News 29 - 2024

Phishing ist ein Social-Engineering-Betrug, bei dem ein Cyberkrimineller versucht, Sie dazu zu bringen, sensible Daten (z.B. Anmeldedaten, Kreditkartendetails usw.) preiszugeben oder Malware auf Ihrem Computer zu installieren. Der Name leitet sich von “fishing” ab, da die Technik ähnlich ist: Der Cyberkriminelle lockt Sie mit einem Köder und hofft, dass Sie anbeißen, ohne zu merken, dass Sie den Köder geschluckt haben, bis der Haken bereits in Ihnen steckt.

Es gibt verschiedene Arten von Phishing-Betrug – die Köder, die Haken und die Ziele können sich von Betrug zu Betrug unterscheiden, aber die Idee ist die gleiche. Hier sind die verschiedenen Arten von Phishing-Betrug und worauf Sie achten müssen, damit Sie nicht versehentlich auf einen hereinfallen.

Beim E-Mail-Phishing schickt Ihnen jemand eine gefälschte E-Mail, die einer offiziellen E-Mail sehr ähnlich sieht, in der Hoffnung, Sie zum Klicken auf einen Link oder eine Schaltfläche zu verleiten. Diese gefälschten E-Mails imitieren meist beliebte Unternehmen mit Produkten oder Dienstleistungen, die Sie wahrscheinlich nutzen, wie Amazon, Google, LinkedIn oder PayPal. Das am häufigsten gefälschte Unternehmen ist jedoch? Microsoft!

Die E-Mails versuchen, Ihnen Angst einzujagen und behaupten vielleicht, dass Ihr Konto gesperrt wurde oder dass Ihnen Tausende von Euro in Rechnung gestellt wurden. Das Ziel ist einfach: Wenn Sie beunruhigt sind, werden Sie wahrscheinlich überstürzt und unüberlegt handeln, was die Wahrscheinlichkeit erhöht, dass Sie darauf hereinfallen.

Spear-Phishing ist eine besondere Art des E-Mail-Phishings, die auf eine bestimmte Person abzielt und persönliche Informationen in den Angriff einbezieht, damit die Zielperson eher glaubt, dass der Angriff legitim ist.

Ein Spear-Phishing-Angreifer könnte sich zum Beispiel als Mitarbeiter der IT-Abteilung Ihres Unternehmens ausgeben und Sie bitten, Ihre Anmeldedaten zu bestätigen. Oder er schickt Ihnen eine gefälschte Rechnung, die Sie begleichen sollen. Oder er gibt sich als Ihr Chef aus und bittet Sie um sensible Informationen.

Indem er vertraute Details in die E-Mail einbaut (z.B. Ihren Chef oder einen Kunden, mit dem Sie früher zusammengearbeitet haben), hofft er, dass Sie Ihre Wachsamkeit verringern und die gesamte Nachricht als vertrauenswürdig ansehen werden.

Whaling ist eine besondere Form des Spear-Phishing, bei der es um hochrangige Personen geht, um große Aufträge und Auszahlungen zu erhalten. Häufige Opfer sind leitende Angestellte, CFOs und CEOs, die genug Macht haben, um auf privilegierte Daten zuzugreifen oder große Geldbeträge zu verschieben.

Diese Angriffe müssen ausgefeilter sein als normale Phishing-Angriffe, aber die Folgen können enorm sein: Diebstahl von Geschäftsgeheimnissen, finanzielle Verluste in Millionenhöhe oder sogar Zugang zu sicheren Systemen und Netzwerken.

Haben Sie schon einmal unaufgefordert eine Einladung zu einem Google-Kalender- oder Outlook-Termin erhalten? Wenn ja, dann sind Sie von Kalender-Phishing betroffen.

Kalender-Phishing ist eine Technik, die Online-Kalendereinladungen nutzt, um Sie dazu zu verleiten, auf bösartige Links zu klicken, die in diesen Einladungen eingebettet sind. Es ist weniger verbreitet als E-Mail-Phishing, aber gefährlicher, weil Sie Kalendereinladungen gegenüber weniger misstrauisch sind.

Es ist besonders gefährlich, wenn Sie eine Kalender-App verwenden, die automatisch Einladungen zu Ihrem Kalender hinzufügt. Klicken Sie niemals auf Links in unaufgeforderten Kalendereinladungen und stellen Sie sicher, dass Sie alle automatischen Hinzufügungs-Funktionen deaktivieren.

Wie reagieren Sie, wenn Sie in freier Wildbahn einen QR-Code sehen? Sind Sie gezwungen, ihn zu scannen und zu sehen, wohin er Sie führt? Denken Sie zweimal nach, bevor Sie das tun … denn es könnte sich um einen Köder für Betrüger handeln.

Quishing (auch bekannt als QR-Code-Phishing) ist eine Form des Phishings, die sich diesen Drang zunutze macht. Und da das Scannen eines QR-Codes im Grunde dasselbe ist wie das Klicken auf einen Link, sind die Risiken dieselben – und diese schmutzigen QR-Codes können überall auftauchen.

