Was ist Phishing und wie funktioniert es?

Zusammenfassung

• Phishing ist eine böswillige Praxis, bei der Angreifer sich als vertrauenswürdige Instanz ausgeben, um Menschen dazu zu bringen, vertrauliche Informationen preiszugeben.

• Lernen Sie, häufige Anzeichen von Phishing zu erkennen, wie z. B. verdächtige URLs und dringende Anfragen nach persönlichen Daten, um wachsam zu bleiben.

• Lernen Sie die verschiedenen Phishing-Techniken kennen, von gängigen E-Mail-Betrügereien bis hin zu raffiniertem Spear-Phishing, um die Cybersicherheitsabwehr zu stärken.

Einführung

Phishing ist eine schädliche Taktik, bei der böswillige Akteure vorgeben, vertrauenswürdige Quellen zu sein, um Menschen dazu zu bringen, ihre sensiblen Daten weiterzugeben. In diesem Artikel beleuchten wir, was Phishing ist, wie es funktioniert und was Sie tun können, um nicht Opfer dieser Art von Betrug zu werden.

So funktioniert Phishing

Phishing basiert in erster Linie auf Social Engineering, einer Methode, mit der Angreifer Menschen dazu manipulieren, vertrauliche Informationen preiszugeben. Angreifer sammeln personenbezogene Daten aus öffentlichen Quellen (z. B. sozialen Medien), um scheinbar authentische E-Mails zu erstellen. Opfer erhalten häufig bösartige Nachrichten, die scheinbar von Familienkontakten oder seriösen Organisationen stammen.

Die häufigste Form von Phishing sind E-Mails, die bösartige Links oder Anhänge enthalten. Durch Klicken auf diese Links kann Schadsoftware auf dem Gerät des Benutzers installiert werden oder dieser auf gefälschte Websites weitergeleitet werden, die darauf abzielen, persönliche und finanzielle Informationen zu stehlen.

Obwohl es einfacher ist, schlecht geschriebene Phishing-E-Mails zu erkennen, nutzen Cyberkriminelle fortschrittliche Tools wie Chatbots und KI-Sprachgeneratoren, um die Authentizität ihrer Angriffe zu verbessern. Dies macht es für Benutzer schwierig, zwischen echter und betrügerischer Kommunikation zu unterscheiden.

So erkennen Sie Phishing-Versuche

Das Erkennen von Phishing-E-Mails kann schwierig sein, es gibt jedoch einige Anzeichen, auf die Sie achten können.

Häufige Anzeichen

Seien Sie vorsichtig, wenn die Nachricht verdächtige URLs enthält, öffentliche E-Mail-Adressen verwendet, Angst oder Dringlichkeit hervorruft, persönliche Informationen anfordert oder Rechtschreib- und Grammatikfehler enthält. In den meisten Fällen sollten Sie in der Lage sein, mit der Maus über Links zu fahren, um die URLs zu überprüfen, ohne darauf klicken zu müssen.

Betrug basierend auf digitalen Zahlungen

Phisher geben sich häufig als vertrauenswürdige Online-Zahlungsdienste wie PayPal, Venmo oder Wise aus. Benutzer erhalten betrügerische E-Mails, in denen sie aufgefordert werden, die Details eines vermeintlichen Logins zu überprüfen. Es ist wichtig, wachsam zu bleiben und verdächtige Aktivitäten zu melden.

Phishing-Angriffe im Finanzbereich

Betrüger geben sich als Banken oder Finanzinstitute aus und behaupten Sicherheitslücken, um an persönliche Daten zu gelangen. Zu den gängigen Taktiken gehören irreführende E-Mails über Geldtransfers oder Betrug mit Direkteinzahlungen an neue Mitarbeiter. Sie können auch behaupten, dass es ein dringendes Sicherheitsupdate gibt.

Arbeitsbedingte Phishing-Betrügereien

Bei diesen personalisierten Betrügereien geben sich Angreifer als Führungskräfte, CEOs oder CFOs aus und fordern gefälschte Überweisungen oder Käufe an. Voice-Phishing mit KI-Sprachgeneratoren über das Telefon ist eine weitere Methode von Betrügern.

So verhindern Sie Phishing-Angriffe

Um Phishing-Angriffe zu vermeiden, ist es wichtig, mehrere Sicherheitsmaßnahmen zu ergreifen. Vermeiden Sie es, direkt auf einen Link zu klicken. Besuchen Sie stattdessen die Website des Unternehmens oder die offiziellen Kommunikationskanäle, um zu überprüfen, ob die von Ihnen erhaltenen Informationen legitim sind. Erwägen Sie den Einsatz von Sicherheitstools wie Antivirensoftware, Firewalls und Spamfiltern. 

