Symbolbild für Phishing Arten

Diese Phishing Arten sind auf dem Vormarsch

Phishing ist in der IT-Security schon länger ein wichtiges Thema. Das „klassische“ Phishing wird häufig von Cyberkriminellen angewendet. Es entwickeln sich jedoch immer mehr Phishing Methoden, die weniger leicht zu durchschauen sind. Wir klären Sie über die unterschiedlichen Phishing Arten auf und zeigen Ihnen, wie Sie sich davor schützen können.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

2022-05-03

Logo
  • Author: Team datenschutzexperte.de
    Unser Team, bestehend aus zahlreichen Expert*innen im Bereich Datenschutz, weiß, was KMUs im Datenschutz bewegt. Unsere Beiträge sollen helfen, das Thema Datenschutz verständlich zu machen.

Diese Phishing Arten sind auf dem Vormarsch

Phishing ist in der IT-Security schon länger ein aktuelles Thema. Das „klassische“ Phishing wird von vielen Cyberkriminellen angewendet. Seit geraumer Zeit entwickeln sich jedoch immer mehr Phishing Arten, die weniger leicht zu durchschauen sind. Beispiele hierfür sind das „Chamäleon“- oder das Spear-Phishing. Ziel der Betrüger ist es, sensible Daten abzugreifen. Aber wie können sich Verbraucher und Unternehmen davor schützen? Wir klären Sie über die unterschiedlichen Phishing Arten auf und zeigen Ihnen, wie Sie sich davor schützen können.

Was ist Phishing?

Beim Phishing geht es darum, an unterschiedliche Daten zu gelangen. In der Regel werden dazu, E-Mails eines real existierenden Unternehmens imitiert, um beim Leser Vertrauen zu erwecken und private, teils geheime Daten „abzufischen“. In diesen Mails wird häufig mitgeteilt, dass der Empfänger beispielsweise seine Rechnungen nicht bezahlt hat oder dass sein Kundenkonto gesperrt worden ist. So bauen die Betrüger einen starken Druck auf und wollen dadurch bewirken, dass die Adressaten ihre Daten freiwillig herausgeben. Hierdurch erhält der Absender beispielsweise Kreditkarten- oder Kontoinformationen und kann in der Folge zum Beispiel an die Ersparnisse des Empfängers gelangen.

Diese Phishing Arten sollten Sie kennen

Die Täuschungstaktiken von Cyberkriminellen wirken oft sehr kurz, da diese schnell entdeckt werden. Um Daten dennoch abzugreifen, entwickeln Betrüger immer mehr Arten des Phishings. Nachfolgend stellen wir Ihnen vier Phishing Methoden vor, die Sie kennen sollten:

