Was ist Phishing?
Phishing-Betrug verleitet die Opfer dazu, vertrauliche Daten preiszugeben, Malware herunterzuladen und sich oder ihr Unternehmen der Internetkriminalität auszusetzen.
Luftaufnahme von Menschen bei der Arbeit in einem Büro
Was ist Phishing?

Bei Phishing-Angriffen handelt es sich um betrügerische E-Mails, Textnachrichten, Telefonanrufe oder Websites, die darauf abzielen,  Menschen dazu zu verleiten, Malware herunterzuladen, vertrauliche Informationen weiterzugeben (z. B. Sozialversicherungs- und Kreditkartennummern, Bankkontonummern, Anmeldedaten) oder andere Handlungen vorzunehmen, die sie selbst oder ihr Unternehmen der Cyberkriminalität aussetzen.

Erfolgreiche Phishing-Angriffe führen oft zu Identitätsdiebstahl, Kreditkartenbetrug, Ransomware-Angriffen, Datenschutzverletzungen und großen finanziellen Verlusten für Einzelpersonen und Unternehmen.

Phishing ist die am weitesten verbreitete Form des Social Engineering, bei der Menschen getäuscht, unter Druck gesetzt oder manipuliert werden, damit sie Informationen oder Vermögenswerte an die falschen Personen weitergeben. Social-Engineering-Angriffe beruhen auf menschlichem Versagen und auf Druckmitteln, um erfolgreich zu sein. Der Angreifer gibt sich in der Regel als eine Person oder Organisation aus, der das Opfer vertraut – z. B. ein Kollege, ein Chef, ein Unternehmen, mit dem das Opfer oder der Arbeitgeber des Opfers Geschäfte macht – und erzeugt ein Gefühl der Dringlichkeit, das das Opfer zu überstürzten Handlungen veranlasst. Hacker verwenden diese Taktik, weil es einfacher und kostengünstiger ist, Menschen auszutricksen, als sich in einen Computer oder ein Netzwerk zu hacken.

Nach Angaben des FBI sind Phishing-E-Mails die beliebteste Angriffsmethode bzw. der beliebteste Vektor, über den Hacker Ransomware an Einzelpersonen und Unternehmen versenden. Laut dem Bericht von IBM über die Kosten einer Datenschutzverletzung ist Phishing die vierthäufigste und zweitteuerste Ursache für Datenschutzverletzungen und kostet Unternehmen durchschnittlich 4,65 Millionen US-Dollar pro Verletzung.


Arten von Phishing-Angriffen
Massen-Phishing-E-Mails

 Massen-Phishing-E-Mails sind die häufigste Art von Phishing-Angriffen. Ein Betrüger erstellt eine E-Mail-Nachricht, die scheinbar von einem großen, bekannten seriösen Unternehmen oder einer Organisation stammt – einer nationalen oder globalen Bank, einem großen Online-Händler, dem Hersteller einer beliebten Softwareanwendung oder App – und sendet die Nachricht an Millionen von Empfängern. Massen-Phishing per E-Mail ist ein Zahlenspiel: Je größer oder beliebter der angebliche Absender ist, desto mehr Empfänger sind wahrscheinlich Kunden, Abonnenten oder Mitglieder.

Die Phishing-E-Mail befasst sich mit einem Thema, das der falsche Absender glaubwürdig ansprechen könnte und das an starke Emotionen wie Angst, Gier, Neugier, ein Gefühl der Dringlichkeit oder Zeitdruck appelliert, um die Aufmerksamkeit des Empfängers zu gewinnen. Typische Betreffzeilen sind z. B. „Bitte aktualisieren Sie Ihr Benutzerprofil“, „Problem mit Ihrer Bestellung“, „Ihre Abschlussdokumente liegen zur Unterschrift bereit“, „Ihre Rechnung ist angehängt“. 

Im Hauptteil der E-Mail wird der Empfänger zu einer Handlung aufgefordert, die zwar vernünftig erscheint und zum Thema passt, aber dazu führt, dass der Empfänger sensible Daten preisgibt – Sozialversicherungsnummern, Bankkontonummern, Kreditkartennummern, Anmeldedaten – oder eine Datei herunterlädt, die das Gerät oder Netzwerk des Empfängers infiziert. So kann der Empfänger beispielsweise aufgefordert werden, „auf diesen Link zu klicken, um Ihr Profil zu aktualisieren“, doch der Link führt ihn zu einer gefälschten Website, auf der er seine tatsächlichen Anmeldedaten eingibt, während er vorgeblich sein Profil aktualisiert. Oder sie werden aufgefordert, einen Anhang zu öffnen, der legitim zu sein scheint (z. B. „invoice20.xlsx“), aber Malware oder bösartigen Code auf das Gerät oder Netzwerk des Empfängers überträgt.

