Was ist Phishing

Phishing ist die am häufigsten genutzte Social Engineering Technik. Aus dem Englischen Wort Phishing abgleitet, werden Nutzer mit E-Mails oder Nachrichten in sozialen Medien "geködert". Angreifer geben sich als jemand anderes aus und verletzen mit der Authentizität eine der grundlegenden Schutzziele der Informationssicherheit.
Unter 300 E-Mails befindet sich mindestens eine Phishing Mail. Den E-Mails liegen oftmals Dateien bei, die einen weiteren Angriff auf das System erlauben. Beliebt sind Exploits, die Makros von Office Produkten nutzen, um sich weitere Rechte zu verschaffen und anschließend beliebige Malware nachladen. Insbesondere wurde Ransomware durch Phishing vertrieben. So waren im März 2016 93% der über Phishing ausgelieferten Malware eine Form von Ransomware.
Aber auch URLs, die auf einen vermeintlich bekannten Internetauftritt referenzieren, bilden eine häufig genutzte Angriffstechnik. Hierbei werden beispielsweise Login-Formulare von Systemen nachgebaut, die der Anwender unter Umständen nutzt. Wird dieser fälschliche Internetauftritt nicht als solcher identifiziert, können Zugangsdaten abgegriffen werden, sofern der Nutzer diese eingibt.
Um den Erfolg des Angriffs zu erhöhen, werden oft psychologische Ansätze genutzt. Das Aufbauen einer Vertrauensbasis (Rapport) wird genutzt, um an weitere Informationen zu gelangen. Um Rapport aufzubauen, können beispielsweise Sympathie und Hilfethemen, künstliche Zeitbeschränkungen, Altruismus oder Bestätigungen genutzt werden.
Ziel ist es oftmals, den Empfänger einer Nachricht soweit zu beeinflussen, dass er freiwillig und mit gutem Gewissen handelt. Dies kann durch Reziprozität, Zugeständnis, Knappheit, Autorität oder Zuneigung geschehen

Phishing Arten

Vishing
Beim Vishing wird versucht, mithilfe von Telefonanrufen an Informationen zu gelangen. Voice over IP (VOIP) ist sehr günstig und kann gut automatisiert werden, um eine Menge von Daten zu sammeln. Neben dieser allgemeinen Informationsbeschaffung
werden auch ausgewählte Nummern unter Angabe falscher Identität angerufen. Dies ist aufgrund von einfacher Manipulation von Telefonnummern und der fehlenden Verifzierung am Telefon leicht möglich.

Speer-Phishing
Beim Speer-Phising werden die Nachrichten oder E-Mails enger auf den Empfänger zugeschnitten. Dies kann durch weitere Informationen erfolgen, die dem Angreifer beispielsweise durch Datenbank-Leaks vorliegen. Die Glaubwürdigkeit der E-Mail wird gesteigert, indem beispielsweise personenbezogene Daten wie vollständiger Name, Adresse oder Telefonnummern genannt werden. Auch ist eine gezielte Ansprache auf die Tätigkeit innerhalb des Unternehmens oft erfolgreich. So antworten viele Menschen auf eine Mail vom vermeintlichen Chef, vor allem wenn sie als dringend deklariert wurde, ohne sich zu vergewissern, dass die Authentizität gegeben ist. Durch Einbezug von Sozialen Medien wie Facebook oder LinkedIn kann ein Angreifer unter Umständen leicht an persönliche Daten und weitere Informationen gelangen. Eine einzige Speer-Phising-Mail kann wochenlang geplant werden, bis alle Informationen vorhanden sind und ein geeigneter Zeitpunkt gefunden ist.

Whaling
Whaling ist ein Phishing Angriff, der speziell auf Personen abzielt, die eine hohe Position in der Firmenhierarchie oder Zugriff auf vertrauliche Daten haben. Dies können Administratoren, CIOs oder CEOs sein.

Smishing
Smishing (SMS + Phishing) ist eine Spezialisierung von Phishing, bei der auf die Nutzung von Smartphones abgezielt wird. Hierbei wird eine Textnachricht (SMS) eventuell mit gefälschter Telefonnummer gesendet. Diese können Links auf Apps, die herunter geladen werden sollen, beinhalten. So ist ein denkbares Scenario, dass eine vermeintliche Bank eine SMS sendet, die den Leser au ordert, die neuste Version der Banking-App herunter zu laden. So lädt sich das Opfer unter umständen Malware auf das Gerät.

Fortsetzung (Wie kann ich mich schützen?) folgt..