Was bedeutet eigentlich „Phishing“?

(MA) Phishing ist einer der vielen neuen computerbezogenen Begriffe, die in den letzten zehn Jahren Eingang in das allgemeine Lexikon gefunden haben. Seine „ph“-Schreibweise wird durch ein früheres Wort für eine unerlaubte Handlung beeinflusst: „Phreaking“. Beim Phreaking wird ein elektronisches Gerät in betrügerischer Absicht benutzt, um das Bezahlen von Telefongesprächen zu umgehen. Beim Phishing wird dagegen nach Benutzerdaten „gefischt“. Angreifer versuchen durch Phishing, den Benutzer zu täuschen und diesen dazu zu bringen, sensible Informationen preis zu geben. Phishing erfolgt typischerweise über elektronische Kommunikationsmittel und beinhaltet Spoofing. Als Spoofing wird das Vortäuschen einer anderen Identität, meist von Banken, Großunternehmen oder staatlichen Institutionen, bezeichnet. Dazu wird sowohl die Nachricht selbst (Absender und Erscheinungsbild) als auch Webseiten, zu denen die Nachricht weiterleitet, der kopierten Entität nachempfunden. Phishing ist eine der ältesten und bekanntesten Angriffsformen in der IT-Sicherheit.

Phishing als häufigste Angriffsmethode

Der klassische Phishing Angriff wird auch als „Bulk-Phishing“ bezeichnet und zielt auf ein möglichst großes Publikum ab. Daher werden häufig generische Emails verwendet, welche an eine möglichst große Anzahl an potenziellen Opfern gesendet werden kann. Typischerweise beziehen sich diese Emails daher auf weit verbreitete Software (z.B. Apple oder Microsoft Produkte) oder auf allgemeine Gewinnspiele. Da viele persönliche Daten digital frei verfügbar sind oder zu einem vorherigen Zeitpunkt bereits kompromittiert worden sind, fügen einige moderne Phishing Kampagnen persönliche Informationen, wie z.B. Accountnamen automatisch in die E-Mail ein. Trotzdem zielen auch diese Emails auf die breite Maße oder z.B. alle Mitarbeiter eines Unternehmens ab. Die Angriffe nehmen gezielt die Sicherheitslücke Mensch ins Visier. Um sich hiergegen zu schützen braucht es neben einer zeitgemäßen IT-Sicherheitslösung, Schulung und Awareness der Mitarbeiter.

Sonderformen: Spear Phishing und Whaling

In die Kategorie der fortgeschrittenen Phishing Angriffe gehört das sogenannte „Spear Phishing“. Dabei sammelt der Angreifer vor der Phishing-Kampagne möglichst viele Informationen über das/die Opfer. Mithilfe dieser Informationen versucht der Angreifer die Vertrauenswürdigkeit der E-Mail und damit die Erfolgschancen weiter zu erhöhen. Eine Unterform des „Spear Phishing“ ist das „Whaling“, bei dem gezielt Führungspersonal („große Fische“) angegriffen wird.

Mobile Endgeräte als Ziel von Angriffen

Da der mobile Datenverkehr mittlerweile größer ist als der von Desktop Systemen und mobile Endgeräte häufig als zweiter Faktor für eine Zwei-Faktor-Authentisierung verwendet werden, entwickeln Angreifer vermehrt Phishing Angriffe, welche speziell auf mobile Endgeräte abzielen. Diese sind aufgrund bestimmter Eigenschaften besonders gefährdet:

  • Mobile Endgeräte dienen als Plattform für eine Vielzahl von Kommunikationsdiensten (E-Mail, SMS, WhatsApp, Dating Apps usw.)
  • Phishing-Angriffe werden häufig in Applikationen versteckt (phishing-in-the-app)
  • Die begrenzten Darstellungsmöglichkeiten (Displaygröße) erschweren es, bestimmte Phishing Techniken zu durchschauen.
    z.B. gefälschte URLs erkennen ->www.arnazon.com/home

Angriffe über andere Kommunikationsdienste werden häufig entsprechend des Namens abgekürzt, z.B. Smishing für Angriffe über den SMS-Dienst oder Whishing für Angriffe über Whatsapp. Da Phishing E-Mails bereits seit langer Zeit bekannt sind und viele Benutzer gegenüber diesen sensibilisiert wurden, werden nur noch 17% der Phishing Nachrichten durch E-Mails übermittelt. Grundsätzlich können Phishing Angriffe in allen Kommunikationsdiensten durchgeführt werden, so wurden im Jahr 2019, 6.1% der erfolgreichen mobile Phishing Angriffe auf Dating Apps durchgeführt. Da mobile Endgeräte neben der Vielzahl von Funktionalitäten auch noch immer als mobiles Telefon genutzt werden, sind diese zudem angreifbar gegenüber sogenanntem Vishing (Voice Phishing) Angriffen.

Hohes Risiko für Unternehmen

Grundsätzlich kann jeder (erfolgreiche) Phishing Angriff katastrophale Folgen für ein Unternehmen haben. Konkret lassen sich diese Folgen jedoch nur schwer quantifizieren, da Phishing zumeist nur das Einfallstor in das interne Unternehmensnetzwerk darstellt. Nutzt der Angreifer nach einer erfolgreichen Phishingkampagne z.B. Ransomware (Verschlüsselungstrojaner), um alle Dateien des Unternehmens zu verschlüsseln und anschließend Lösegeld zu verlangen, kann dies die Insolvenz des Unternehmens bedeuten. Aufgrund einer sehr hohen Dunkelziffer existieren keine eindeutigen Zahlen, Experten schätzen jedoch, dass etwa ein Fünftel der von Ransomware betroffenen Unternehmen Insolvenz anmelden müssen.