Was sind Phishing und Pharming?
Grundlagen
Social-Engineering-Angriffe nutzen psychologische Manipulation, um Menschen zu täuschen und sensible Informationen zu erlangen. Phishing ist eine Form solcher Angriffe, bei der ein Angreifer sich als vertrauenswürdiges Unternehmen oder Institution ausgibt. Es nutzt menschliche Fehler statt Sicherheitslücken in Hardware oder Software.
Gefälschte E-Mails sind das häufigste Werkzeug bei Phishing-Angriffen. Diese Nachrichten wirken legitim und fordern sensible Daten vom Nutzer an, etwa Kreditkartendaten oder Passwort-Resets. Die E-Mail enthält meist einen Link zu einer gefälschten Website, die der echten Seite ähnlich sieht. Clone-Phishing, Spear-Phishing und Pharming sind die Hauptformen von Phishing-Angriffen.
Auch im Kryptowährungs-Ökosystem sind Phishing-Angriffe weit verbreitet. Angreifer versuchen, Bitcoin oder andere digitale Währungen zu stehlen, indem sie legitime Websites nachahmen und Wallet-Adressen durch eigene ersetzen. Nutzer bezahlen so unwissentlich für einen gefälschten Dienst und verlieren ihr Geld.
Arten von Phishing
Es gibt verschiedene Phishing-Varianten, die Angreifer meist nach Ziel und Angriffsvektor einteilen. Im Folgenden einige gängige Beispiele:
- Clone-Phishing: Der Angreifer kopiert Inhalte einer zuvor versendeten legitimen E-Mail in eine sehr ähnliche Nachricht, die einen Link zu einer bösartigen Seite enthält. Er behauptet oft, der Link sei aktualisiert oder der alte sei abgelaufen.
- Spear-Phishing: Diese gezielte Angriffsform richtet sich an eine einzelne Person oder Institution. Der Angreifer recherchiert zuerst über das Opfer und nutzt persönliche Informationen (z. B. Namen von Freunden oder Familienmitgliedern), um eine vertrauenswürdige Nachricht zu erstellen, die zum Besuch einer bösartigen Website oder zum Herunterladen einer schädlichen Datei verleitet.
- Whaling: Eine Form des Spear-Phishings, die hochrangige Personen wie CEOs oder Regierungsvertreter ins Visier nimmt.
- Typosquatting: Dieser Angriff leitet Traffic auf gefälschte Websites, die auf Tippfehlern, fremdsprachigen Schreibweisen oder dezenten Änderungen der Top-Level-Domain beruhen. Phisher imitieren legitime Webseitenoberflächen und nutzen Nutzer, die URLs falsch eingeben oder falsch lesen.
- E-Mail-Spoofing: Phishing-E-Mails fälschen oft Absenderangaben von echten Firmen oder Personen. Sie führen Opfer auf bösartige Seiten mit Login-Seiten, die Trojaner, Keylogger oder andere schädliche Skripte enthalten, die persönliche Daten stehlen.
- Pharming: Bei diesem Angriff wird ein DNS-Eintrag manipuliert, sodass Besucher einer legitimen Website auf eine zuvor vom Angreifer eingerichtete Betrugsseite umgeleitet werden. Das ist besonders gefährlich, weil DNS-Einträge außerhalb der Kontrolle des normalen Nutzers liegen.
- Website-Weiterleitungen: Durch das Ausnutzen von Schwachstellen können Angreifer Weiterleitungen einbauen, die Malware installieren oder Nutzer auf andere, nicht beabsichtigte URLs führen.
- Schädliche Apps: Phisher nutzen auch bösartige Anwendungen, um Malware einzuschleusen, die Verhalten überwacht oder Daten stiehlt. Sie geben sich als Preis-Tracker, Wallets oder andere Krypto-Tools aus.
- Watering-Hole-Angriffe: Phisher analysieren, welche Webseiten Zielgruppen häufig besuchen, scannen diese Seiten auf Schwachstellen und injizieren, wenn möglich, schädliche Skripte, die Nutzer beim nächsten Besuch angreifen.
- Identitätsvortäuschung & Gewinnspiele: Phisher geben sich auf Social-Media-Plattformen als einflussreiche Personen aus, bewerben Gewinnspiele oder andere Lockangebote, um leichtgläubige Nutzer anzulocken. Sie hacken mitunter verifizierte Konten oder modifizieren Benutzernamen, um echte Personen zu imitieren. Plattformen wie Slack, Discord und Telegram werden zunehmend für solche Angriffe genutzt.
- Werbeanzeigen: Bezahlt platzierte Anzeigen sind eine weitere Taktik. Angreifer schalten gefälschte Anzeigen mit typosquatteten Domains und lassen sie in Suchergebnissen nach oben rücken, manchmal sogar an prominenter Stelle für legitime Firmen. Diese Seiten dienen dem Abgreifen sensibler Daten, etwa Login-Daten für Trading-Accounts.
- SMS- und Voice-Phishing: Angreifer versuchen, per SMS (SMiShing) oder per Telefonanruf (Vishing) persönliche Daten zu erlangen.
Phishing vs. Pharming
Pharming wird manchmal als Unterkategorie von Phishing betrachtet, funktioniert aber anders. Der entscheidende Unterschied ist, dass Phishing einen Fehler des Opfers erfordert (z. B. Klick auf einen Link), während Pharming ausreicht, wenn das Opfer eine legitime Website aufruft, deren DNS-Eintrag vom Angreifer kompromittiert wurde.
Phishing-Angriffe verhindern
Kritisches Denken ist die beste Verteidigung gegen Phishing. Frage dich, ob du die E-Mail erwartet hast und ob der Absender einen legitimen Grund hat, nach den Informationen zu fragen. Im Zweifel kontaktiere den Absender über einen anderen Kanal.
Prüfe Inhalt und Absenderadresse und suche nach Hinweisen auf bekannte Phishing-Muster.
Erhältst du eine Aufforderung, Zugangsdaten zu bestätigen, klicke nicht auf Links in der E-Mail. Versuche stattdessen, dein Konto über einen anderen, vertrauenswürdigen Weg zu prüfen.
Achte genau auf URLs: Führe den Mauszeiger über einen Link, um die Zieladresse zu sehen, und überprüfe, ob sie mit HTTPS beginnt. HTTPS allein ist jedoch kein ausreichender Nachweis für Seriosität. Achte auf Tippfehler und Unstimmigkeiten.
Bei Kryptowährungen ist besondere Vorsicht geboten. Teile niemals deinen privaten Schlüssel für dein Wallet und verifiziere die Seriosität eines Verkäufers, bevor du Zahlungen tätigst. Im Gegensatz zu Kreditkartenzahlungen gibt es keine zentrale Instanz, die Transaktionen leicht zurückbuchen kann.
Fazit
Um Cyberangriffe zu verhindern, ist es wichtig, die Risiken von Phishing zu kennen, da dies eine der häufigsten Angriffsmethoden ist. E-Mail-Filter fangen viele betrügerische Nachrichten ab, trotzdem sollte man wachsam bleiben. Schütze deine sensiblen Daten und reagiere nicht auf verdächtige Anfragen. Bestätige die Legitimität einer Anfrage über einen anderen Kommunikationskanal. Vermeide das Anklicken von Links in Sicherheitswarnungen und rufe Websites direkt im Browser auf. Achte darauf, dass URLs mit HTTPS beginnen. Triff bei Krypto-Transaktionen zusätzliche Vorsichtsmaßnahmen: Bewahre Private Keys und Passwörter sicher auf und vertraue nicht ohne Überprüfung.