Darüber hinaus sollten Organisationen E-Mail-Authentifizierungsstandards verwenden, um eingehende E-Mails zu überprüfen. Gängige Beispiele für E-Mail-Authentifizierungsmethoden sind DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting and Conformance).

Für Einzelpersonen ist es wichtig, ihre Familie und Freunde über die Risiken von Phishing zu informieren. Für Unternehmen ist es von entscheidender Bedeutung, ihre Mitarbeiter über Phishing-Techniken aufzuklären und regelmäßige Sensibilisierungsschulungen durchzuführen, um Risiken zu reduzieren.

Wenn Sie weitere Hilfe und Informationen benötigen, suchen Sie nach Regierungsinitiativen wie OnGuardOnline.gov und Organisationen wie der Anti-Phishing Working Group Inc. Diese bieten detailliertere Ressourcen und Anleitungen zum Erkennen, Verhindern und Melden von Phishing-Angriffen.

Arten von Phishing

Phishing-Techniken entwickeln sich weiter und Cyberkriminelle nutzen eine Vielzahl von Methoden. Die verschiedenen Arten von Phishing werden in der Regel anhand des Ziels und des Angriffsvektors klassifiziert. Lassen Sie es uns genauer analysieren.

Phishing klonen

Der Angreifer verwendet eine zuvor gesendete legitime E-Mail und kopiert deren Inhalt in eine ähnliche E-Mail, die einen Link zu einer schädlichen Website enthält. Der Angreifer könnte auch behaupten, dass es sich um einen aktualisierten oder neuen Link handele, und darauf hinweisen, dass der vorherige falsch oder abgelaufen sei.

Spear-Phishing

Diese Art von Angriff konzentriert sich auf eine Person oder Institution. Ein Spear-Angriff ist raffinierter als andere Arten von Phishing, weil er maßgeschneidert ist. Das bedeutet, dass der Angreifer zunächst Informationen über das Opfer sammelt (z. B. Namen von Freunden oder Familie) und diese Daten verwendet, um das Opfer auf eine schädliche Website-Datei zu locken.

Pharming

Der Angreifer verunreinigt einen DNS-Eintrag, der Besucher effektiv von einer legitimen Website auf eine betrügerische Website umleitet, die der Angreifer zuvor erstellt hat. Dies ist der gefährlichste Angriff, da die DNS-Einträge nicht unter der Kontrolle des Benutzers stehen und dieser daher nicht in der Lage ist, sich zu verteidigen.

Walfang

Eine Form des Spear-Phishing, das auf wohlhabende und wichtige Personen wie CEOs und Regierungsbeamte abzielt.

E-Mail-Spoofing

Phishing-E-Mails fälschen häufig die Kommunikation legitimer Unternehmen oder Personen. Sie können Links zu bösartigen Websites enthalten, die für ahnungslose Opfer erstellt wurden. Auf diesen Websites sammeln Angreifer mithilfe geschickt getarnter Anmeldeseiten Anmeldeinformationen sowie personenbezogene Daten. Die Seiten können Trojaner, Keylogger und andere bösartige Skripte enthalten, die persönliche Daten stehlen.

Website-Weiterleitungen

Website-Weiterleitungen leiten Benutzer zu anderen URLs weiter als denen, die sie besuchen wollten. Akteure, die die Schwachstellen ausnutzen, können Weiterleitungen einfügen und Malware auf den Computern der Benutzer installieren.

Typosquatting

Typosquatting leitet den Datenverkehr auf gefälschte Websites weiter, die fremdsprachige Schreibweisen, häufige Rechtschreibfehler oder subtile Variationen der Top-Level-Domain verwenden. Phisher verwenden Domänen, um legitime Website-Schnittstellen zu imitieren und nutzen dabei Benutzer aus, die die URL falsch eingeben oder lesen.

Gefälschte bezahlte Anzeigen

Bezahlte Werbung ist eine weitere Taktik für Phishing. Diese (gefälschten) Anzeigen verwenden Domains, auf die die Angreifer Tippfehler angewendet haben, und werden dafür bezahlt, in den Suchergebnissen aufzusteigen. Die Website erscheint möglicherweise sogar als eines der Top-Suchergebnisse bei Google.

Watering-Hole-Angriff

Bei einem Watering-Hole-Angriff untersuchen Phisher Benutzer und ermitteln, welche Websites sie häufig besuchen. Sie scannen diese Websites auf Schwachstellen und versuchen, schädliche Skripts einzuschleusen, die darauf abzielen, Benutzer beim nächsten Besuch dieser Website anzugreifen.

