Phishing ist ein englisches Kunstwort, auf Deutsch lässt es sich ungefähr übersetzen mit: „nach Passwörtern angeln“.
Man versteht darunter den kriminellen Versuch, über Webseiten, E-Mails oder Chat Nachrichten Daten einer Person abzufangen und sie zu schädigen.
Phishing kann verschiedene Ziele haben: Passwörter oder TAN-Nummern für das Onlinebanking erschleichen, Computer mit Schadsoftware infizieren oder Menschen dazu bringen, Geld an Betrüger zu überweisen.
Phishing ist zurzeit das größte Problem für die IT-Sicherheit, denn die gefährlichen Nachrichten können leicht verbreitet werden. Und da wir alle nur Menschen sind, fällt leider immer wieder jemand darauf herein.
Phishing hat viele Gesichter und kann über viele Wege zu einem gelangen. Meistens handelt es sich um harmlos aussehende E-Mails. Wenn es sehr professionell gemacht wird, schickt zum Beispiel ein Kollege einen vermeintlichen Arbeitsauftrag.
Oftmals meldet sich auch ganz unvermittelt der Geschäftsführer oder ein Vorgesetzter mit einem Arbeitsauftrag oder einer Anweisung eine Zahlung zu leisten. Eine Phishing-Mail kann allerdings auch so aussehen, als würde sich ein Soziales Netzwerk mit einer Benachrichtigung melden. Diese Nachrichten haben meistens das Ziel, das Passwörter auf falschen Webseiten eingegeben werden.
Ziel der Hacker ist es, an Daten der Nutzer zu gelangen, die Sie für sich nutzen können. Das können zum Beispiel folgende Daten sein:
Melden Sie Auffälligkeiten. Es ist allen mehr geholfen, wenn Sie ein Problem nicht verheimlichen. Kehren Sie Vorkommnisse nicht unter den Teppich. Auch wenn Sie sich nicht sicher sind, ob wirklich etwas passiert ist, melden Sie den Vorfall. Kopieren Sie keine Dateien mehr, wenn Ihr Rechner sich merkwürdig verhält. Wichtig ist ganz besonders, dass sie dokumentieren, was passiert ist.
Sie können Phishing nicht wirklich verhindern. Diese Nachrichten erhalten Sie meistens trotz einem guten SPAM-Filter. Sicheren Schutz gegen Phishing-Attacken haben Sie nur, wenn Mitarbeiter geschult sind und wissen, welche Gefahren hinter vermeintlich harmlosen E-Mails stecken.
Social Media Phishing ist eine spezielle Art, bei der Nutzern vermeintliche E-Mails von sozialen Netzwerken, wie Facebook, Twitter etc. geschickt werden. Die Hacker nutzen dabei das Layout und Design der Sozialen Medien und wollen Nutzer bestmöglich täuschen, sodass sie auf Links oder Dateien klicken. Hinter diesen Dateien oder Links stecken zum Beispiel gefälschte Webseiten, auf denen Daten eingegeben werden sollen.
Meistens handelt es sich dabei um E-Mails, die im Design des sozialen Netzwerks gehalten sind und zu Handlungen auffordern, die das Konto auf dem sozialen Medium schützen sollen.
In der Betreffzeile nutzen die Hacker meistens bekannte soziale Netzwerke. Gut funktionieren allerdings auch Nachrichten, in denen ein Freund die Person vermeintlich auf einem Bild markiert hat. Nachrichten in denen Benachrichtigungen zu Anmeldungen enthalten sind, werden außerdem häufig geklickt. Seltener klicken Nutzer auch auf Nachrichten, die dazu auffordern das Passwort zurückzusetzen.
Handelt es sich bei unserem Beispiel um eine Phishing E-Mail, oder können Sie hier bedenkenlos auf “Passwort ändern” klicken?
Dieses Beispiel ist wirklich schwierig. Auf den ersten Blick scheint diese E-Mail sicher zu sein. Hierbei handelt es sich allerdings um eine Social-Media-Phishing-E-Mail. Hinweise dafür? Die seltsame Absender-E-Mail, oder der komische Link, der hinter dem Button “Passwort ändern” steckt.
Phishing beim Mobile-Banking ist das aktuell lukrativste Angriffs-Modell. Bei dieser Art von Phishing sollen die Zugangsdaten von Mobile Banking Accounts abgefischt werden.
Ziel ist es Überweisungen von Geld auf andere Konten vorzunehmen. Mit diesen goldenen Regeln schützen Sie sich und Ihre Mitarbeiter:
Goldene Regeln zu sicherem Mobile-Banking entnommen vom: Bundesamt für Sicherheit in der Informationstechnik (BSI)