You are here: Home » Themen » SPAM » Phishing
Sorry, this page is not translated yet.

Was ist Phishing?

Phishing ist der illegitime Versuch, mittels Social Engineering an sensible personenbezogene Information argloser Nutzer zu gelangen. Sehr verbreitet sind E-Mails, mit denen die Empfänger dazu verleitet werden sollen, auf Links zu betrügerischen Webseiten zu klicken und dort persönliche Informationen wie etwa Benutzername und Passwort einzugeben. Dabei erwecken sowohl die E-Mails als auch die verlinkten Webseiten den Anschein echt zu sein, zumindest auf den ersten Blick. Die in Pishing-Mails verlinkten Webseiten können zusätzlich Schadcode enthalten.

Arten von Phishing

Beim ursprünglichen Phishing wird versucht, die “Erfolgsquote” über die Menge der insgesamt verschickten Nachrichten zu maximieren. Das heißt aber, dass zB E-Mails sehr allgemein formuliert sind, weshalb sie im Allgemeinen auch leicht zu erkennen sind.

Eine Variante dazu ist das sogenannte Spear-Phishing, bei dem mit Hilfe von Hintergrundinformationen die Nachricht auf das Ziel zugeschnitten wird. Im einfachsten Fall sind das Name und Anrede, welche zB aus einem gestohlenen Adressbuch oder öffentlich zugänglichen Informationen stammen.

Erkennen von Phishing-Versuchen

Je nachdem, um welche Art des Phishing es sich handelt, können Heuristiken auf der Basis weicher Faktoren, zB Rechtschreibung, Form und Detaillierungsgrad ein erster Anhaltspunkt sein.

Das wichtigste Merkmal ist der Rückkanal. Da das Ziel von Phishing immer das Abgreifen von Informationen ist, gibt es immer einen Rückkanal. Dieser kann zum Beispiel der Link zu einem Webformular, eine Telefonnummer, die das Opfer anrufen soll oder im schlimmsten Fall ein maliziöser Anhang (siehe auch Viren) sein.
Um zum Beispiel bei Links in E-Mails die eigentliche URL sehen zu können, sollte man als erste konkrete Maßnahme E-Mails also immer als Plaintext betrachten und auch versenden (um dem Empfänger auch die Möglichkeit dazu zu geben). So kann man prüfen, ob die URL tatsächlich zu einer Webseite des Absenders zeigt. Links auf IP-Adressen oder Domains mit Rechtschreibfehlern können einen ersten Hinweis auf einen Phishing Versuch darstellen.

Ein weiteres herausstehendes Merkmal ist der Absender. Da Mailclients standardmäßig immer den sogenannten `From:`-Header anzeigen, dieser jedoch trivial fälschbar ist, kann es sein, dass die Mail von einer komplett anderen Person kommt und noch nicht einmal über den Mailaccount des augenscheinlichen Absenders versandt wurde. Dies ist besonders gefährlich im Kontext von Spear-Phishing Angriffen, wenn der Empfänger den Absender tatsächlich kennt und auch normalerweise mit ihm per Mail kommuniziert.
Es gilt: Dem angezeigten Absender niemals vertrauen! Will man wissen, woher die Mail tatsächlich kam, muss man die vollständigen Mailheader einbeziehen (dazu siehe Wie lese ich HEADER richtig?).

Bekämpfung von erkanntem Phishing

Da die Absender von Phishing wie bei Spam meist nicht ihre eigene Infrastruktur nutzen, und auch die Inhalte von Mails variieren, sind zunächst diesselben Maßnahmen wie bei Spam anzuwenden: Wird eine Phishingmail als solche erkannt, kann man sie vom Spamfilter anlernen lassen, um in Zukunft solche Mails zumindest schonmal separat vom normalen Mailaufkommen behandeln zu können. Lediglich bei guten Spear-Phishing Versuchen ist davon unter Umständen abzuraten, da ansonsten ggf auch normale Kommunikation mit entsprechenden Kommunikationspartnern als Spam klassifiziert wird.

Zusätzlich ist es bei Phishing erfolgsversprechend, den Rückkanal zu blockieren. Dies betrifft im Wesentlichen Telefonnummern und Webseiten, da hierbei die hostenden Firmen auf eine Nachricht im Normalfall schnell mit einer Entfernung reagieren. Optimal wird dabei die problematische Seite nicht nur entfernt oder blockiert, sondern durch eine Warnung ersetzt, sodass ein Lerneffekt bei den Opfern eintreten kann.