Zum Beispiel könnte der QR-Code auf einer Parkuhr durch einen gefälschten Code ersetzt werden, der Sie auf eine betrügerische Website führt, auf der Sie zur Eingabe von Zahlungsinformationen verleitet werden. Oder Sie erhalten in der Post einen harmlosen Flyer mit einem harmlos aussehenden QR-Code, der zu einem Virus führt.

QR-Codes können auch in normalen Phishing-E-Mails anstelle von Links auftauchen, nur dass Sie sie nicht “überfliegen” können, um zu sehen, wohin sie führen. Deshalb wird Quishing bei Hackern immer beliebter.

Während die meisten Phishing-Versuche per E-Mail erfolgen, wird Smishing (oder SMS-Phishing) so genannt, wenn es über Textnachrichten geschieht.

Smishing-Versuche geben sich in der Regel als vertrauenswürdige Quellen aus, darunter Banken, Regierungsbehörden und beliebte Einzelhändler. Sie erhalten eine unaufgeforderte Textnachricht, in der Sie aufgefordert werden, auf einen Link zu klicken.

Ein beliebter Smishing-Betrug gibt sich als USPS (oder ein anderer Kurierdienst) aus und fordert Sie auf, auf einen Link zu klicken, um eine fehlgeschlagene Zustellung zu beheben. Andere Smishing-Betrügereien versprechen kostenlose Produkte, persönliche Anfragen oder Warnungen, dass Ihr Konto geschlossen wird, wenn Sie nicht sofort handeln.

Um sich zu schützen, ignorieren Sie Textnachrichten von unbekannten Nummern und klicken Sie niemals auf Links in SMS – auch nicht von Personen, die Sie kennen.

Betrüger können auch versuchen, mit automatisierten Anrufen nach Opfern zu fischen, weshalb diese Technik als Vishing (oder Voice-Phishing) bezeichnet wird.

Bei einem Vishing-Versuch erhalten Sie möglicherweise einen unaufgeforderten Telefonanruf – in der Regel von einer gefälschten Nummer, die die Nummer einer echten Person imitiert – und versuchen, Sie mit rechtlichen Schritten oder finanziellen Problemen einzuschüchtern. Einige Vishing-Versuche hinterlassen sogar Sprachnachrichten für Sie.

Eine derzeit beliebte Vishing-Taktik behauptet zum Beispiel, von einer Anwaltskanzlei zu kommen, die ein Verfahren gegen Sie laufen hat, und droht damit, dass dieses angebliche Verfahren fortgesetzt wird, wenn Sie nicht so schnell wie möglich zurückrufen.

Die meisten Vishing-Versuche versuchen, Sie zur Zahlung von Hunderten oder Tausenden von Dollar zu bewegen, während andere versuchen, Ihnen persönliche Daten zu entlocken, damit sie Ihre Identität stehlen können.

Ein Deepfake ist ein Video, das künstlich verändert wurde, sodass das Bild der Person in dem Video mit dem Bild einer anderen Person vertauscht wurde. Einfacher ausgedrückt: Es ist ein manipuliertes Video, das jemanden zeigt, der etwas tut, was er eigentlich nicht tut.

Diese äußerst realistischen Deepfake-Videos können dazu verwendet werden, Sie auszutricksen, zu bedrohen und zu zwingen, etwas zu tun, was Sie nicht tun wollen (oder Details preiszugeben, die Sie nicht preisgeben wollen). Daher auch Deepfake-Phishing.

Ihr Chef könnte Ihnen zum Beispiel ein Video schicken, in dem er Sie bittet, eine große Summe auf ein neues Konto zu überweisen, nur dass Ihr “Chef” ein Hacker ist, der sich hinter einem Deepfake versteckt. Einige Hacker können sogar Deepfakes in Echtzeit durchführen und Sie über Zoom-Videoanrufe austricksen, während andere die Stimme einer Ihnen bekannten Person (z.B. eines Verwandten) klonen und versuchen, Sie per Telefonanruf zu betrügen.

Wenn Sie in den sozialen Medien unterwegs sind, sollten Sie sich über Angler-Phishing im Klaren sein. Dabei gibt sich jemand als ein offizielles Konto in den sozialen Medien aus und versucht, Sie dazu zu bringen, auf einen Link zu klicken oder sensible Informationen preiszugeben.

Wenn Sie sich beispielsweise auf Twitter über Amazon beschweren, könnte sich ein Angreifer als Amazon-Support ausgeben und Sie privat kontaktieren, um das Problem zu lösen – in Wirklichkeit wollen sie aber, dass Sie Ihre persönlichen Daten und/oder Anmeldedaten preisgeben.

Dieser Artikel erschien zuerst bei unserer Schwesterpublikation PCWorld und wurde aus dem Englischen übersetzt und lokalisiert.

Euch allen noch schöne Ferien und viel Vergnügen beim Lesen

Bei Fragen könnt ihr euch gerne bei mir oder eurem Kursleiter melden.

Lieben Gruß

Walter Berthold

Herausgeber:
Walter Berthold - Computertraining für Senioren
Hohes Feld 3, 21438 Brackel
E-Mail: aW5mb0BiZXJ0aG9sZC1icmFja2VsLmRl@invalid
www.computertraining-kurse.de