  • „Chamäleon“-Phishing: Das Chamäleon Phishing ist eine neue Form des Phishings, bei der Websites sich den Erwartungen der Nutzer anpassen und dadurch oft nicht entdeckt werden. Die Forscher von Trustwave haben beispielsweise kürzlich eine Phishing-Website entdeckt, die sich wie ein Chamäleon verhält, da sie ihre Farbe je nach Umgebung ändert. Zudem wird auch das Hintergrundbild und Logo je nach Benutzereingabe angepasst, sodass die Seite täuschend echt aussieht. Ziel der Betrüger ist, Anmeldedaten zu sammeln. Die Phishing-Webseiten werden oft nach kurzer Zeit entfernt, sobald sie von IT-Security-Unternehmen entdeckt wurden. Das Tückische an „Chamäleon“-Phishing-Seiten ist, dass Betrüger die Vorlage leicht anpassen und andere Domänen verwenden, um diese Skripte zu hosten. Somit können Daten immer wieder abgegriffen werden.
  • Browser-In-The-Browser-Attacke (BITB): Ähnlich wie bei „Chamäleon“-Seiten werden bei dieser Methode Login-Fenster nachgestellt. Auf bestimmten Websites kann zur Anmeldung ein Google-Konto genutzt werden. Wird die Schaltfläche „Mit Google anmelden“ angeklickt, öffnet sich ein neues Fenster, indem die Login-Daten eingegeben werden können. Die Betrüger können die Login-Seiten via HTML und CSS täuschend echt nachstellen und mit einer legitimen Google-URL inklusive HTTPS-Schloss-Symbol versehen. Daher wird der Betrug vom Nutzer oft nicht erkannt. Die Methode hat aber einen Schwachpunkt: Die Nutzer müssen erstmal auf die Phishing-Website gelockt werden, die das Fake-Login-Fenster beinhaltet.
  • Spear Phishing: Spear Phishing ist das Versenden von E-Mails, die auf bestimmte Personen oder Organisationen abgezielt sind. Dabei sollen vertrauliche Daten gesammelt werden. Es sind keine klassischen Spam-E-Mails, sondern Cyberangriffe, die auf konkrete Opfer ausgerichtet sind. Die Angriffe sind sehr komplex und aufwändig, daher sind sie noch nicht weit verbreitet. Dennoch ist Spear Phishing auf dem Vormarsch. Spear-Phishing-E-Mails sind ähnlich aufgebaut wie klassische Phishing E-Mails, sie sind jedoch personalisierter. Um dies zu ermöglichen, werden vorab Informationen über das Unternehmen oder die Person gesammelt und Profile erstellt. Dabei werden Vorlieben, Familie, Freunde und Geschäftspartner analysiert. Die Betrüger versuchen durch diese Informationen die Spear-Phishing-E-Mails so vertrauenswürdig wie möglich zu gestalten.
  • Vishing: Vishing ist eine Zusammensetzung aus den englischen Wörtern „Voice“, „Passwort“ und „Fishing“. Das Phishing geschieht über ein persönliches Telefongespräch zwischen Betrüger und Opfer. Während dem Telefonat sollen personenbezogene Informationen wie Anmelde-, Kontodaten und Ähnliches abgegriffen werden. Betroffen können sowohl Privatpersonen, wie auch Unternehmen und deren Mitarbeiter sein. Vishing ist die Kombination aus technischer Manipulation und emotionaler Beeinflussung. Dafür wird die VoIP-Technik angewendet. Das heißt, es werden automatisierte Voice-over-IP-Anrufe (VoIP) mit verfälschter Absendernummer getätigt. Wird der Anruf angenommen, schaltet sich der Betrüger persönlich in das Telefonat ein. Eine weitere Variante des Vishing ist das Versenden von einer Vielzahl an E-Mails, die eine Telefonnummer beinhalten oder das Einblenden einer Telefonnummer auf Websites. Meldet sich das Opfer unter der Telefonnummer, gibt sich der Angreifer beispielsweise als Mitarbeiter der Hausbank oder als Beauftragter eines Gewinnspiels aus.

So können Sie sich vor Phishing schützen

Damit Sie sich vor Phishing schützen können, müssen Sie die unterschiedlichen Phishing Arten kennen und vor allem erkennen können. Folgende Vorsichtsmaßnahmen können getroffen werden:

  • In Unternehmen umfassende Mitarbeiterschulungen zum Sicherheitsbewusstsein durchführen, um raffinierte Betrugsmethoden zu durchschauen.
  • Ein gesundes Misstrauen gegenüber unerwarteten Telefonanrufen entwickeln und den Anrufenden im Zweifelsfall nur über eine selbst recherchierte Telefonnummer zurückrufen.
  • Keine sensiblen Informationen wie Konto- oder Anmeldedaten per Telefon oder E-Mail preisgeben.
  • Antivirus-Programme und Endpunktsicherheits-Lösungen, um Malware in Form von Anhängen oder Links, automatisch zu blocken.
  • Wird in einer E-Mail akuter Handlungsbedarf signalisiert oder sogar Drohungen ausgesprochen, ist Vorsicht geboten. Angreifer setzen Nutzer gerne unter Druck, damit diese unüberlegt handeln.
  • Die E-Mail-Adresse des Absenders genau überprüfen, um Widersprüche zu erkennen.
  • Enthält eine E-Mail einen Link, sollte dieser vor dem Öffnen genau überprüft werden, um Unstimmigkeiten zu erkennen. Im Zweifelsfall sollte der Link nicht angeklickt werden.
  • Eine Browser-In-The-Browser-Attacke (BITB) ist durch folgende Vorgehensweise durchschaubar: Das Fake-Login-Fenster ist keine neue Webbrowser-Instanz, daher kann das Fenster nicht aus dem eigentlichen Browser-Fenster mit der Phishing-Seite hinausgeschoben werden.

 

Damit sich Unternehmen vor Phishing schützen können, müssen vor allem Mitarbeiter im Bereich Datenschutz sensibilisiert werden. Aktuelle Mitarbeiterschulungen spielen daher eine wichtige Rolle. Da Täuschungstaktiken sich ständig ändern können, ist es zudem wichtig sich über mögliche neue Phishing Methoden zu informieren. Bei Fragen oder akuten Problemen mit Phishing helfen wir Ihnen gerne jederzeit weiter.
 

 

Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 02.05.2022

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr