Phishing

Was ist Phishing? (Definition)

Phishing bezeichnet eine Täuschungsmethode, bei der Angreifer etwa gefälschte E-Mails, Webseiten, SMS oder Anrufe nutzen, um sich als vertrauenswürdiger Kommunikationspartner auszugeben. Erklärtes Ziel ist es, sensible Zugangsdaten wie Benutzernamen, Passwörter, TAN-Codes oder sogar die Zwei-Faktor-Authentifizierung zu ergaunern. Damit werden beispielsweise Konto-Zugriffe ausgenutzt, um Identitätsdiebstahl, finanzielle Schäden oder die Installation von Malware zu erreichen.

‍

Das Wort Phishing ist ein Neologismus aus dem englischen „fishing“ (Angeln) und „phreaking“ (eine Hacker-Bezeichnung). Die Schreibweise mit „Ph-“ entstammt dem Jargon der Hackerszene.

‍

Methoden des Phishings

Phishing-Versuche starten oft mit E-Mails oder SMS, die gefälschte Absender nutzen und zur Eingabe vertraulicher Daten auf einer nachgebauten Webseite verleiten – etwa durch eine unpersönliche Anrede wie „Sehr geehrter Kunde“. Dort imitieren Betrüger häufig das Design seriöser Einrichtungen wie Banken, inklusive Logo und Layout.

‍

Weitere Techniken umfassen :

• Link-Spoofing in HTML-E-Mails: Der sichtbare Link weicht von der wirklichen Ziel-URL ab.
• Visuelle Täuschung über ähnlich aussehende Zeichen in Domains (z. B. „l“ vs. „I“) oder homographische Angriffe über falsche Buchstaben – etwa kyrillisches „а“ statt lateinischem „a“.
• Quishing (QR-Code-Phishing): Über QR-Codes werden Nutzer unbemerkt auf betrügerische Seiten gelenkt.
• SMiShing: SMS-basierte Phishing-Versuche, z. B. mit fingierten Paketbenachrichtigungen oder angeblichen Behördenseiten, die zur Preisgabe von Daten verleiten.
• Pharming: Über Manipulation der DNS-Anfragen werden Nutzer auf kompromittierte Webseiten umgeleitet – eine weiterentwickelte Form des Phishings.

‍

Varianten des Phishings

• Spear-Phishing: Gezielt zugeschnittene Angriffe, bei denen Empfängergruppen und Inhalte gezielt ausgewählt werden, etwa bestimmte Vereine oder Hochschulen – mit höherer Trefferquote.
• Whaling: Eine Spear-Phishing-Form, die auf Führungskräfte abzielt – metaphorisch als „große Fische fangen“ gedacht.

‍

Typische Angriffsziele und Schäden

Phishende Angreifer richten sich oft gegen Online-Banking, Bezahlsysteme wie PayPal, Versandhäuser oder Singlebörsen. Die gestohlenen Zugangsdaten ermöglichen:

• Kontoplünderung (finanzielle Schäden)
• Identitätsdiebstahl
• Missbrauch für Online-Versteigerungen (Rufschädigung)
• Aufwand und Kosten für Aufklärung und Schadensbegrenzung

‍

Schutzmaßnahmen

Wichtige Strategien zum Schutz umfassen:

• Misstrauen bei unerwarteten Nachrichten oder Aufforderungen zu sensiblen Handlungen.
• Links sorgfältig prüfen, z. B. durch Mouse-Over, und keine Anhänge öffnen, wenn die Quelle fraglich erscheint.
• Persönliche oder finanzielle Daten niemals per E-Mail weitergeben – seriöse Organisationen fragen solche Daten nicht auf diesem Weg ab.
• Software regelmäßig aktualisieren und Sicherheitsprogramme aktuell halten.
• Zwei-Faktor-Authentifizierung (2FA) verwenden, idealerweise mit Hardware-Token.
• E-Mails als reinen Text anzeigen (ohne JavaScript/HTML), Filter und Blacklists nutzen, sowie Browserwarnungen beachten.
• Verwendung von Extended-Validation-SSL-Zertifikaten (EV-SSL), die im Browser grün angezeigt werden und Echtheit signalisieren.
• Bei Onlinebanking: HBCI mit Chipkarte oder iTAN-Verfahren nutzen (wenn auch nicht gegen alle Angriffe wirksam).
• Verbraucherzentrale weiterführend informieren – Phishing-Mails können dorthin weitergeleitet werden.

‍

Abgrenzung und ähnliche Begriffe

Phishing ist eine Form des Social Engineering, bei der die menschliche Gutgläubigkeit ausgenutzt wird. Anders als etwa automatisierte Scams erfolgt die Täuschung meist über manipulierte Kommunikation, die im Namen vertrauenswürdiger Absender erfolgt.

‍

Pharming geht über klassisches Phishing hinaus: Es nutzt technische Manipulationen im DNS-System, um Opfer auf gefälschte Seiten zu lenken – ohne dass der Nutzer auf einen Link klicken muss.

‍

‍