Spear-Phishing

Spear-Phishing ist ein Phishing-Angriff, der auf eine bestimmte Person abzielt – in der Regel eine Person, die privilegierten Zugang zu sensiblen Daten oder Netzwerkressourcen hat oder über besondere Befugnisse verfügt, die der Betrüger für betrügerische oder schändliche Zwecke ausnutzen kann.

Ein Spear-Phisher studiert die Zielperson, um Informationen zu sammeln, die er benötigt, um sich als eine Person oder Einrichtung auszugeben, der die Zielperson wirklich vertraut – ein Freund, ein Chef, ein Mitarbeiter, ein Kollege, ein vertrauenswürdiger Anbieter oder ein Finanzinstitut – oder um sich als die Zielperson auszugeben. Soziale Medien und Social-Networking-Websites – auf denen Mitarbeiter öffentlich beglückwünscht werden, Kollegen und Lieferanten empfohlen werden und die dazu neigen, zu viel über Meetings, Veranstaltungen oder Reisepläne zu erzählen – sind zu einer ergiebigen Informationsquelle für Spear-Phishing-Recherchen geworden. 

Mit diesen Informationen kann der Spear-Phisher eine Nachricht mit bestimmten persönlichen oder finanziellen Daten und einer glaubwürdigen Aufforderung an die Zielperson senden, z. B.: „Ich weiß, dass Sie heute Abend in den Urlaub fahren – können Sie bitte diese Rechnung bezahlen (oder XXX,XX € auf dieses Konto überweisen), bevor wir heute Feierabend haben?“

Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC)

Einige Spear-Phishing-E-Mails versuchen, noch mehr Informationen zu sammeln, um einen größeren Angriff vorzubereiten. So könnte eine Spear-Phishing-Nachricht einen CEO auffordern, seine während eines kurzen Ausfalls verlorenen E-Mail-Kontodaten zu aktualisieren, aber stattdessen einen Link zu einer bösartigen gefälschten Website enthalten, die diese Daten stehlen soll. Mit diesen Zugangsdaten hat der Angreifer vollen Zugriff auf das E-Mail-Postfach des CEO. Er kann die E-Mail-Nachrichten des CEOs nach weiteren Informationen durchsuchen und eine überzeugende, betrügerische Nachricht direkt vom E-Mail-Konto des CEOs unter Verwendung der tatsächlichen E-Mail-Adresse des CEOs versenden. 

Dies ist ein Beispiel für die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC), eine besonders gefährliche Art von Spear-Phishing-Angriffen, die darauf abzielen, Unternehmensmitarbeiter dazu zu bringen, sehr hohe Geldbeträge oder wertvolle Vermögenswerte an einen Angreifer zu senden. BEC-E-Mails werden von den E-Mail-Konten der ranghöchsten Mitglieder des Unternehmens – oder von hochrangigen Mitarbeitern des Unternehmens, wie Anwälten, wichtigen Geschäftspartnern oder großen Lieferanten – gesendet oder scheinen von diesen gesendet zu werden und enthalten genügend Details, um sehr glaubwürdig zu erscheinen.

Spear-Phishing ist nicht die einzige Taktik, um an die für einen erfolgreichen BEC-Angriff erforderlichen Informationen zu gelangen. Hacker können auch Malware einsetzen oder Systemschwachstellen ausnutzen, um Zugriff auf E-Mail-Kontodaten zu erhalten. Wenn sie nicht auf Kontodaten zugreifen können, können Hacker auch versuchen, die Adresse des Absenders zu fälschen, indem sie eine E-Mail-Adresse verwenden, die der tatsächlichen Adresse des Absenders so ähnlich ist, dass der Empfänger den Unterschied nicht bemerkt. 

Unabhängig von der Taktik gehören erfolgreiche BEC-Angriffe zu den kostspieligsten Cyberangriffen. In einem der bekanntesten Beispiele für BEC überzeugten Hacker, die sich als Geschäftsführer ausgaben, die Finanzabteilung seines Unternehmens, fast 50 Millionen Euro auf ein gefälschtes Bankkonto zu überweisen.


Andere Phishing-Techniken und -Taktiken

SMS-Phishing oder Smishing ist Phishing mit Textnachrichten von Handys oder Smartphones. Die effektivsten Smishing-Methoden sind kontextabhängig, d. h. sie beziehen sich auf die Smartphone-Kontoverwaltung oder auf Apps. So können die Empfänger beispielsweise eine Textnachricht erhalten, in der ein Geschenk als „Dankeschön“ für die Bezahlung einer Mobilfunkrechnung angeboten wird, oder sie werden aufgefordert, ihre Kreditkarteninformationen zu aktualisieren, um einen Streaming-Dienst weiter nutzen zu können. 

