Phishing ist eine Methode des Online-Betrugs, bei der Täter gefälschte Nachrichten nutzen, um sensible Daten wie Passwörter oder Kreditkarteninformationen zu stehlen.
Phishing ist eine weit verbreitete Betrugsmethode im Internet, bei der Angreifer versuchen, durch manipulierte Nachrichten persönliche Informationen von Nutzern zu stehlen. Dabei geben sich die Täter meist als vertrauenswürdige Institutionen wie Banken, Online-Dienste oder Behörden aus. Ziel ist es, den Empfänger zur Preisgabe sensibler Daten zu bewegen, beispielsweise Login-Daten, Kreditkartennummern oder Zugangsinformationen zu Online-Konten.
Der Begriff leitet sich vom englischen „fishing“ (Angeln) ab und bezieht sich metaphorisch darauf, dass die Täter mit ihren Nachrichten nach ahnungslosen Opfern „fischen“.
1. Versand einer gefälschten Nachricht
Der Angreifer sendet eine Nachricht, die optisch und sprachlich professionell gestaltet ist und von einer echten Organisation zu stammen scheint.
2. Einbau eines Call-to-Action
In der Nachricht wird meist ein dringendes Problem geschildert – etwa ein gesperrtes Konto, ein verdächtiger Login oder eine offene Rechnung.
3. Verlinkung zu einer gefälschten Webseite
Der enthaltene Link führt zu einer täuschend echten Nachbildung der angeblichen Website, auf der der Nutzer aufgefordert wird, sich einzuloggen oder sensible Informationen einzugeben.
4. Diebstahl der Daten
Gibt das Opfer seine Daten ein, landen diese direkt beim Angreifer, der sie anschließend missbrauchen kann – etwa für Identitätsdiebstahl oder finanziellen Betrug.
Es gibt verschiedene Formen von Phishing, die sich hinsichtlich ihrer Zielgruppe und Methodik unterscheiden:
1. SPEAR PHISHING
Zielgerichtetes Phishing, bei dem konkrete Personen oder Unternehmen angegriffen werden. Die Nachrichten sind individuell angepasst und wirken dadurch besonders glaubwürdig.
2. WHALING
Eine spezielle Form des Spear Phishing, die sich gezielt an hochrangige Führungskräfte („Big Fish“) richtet.
3. CLONE PHISHING
Der Angreifer kopiert eine legitime E-Mail und ersetzt den Anhang oder Link durch eine manipulierte Version.
4. VISHING
Phishing per Telefonanruf, bei dem der Täter sich als Support-Mitarbeiter oder Behörde ausgibt.
5. SMISHING
Der Angreifer versendet SMS, oft mit Links zu schädlichen Webseiten.
6. QUISHING
Täter bringen gefälschte QR-Codes gezielt an Orten an werden um vertrauenswürdig zu wirken, z.B. in Restaurants.
Phishing-Angriffe nutzen häufig folgende Methoden, um ihre Echtheit vorzutäuschen:
1. Spoofing: Gefälschte Absenderadressen oder Domains, die echten sehr ähnlich sehen.
2. Lookalike-Domains: Leicht abgeänderte URLs, z. B. „www.peypaI.com“ statt „www.paypal.com“.
3. Social Engineering: Psychologische Tricks, um Vertrauen aufzubauen oder Druck auszuüben.
4. Verwendung echter Logos und Designs: Um Authentizität vorzutäuschen.
1. Sensibilisierung und Schulung
Nutzer sollten regelmäßig über Phishing-Techniken informiert und im Erkennen verdächtiger Nachrichten geschult werden.
2. Vorsicht bei Emails und Links
Keine sensiblen Daten über unsichere Kanäle preisgeben und bei verdächtigen Nachrichten den Absender prüfen.
3. Technische Schutzmaßnahmen
Einsatz von Spam-Filtern, Firewalls, Antivirenprogrammen und E-Mail-Authentifizierungstechniken wie SPF, DKIM und DMARC.
4. Multi-Faktor-Authentifizierung (MFA)
Zusätzliche Sicherheitsschritte beim Zugriff auf Profile oder Konten können die missbräuchliche Nutzung gestohlener Zugangsdaten erschweren.
5. Direkte Navigation
Im Zweifel keine Links in verdächtigen Nachrichten anklicken, sondern die URL der Website direkt im Browser eingeben (Bsp. bei Nachrichten wo sich als eine Bank ausgegeben wird).
Phishing stellt eine der größten Bedrohungen für die Informationssicherheit in Unternehmen dar. Angriffe zielen häufig auf Mitarbeiter, um Zugang zu internen Systemen zu erlangen. Deshalb investieren viele Unternehmen in Awareness-Kampagnen, simulierte Phishing-Tests und technische Sicherheitssysteme. Ein umfassendes Sicherheitskonzept muss sowohl die menschliche als auch die technische Ebene einbeziehen.
Moderne Phishing-Kampagnen nutzen oft KI-gestützte Techniken, um Nachrichten noch glaubwürdiger zu gestalten. Deepfakes, Chatbots oder automatisierte Texte erhöhen die Erfolgswahrscheinlichkeit. Zudem werden vermehrt Messaging-Dienste wie WhatsApp, Telegram oder soziale Netzwerke für Phishing-Zwecke eingesetzt. Die Angriffsvektoren sind vielfältiger geworden, und die Täter professioneller.
Weiteres IT-Wissen in unserem Blog
Besuche 12systems auf der Berufsmesse Diepholz am 13. und 14. Juni 2025 und entdecke spannende IT-Ausbildungsplätze – inklusive unserer interaktiven Challenge „Dein Weg ins Internet“, bei der du live ein Netzwerk aufbauen kannst. Starte deine Karriere in der IT mit starken Benefits und echtem Teamspirit!
Was besagt der EU AI Act für Ihr Unternehmen? Einen Überblick aller wichtigen Neuerungen und sinnvollen Maßnahmen für regelkonformen KI-Einsatz in ihrem Betrieb zur neuen KI-Verordnung der EU! Inklusive Whitepaper zum KI-Aktionsplan!
Die ultimative AR-Brillen Übersicht – Wir machen den Check! Alle Unterschiede und Vorteile von AR vs. VR. Erfahren Sie, wie Sie die neuste Technologie gewinnbringend in Ihr Unternehmen einsetzen können.
Alle Infos zum Support-Ende der Sophos Firewall XG. Meistern Sie in unserem 5-Schritte-Plan den reibungslosen Umstieg auf die moderne XGS-Serie. Inklusive Checkliste!
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Google Maps. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen