Die verschiedenen Phishing Arten
Wochenbericht NETSEC 2022
Spear Phishing
Beim Angeln mit der Angelrute kann sich eine Reihe von verschiedenen Gegenständen unter der Wasseroberfläche finden wie zum Beispiel eine Flunder, eine Forelle oder ein Stück Abfall. Beim Fischen mit dem Speer gehen Sie gezielt auf einer Jagd nach einem bestimmten Fisch. Aus dem Grund kommt der Name «Spear Fishing» (Speerfischen).
Beim Spear Phishing wird eine bestimmte Gruppe oder eine Person mit einer bestimmten Funktion gesucht, z.B. der Systemadministrator eines Unternehmens.
Whaling
Das Whaling ist eine noch gezieltere Art von Phishing, da es die Wale im Visier hat beziehungsweise die richtig grossen Fische. Diese Angriffe zielen in der Regel auf den CEO, CFO oder ein anderes Mitglied der Geschäftsleistung eines bestimmten Unternehmens oder in einer Branche.
In einer Whaling E-Mail kann beispielsweise stehen, dass dem Unternehmen rechtliche Konsequenzen drohen und Sie auf den Link klicken müssen, um weitere Informationen zu erhalten.
Der Links leitet Sie auf eine Seite, auf der Sie gebeten werden, alle wichtigen Daten über das Unternehmen einzugeben, etwa wie die Steuer-ID und Nummern von Bankkonten.
Smishing
Das Smishing ist ein Angriff, für den Text oder Kurznachrichten sprich (SMS) verwendet werden. Eine gängige Smishing Technik besteht darin, per SMS eine Nachricht an ein Mobiltelefon zu senden, welches ein anklickbaren Link oder eine Rückrufnummer enthält.
Ein beliebtes Beispiel für ein Smishing Angrif ist eine SMS Nachricht, welches so aussieht, als käme sie von Ihrer Bank.
Der Angreifer fordert einen auf, Ihre Kontonummer, Sozialversicherungsnummer, Ausweisnummer usw. zu verifizieren. Sobald der Angreifer die Informationen erhält, hat er die Kontrolle über das Bankkonto.
Vishing
Vishing dient demselben Zweck wie andere Arten von Phishing-Angriffen. Den Angreifern geht es auch hier um vertraulichen persönlichen Daten oder Unternehmensinformationen. Dieser Angriff erfolgt über einen Telefonanaruf. Daher das «V» (vom englischen «Voice») anstelle des «Ph» im Namen.
Ein häufiger Vishing-Angriff besteht darin, dass sich eine Person bei einem Anruf als Vertreter von Microsoft ausgibt. Diese Person teilt Ihnen mit, dass sie Malware auf Ihrem Computer entdeckt hat. Sie werden dann aufgefordert, Ihre Kreditkartendaten anzugeben, damit der Angreifer eine aktualisierte Version der Antiviren-Software auf Ihrem Computer installieren kann. Der Angreifer hat nun Ihre Kreditkartendaten, und mit hoher Wahrscheinlichkeit haben Sie Malware auf Ihrem Computer installiert.
Diese könnte alles enthalten, von einem Banking-Trojaner bis hin zu einem Bot (kurz für „Robot“). Der Banking-Trojaner beobachtet alle Onlineaktivitäten, um weitere Daten zu stehlen – oft die Daten des Bankkontos einschließlich des Passworts.
Ein Bot ist eine Software, die so konzipiert ist, dass sie die vom Hacker gewünschten Aufgaben erfüllt. Er wird per Command and Control (C&C) gesteuert, um Bitcoins zu schürfen, Spam zu versenden oder einen Angriff im Rahmen eines Distributed Denial of Service (DDoS) zu starten.
E-Mail Phishing
Das E-Mail Phishing ist die häufigste Art von Phishing und kommt seit 1990er Jahren zum Einsatz. Die Täter versenden E-Mails an alle möglichen E-Mail-Adressen, die Sie in die Hände bekommen. In der Regeln wird im E-Mail mitgeteilt, dass Ihr Konto gefährdet ist und Sie sofort reagieren müssen, indem Sie auf den angegebenen Link klicken.
Einige E-Mails sind nur schwer als Phishing Angriffe zu erkennen, vor allem wenn die Sprache und Grammatik sorgfältig gestaltet sind. Das Überprüfen des Absenders der E-Mail und des Links, den Sie anklicken sollen, auf verdächtige Formulierungen kann Ihren Aufschluss darüber geben, ob die Quelle verdächtig ist.
Ein weiterer Phishing-Scam, den man als Sextortion (aus den englischen Worten „Sex“ und „Extortion“, also Erpressung) bezeichnet, erfolgt, wenn ein Hacker eine E-Mail sendet, die scheinbar von Ihnen selbst gesendet wurde. Der Hacker behauptet, Zugang zum E-Mail-Konto und Computer zu haben. Er behauptet weiterhin, das Passwort und ein aufgezeichnetes Video von dem Opfer zu besitzen.
Der Hacker behauptet, Videos mit nicht jugendfreiem Inhalt vom Opfer vom persönlichen Computer aus gesehen zu haben, während die Kamera eingeschaltet war und sie aufgezeichnet hat. Der Hacker verlangt eine Bezahlung meist in Bitcoin. Andernfalls würde er das Video an Familie und/oder Kollegen weitergeben.
Suchmaschinen-Phishing
Beim Suchmaschinen-Phishing, auch bekannt als SEO-Poisoning oder SEO-Trojaner, versuchen Hacker, bei einer Suche über eine Suchmaschine auf die erste Position der Trefferliste zu gelangen. Wenn Sie auf den in der Suchmaschine angezeigten Link klicken, wird man auf die Website des Hackers weitergeleitet.
Von dort aus können Betrüger Informationen stehlen, wenn man auf der Internetseite aktiv ist und/oder vertrauliche Daten eingeben. Websites von Hackern können sich als jede beliebige andere ausgeben, aber die Hauptkandidaten sind Banken, Geldtransferdienste, Social-Media-Seiten und Onlineshops.