Menu Close

Phishing

Zum Glossar-Index

Der Begriff Phishing setzt sich zusammen aus “Password” und “Fishing” (fischen). Er spielt darauf an, dass Angreifer versuchen, die Passwörter eines Anwenders zu fischen (angeln). Dies erfolgt zumeist über gefälsche E-Mails und / oder Internetseiten.

Beispielsweise erhält ein Anwender eine E-Mail, die angeblich von seiner Bank stammt. Absendername (das Kreditinstitut) und optische Gestaltung einer solchen Phishing-Mail stimmen in der Regel mit denen einer Originalmail von dessen Bank überein. Allerdings führen die in der Phishing-Mail enthaltenen Links (z.B. zur Anmeldeseite des Online-Bankings) nicht zum Internetauftritt der Bank, sondern zu einer Internetadresse des Angreifers. Die dort hinterlegte Internetseite ist ein Nachbau der originalen Bankseite und auch deren Internetadresse (URL) ist eng an die der originalen Bank-URL angelehnt (z.B. meinebank.de statt meine-bank.de). Dadurch nehmen viele Anwender den Unterschied nicht bewußt wahr.

Mit gezielten, psychologischen Manipulationen wird der Empfänger einer solchen Phishing-Mail dazu verleitet, den darin enthaltenen Link zum “Online-Banking” anzuklicken und sich mit seinen Zugangsdaten anzumelden. Beispielsweise könnte ihm vorgekaukelt werden, dass er bei sofortiger Anmeldung an seinem Online-Banking über den in der Phishing-Mail enthaltenen Link an einem Gewinnspiel teilnimmt.

Gibt der so getäuschte Nutzer auf dieser gefälschten Bankseite nun seine Zugangsdaten zum Online-Banking ein, landen diese direkt in den Händen des Angreifers, welcher diese dazu verwendet, oft schon wenige Minuten später die Konten der “gefishten” Opfer zu leeren.

Während Phishing-Angriffe ungezielt erfolgen (sprich man versucht irgendwen anzugreifen), sind Spear-Phishing-Angriffe zielgerichtet und auf eine bestimmte Person / Personengruppe ausgelegt.

Quelle: KOSMICON GmbH

Phishing (Wikipedia)

Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Der Begriff ist ein englisches Kunstwort, das sich aus password harvesting (Passworte sammeln) und fishing (Angeln, Fischen) zusammensetzt und bildlich das Angeln nach Passwörtern mit Ködern verdeutlicht. Die Schreibweise mit Ph- entstammt ferner dem Hacker-Jargon (vgl. Phreaking).

Phishing-Webseite: Sie sieht aus wie die Seite einer Sparkasse, ist jedoch eine vom Phisher präparierte Webseite. Der Klick auf die Schaltfläche in der Mitte würde den nichts ahnenden Besucher auffordern, persönliche Daten einzugeben, die der Phisher dann abfängt.

Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Login-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern.

Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.

Der erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 in der Usenet-Newsgroup alt.online-service.america-online statt, der Begriff Phishing tauchte jedoch möglicherweise bereits zuvor in der Druckausgabe des Hacker-Magazins 2600 auf. Die verbreitete Theorie, nach der Phishing ein Kofferwort aus password harvesting ist, ist ein Beispiel für Volksetymologie.

Zum Glossar-Index
Small C Popup.png

Unser Cyber-Defense-Team hat die Lösung

Wollen Sie optimalen Schutz vor Cyber-Angriffen?