Identitätsdiebstahl und gefälschte Werbegeschenke

Sie imitieren die Identität einflussreicher Persönlichkeiten in sozialen Netzwerken. Phisher geben sich unter Umständen als wichtige Unternehmensführer aus und bewerben Werbegeschenke oder wenden andere betrügerische Praktiken an. Opfer dieser Falschmeldung können sogar individuell durch Social-Engineering-Prozesse angegriffen werden, die darauf abzielen, leichtgläubige Benutzer zu finden. Schauspieler können verifizierte Konten hacken und Benutzernamen ändern, um eine echte Person nachzuahmen und gleichzeitig den verifizierten Status beizubehalten.

In letzter Zeit haben Phisher Plattformen wie Discord,

Schädliche Anwendungen

Phisher können auch bösartige Apps verwenden, die Ihr Verhalten überwachen oder vertrauliche Informationen stehlen. Apps können als Preisverfolger, Wallets und andere kryptowährungsbezogene Tools fungieren (deren Benutzerbasis für den Handel und Besitz von Kryptowährungen prädisponiert ist).

SMS- und Voice-Phishing

Eine Form des SMS-basierten Phishings, meist per SMS oder Sprachnachricht, die Benutzer dazu ermutigt, persönliche Informationen weiterzugeben.

Phishing vs. Pharming

Obwohl einige Pharming als eine Art Phishing-Angriff betrachten, beruht es auf einem anderen Mechanismus. Der Hauptunterschied zwischen Phishing und Pharming besteht darin, dass beim Phishing vom Opfer ein Fehler gemacht wird. Im Gegensatz dazu erfordert Pharming lediglich, dass das Opfer versucht, auf eine legitime Website zuzugreifen, deren DNS-Eintrag vom Angreifer kompromittiert wurde.

Phishing im Krypto- und Blockchain-Bereich

Während die Blockchain-Technologie aufgrund ihrer dezentralen Natur eine hohe Datensicherheit bietet, sollten Benutzer im Blockchain-Bereich wachsam gegenüber Social-Engineering- und Phishing-Versuchen bleiben. Cyberkriminelle versuchen oft, menschliche Schwachstellen auszunutzen, um Zugang zu privaten Schlüsseln oder Anmeldeinformationen zu erhalten. In den meisten Fällen basieren Betrügereien auf menschlichem Versagen.

Betrüger können auch versuchen, Benutzer dazu zu verleiten, ihre Startphrasen preiszugeben oder Gelder an gefälschte Adressen zu überweisen. Es ist wichtig, vorsichtig zu sein und die empfohlenen Sicherheitspraktiken zu befolgen.

Schlussfolgerungen

Zusammenfassend lässt sich sagen, dass es für den Schutz persönlicher und finanzieller Daten von entscheidender Bedeutung ist, Phishing zu verstehen und über sich entwickelnde Betrugstechniken informiert zu bleiben. Durch die Kombination starker Sicherheitsmaßnahmen, Aufklärung und Sensibilisierung können sich Einzelpersonen und Organisationen gegen die allgegenwärtige Bedrohung durch Phishing in unserer vernetzten digitalen Welt wappnen. Bleiben Sie SAFU!

Weiterführende Literatur

• Fünf Tipps zum Schutz Ihrer Kryptowährungsbestände

• Fünf Möglichkeiten, die Sicherheit Ihres Binance-Kontos zu verbessern

• So führen Sie Peer-to-Peer-Transaktionen (P2P) sicher durch

Rechtlicher Hinweis und Risikowarnung: Dieser Inhalt wird „wie besehen“ nur zu allgemeinen Informations- und Bildungszwecken präsentiert, ohne Zusicherung oder Gewährleistung jeglicher Art. Sie sind nicht als finanzielle, rechtliche oder sonstige professionelle Beratung zu verstehen und dienen auch nicht dazu, den Kauf eines bestimmten Produkts oder einer bestimmten Dienstleistung zu empfehlen. Lassen Sie sich individuell von geeigneten Fachberatern beraten. Da dieser Artikel von Dritten stammt, beachten Sie bitte, dass die geäußerten Meinungen die des Dritten sind und nicht unbedingt die Meinung der Binance Academy widerspiegeln. Weitere Informationen finden Sie hier in unserem vollständigen Impressum. Die Preise digitaler Vermögenswerte können volatil sein. Der Wert einer Anlage kann sowohl fallen als auch steigen, und es kann sein, dass Sie den investierten Betrag nicht zurückerhalten. Für Ihre Anlageentscheidungen sind allein Sie verantwortlich. Die Binance Academy übernimmt keine Haftung für etwaige Verluste, die Ihnen entstehen. Dieses Material sollte nicht als finanzielle, rechtliche oder sonstige professionelle Beratung ausgelegt werden. Weitere Informationen finden Sie in unseren Nutzungsbedingungen und Risikohinweisen.