Voice Phishing oder Vishing ist Phishing per Telefonanruf. Dank der Voice-over-IP (VoIP)-Technologie können Betrüger täglich Millionen automatisierter Vishing-Anrufe tätigen. Oftmals nutzen sie Anrufer-ID-Spoofing, um ihre Anrufe so aussehen zu lassen, als kämen sie von seriösen Unternehmen oder lokalen Telefonnummern. Vishing-Anrufe erschrecken Empfänger in der Regel mit Warnungen vor Problemen bei der Kreditkartenabwicklung, überfälligen Zahlungen oder Problemen mit dem Finanzamt. Anrufer, die darauf reagieren, geben am Ende sensible Daten an Personen weiter, die für die Betrüger arbeiten. Manche gewähren den Betrügern am anderen Ende des Telefonats sogar die Kontrolle über ihren Computer.

Social-Media-Phishing  nutzt verschiedene Funktionen einer Social-Media-Plattform, um an die vertraulichen Informationen von Mitgliedern zu gelangen. Betrüger nutzen die eigenen Nachrichtenfunktionen der Plattformen – z. B. Facebook Messenger, LinkedIn Messaging oder InMail, Twitter DMs – auf die gleiche Weise wie normale E-Mails und Textnachrichten. Sie senden den Nutzern auch Phishing-E-Mails, die den Anschein erwecken, von der Social-Networking-Website zu stammen, und fordern die Empfänger auf, ihre Anmeldedaten oder Zahlungsinformationen zu aktualisieren. Diese Angriffe können besonders kostspielig für Opfer sein, die dieselben Anmeldedaten auf mehreren Social-Media-Websites verwenden – eine nur allzu häufige „schlechte Praxis“.

Anwendung oder In-App-Messaging. Beliebte Smartphone-Apps und webbasierte Anwendungen (Software-as-a-Service oder SaaS) senden ihren Nutzern regelmäßig E-Mails. Daher sind diese Nutzer besonders anfällig für Phishing-Kampagnen, die E-Mails von App- oder Software-Anbietern vortäuschen. Auch hier spielen die Betrüger mit Zahlen und fälschen in der Regel E-Mails von den beliebtesten Anwendungen und Webapplikationen, z. B. PayPal, Microsoft Office 365 oder Teams, um das meiste Geld für ihre Phishing-Aktion zu bekommen. 


Schutz vor Phishing-Betrug
Benutzerschulung und bewährte Verfahren

Unternehmen sollten ihren Benutzern beibringen, wie sie Phishing-Betrügereien erkennen können, und bewährte Praktiken für den Umgang mit verdächtigen E-Mails und Textnachrichten entwickeln. So kann den Benutzern beispielsweise beigebracht werden, diese und andere charakteristische Merkmale von Phishing-E-Mails zu erkennen:

- Anfragen zu sensiblen oder persönlichen Informationen oder zur Aktualisierung von Profil- oder Zahlungsinformationen
- Ersuchen, Geld zu senden oder zu verschieben
- Dateianhang(e), die der Empfänger nicht angefordert oder erwartet hat
- Ein Gefühl der Dringlichkeit, sei es unverhohlen („Ihr Konto wird heute geschlossen...“) oder diskret (z. B. die Aufforderung eines Kollegen, eine Rechnung sofort zu bezahlen), die Androhung von Gefängnisstrafen oder anderen unrealistischen Konsequenzen
- Androhung von Haftstrafen oder anderen unrealistischen Konsequenzen
- Schlechte Schreibweise oder Grammatik
- Widersprüchliche oder gefälschte Absenderadresse
- Mit Bit gekürzte Links.Ly oder ein anderer Link-Verkürzungsdienst
- Bilder von Text, die anstelle von Text verwendet werden (in Nachrichten oder auf Webseiten, auf die in Nachrichten verwiesen wird)

Dies ist nur eine unvollständige Liste; leider entwickeln Hacker immer neue Phishing-Techniken, um nicht entdeckt zu werden. Veröffentlichungen wie der vierteljährliche Phishing Trends Activity Report  der Anti-Phishing Working Group (Link befindet sich außerhalb von ibm.com) können Unternehmen dabei helfen, Schritt zu halten. 

Unternehmen können auch bewährte Praktiken fördern oder durchsetzen, die den Druck auf die Mitarbeiter verringern, sich als Phishing-Detektive zu betätigen. So können Unternehmen beispielsweise klare Richtlinien aufstellen und kommunizieren, z. B. dass ein Vorgesetzter oder Kollege niemals eine E-Mail mit der Bitte um eine Überweisung schicken wird. Sie können von den Mitarbeitern verlangen, dass sie jede Anfrage nach persönlichen oder sensiblen Informationen überprüfen, indem sie den Absender kontaktieren oder die rechtmäßige Website des Absenders direkt besuchen, und zwar mit anderen Mitteln als denen, die in der Nachricht angegeben sind. Und sie können darauf bestehen, dass die Mitarbeiter Phishing-Versuche und verdächtige E-Mails an die IT- oder Sicherheitsabteilung melden.

