oder einen Angriff im Rahmen eines Distributed Denial of Service (DDoS) zu starten.
Was ist E-Mail-Phishing?
E-Mail-Phishing ist ein weiteres Beispiel für Phishing und das häufigste und kommt seit den 1990er-Jahren zum Einsatz. Hacker senden diese E-Mails an alle möglichen E-Mail-Adressen, die sie in die Hände bekommen. In der Regel wird Ihnen in der E-Mail mitgeteilt, dass Ihr Konto gefährdet ist und Sie sofort reagieren müssen, indem Sie auf den angegebenen Link klicken. Diese Angriffe sind in der Regel leicht zu erkennen, da die Formulierungen in der E-Mail häufig Rechtschreib- und/oder Grammatikfehler enthalten.
Manche E-Mails sind nur schwer als Phishing-Angriffe zu erkennen, vor allem wenn die Sprache und Grammatik sorgfältiger gestaltet sind. Das Überprüfen des Absenders der E-Mail und des Links, den Sie anklicken sollen, auf verdächtige Formulierungen kann Ihnen Aufschluss darüber geben, ob die Quelle verdächtig ist.
Ein weiterer Phishing-Scam, den man als Sextortion (aus den englischen Worten „Sex“ und „Extortion“, also Erpressung) bezeichnet, erfolgt, wenn ein Hacker Ihnen eine E-Mail sendet, die scheinbar von Ihnen selbst gesendet wurde. Der Hacker behauptet, Zugang zu Ihrem E-Mail-Konto und Ihrem Computer zu haben. Er behauptet weiterhin, Ihr Passwort und ein aufgezeichnetes Video von Ihnen zu besitzen.
Der Hacker behauptet, Sie hätten Videos mit nicht jugendfreiem Inhalt von Ihrem Computer aus angesehen, während die Kamera eingeschaltet war und Sie aufgezeichnet hat. Der Hacker verlangt, dass Sie ihn bezahlen, meist in Bitcoin. Andernfalls würde er das Video an Familie und/oder Kollegen weitergeben.
Trend Micro Email Security-Lösungen
Trend Micro™ Email Security erkennt bösartige Absender und analysiert Inhalte, um Spam herauszufiltern. Authentizität und Reputation des Absenders werden analysiert und bösartige URLs abgewehrt.
Generationsübergreifende Techniken zur Bedrohungsabwehr verbessern den Schutz und bieten Transparenz und Kontrolle von Bedrohungen, die sich ständig weiterentwickeln.
Weiterführende Artikel
Weiterführende Forschung