Sicherheitstechnologien zur Bekämpfung von Phishing

Trotz der besten Benutzerschulung und strenger Best Practices machen Benutzer immer noch Fehler. Glücklicherweise können verschiedene etablierte und neue Endpunkt- und Netzwerksicherheitstechnologien Sicherheitsteams helfen, den Kampf gegen Phishing dort aufzunehmen, wo Schulung und Richtlinien aufhören.

-Spam-Filter kombinieren Daten über bestehende Phishing-Betrügereien und Algorithmen des maschinellen Lernens, um verdächtige Phishing-E-Mails (und andere Spam-Mails) zu identifizieren, sie in einen separaten Ordner zu verschieben und alle darin enthaltenen Links zu deaktivieren.
-Antiviren- und Anti-Malware-Software erkennt und neutralisiert bösartige Dateien oder Code in Phishing-E-Mails.
- Für die Multi-Faktor-Authentifizierung ist neben dem Benutzernamen und dem Kennwort mindestens ein weiterer Anmeldeindikator erforderlich, z. B. ein einmaliger Code, der an das Mobiltelefon des Benutzers gesendet wird. Durch die Bereitstellung einer zusätzlichen letzten Verteidigungslinie gegen Phishing-Betrügereien oder andere Angriffe, die erfolgreich Passwörter kompromittieren, kann die Multi-Faktor-Authentifizierung Spear-Phishing-Angriffe untergraben und BEC verhindern. 
- Webfilter verhindern den Besuch bekannter bösartiger Websites („schwarze Liste“) und zeigen Warnungen an, wenn Benutzer mutmaßlich bösartige oder gefälschte Websites besuchen.

Zentralisierte Cybersicherheitsplattformen – z. B. Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR) – kombinieren diese und andere Technologien mit ständig aktualisierten Bedrohungsdaten und automatisierten Funktionen zur Reaktion auf Vorfälle, die Unternehmen dabei helfen können, Phishing-Betrügereien zu verhindern, bevor sie Benutzer erreichen, und die Auswirkungen von Phishing-Angriffen zu begrenzen, die die Endpunkt- oder Netzwerkabwehr überwinden.


Relevante Lösungen

IBM Security QRadar XDR Connect

Die erste umfassende XDR-Lösung (Extended Detection and Response) der Branche, die auf offenen Standards und Automatisierung basiert. XDR Connect bietet umfassende Transparenz, Automatisierung und kontextbezogene Einblicke in Endgeräte, Netzwerk, Cloud und Anwendungen.

IBM Incident Response

IBM Incident Response-Lösungen unterstützen Sicherheitsteams bei der proaktiven Verwaltung und Reaktion auf Phishing und andere Bedrohungen mit intelligenter Orchestrierung, einer breiten Palette von Services und den Tools, dem Know-how und den Mitarbeitern von IBM Security X-Force.

Lösungen für Phishing-Angriffe

Schützen Sie Ihre Mitarbeiter vor Phishing-Angriffen, die die Sicherheit Ihres Unternehmens beeinträchtigen können.

Lösungen zum Schutz vor Ransomware

Schützen Sie Ihre Unternehmensdaten mit IBM Security-Lösungen vor Ransomware-Bedrohungen, um nicht erpressbar zu werden.

Zero-Trust-Sicherheitslösungen

Sorgen Sie mit den Zero-Trust-Sicherheitslösungen von IBM jederzeit für Sicherheit für jeden Benutzer, jedes Gerät und jede Verbindung.

Lösungen für Datensicherheit und Datenschutz

Schützen Sie Unternehmensdaten in mehreren Umgebungen, erfüllen Sie die Vorgaben für den Datenschutz und vereinfachen Sie die betriebliche Komplexität durch Lösungen zur Datensicherheit.

IBM Security Trusteer Rapport

IBM Trusteer Rapport hilft Finanzinstituten bei der Erkennung und Vermeidung von Malware-Infektionen und Phishing-Attacken durch den Schutz ihrer Privat- und Geschäftskunden.

Lösungen für Incident Response

Eine intelligente Orchestrierung verbessert die Reaktionen auf Vorfälle durch das Definieren wiederholbarer Prozesse, das Unterstützen qualifizierter Analysten und die Nutzung integrierter Technologien.

Sicherheitslösungen gegen Bedrohungen durch Insider

Erfahren Sie, wie Sie Ihr Unternehmen vor bösartigen oder unbeabsichtigte Bedrohungen von Insidern mit Zugriff auf Ihr Netz schützen können.


Ressourcen