Nicht alle Phishing-Angriffe funktionieren auf die gleiche Art und Weise. So sind einige davon generische Massen-E-Mails, während andere sorgfältig ausgearbeitet sind, um auf ganz bestimmte Personen zu adressieren. (…) In der Folge sind die wichtigsten Arten von Phishing-Angriffen aufgeführt (…):
Phishing: Verbreitung von Massen-E-Mails
Die häufigste Form des Phishings ist die allgemeine Massen-E-Mail. Hier sendet ein Angreifer E-Mails, die vorgeben, jemand anderes zu sein. Dabei versucht er den Empfänger zu einer bestimmten Handlung zu verleiten, die in der Regel zur Anmeldung auf einer Website oder zum Herunterladen von Malware führen soll. Solche Angriffe beruhen häufig auf E-Mail-Spoofing, bei dem das Absenderfeld der E-Mail gefälscht wird, um die Nachricht so aussehen zu lassen, als ob sie von einem vertrauenswürdigen oder bekannten Absender gesendet wurde.
Spear-Phishing: ausgesuchte Ziele anvisieren
(…) Spear-Phishing-Angriffe erweitern das Bild des Angelns, indem ein Angreifer gezielt hochwertige Opfer und Organisationen anvisiert. (…)
Letztlich sind Spear-Phishing-Angriffe äußerst erfolgreich, weil der Angreifer viel Zeit darauf verwendet, Informationen zu sammeln, die speziell auf das Opfer zugeschnitten sind, wie beispielsweise der Verweis auf eine Konferenz, an der der Empfänger gerade teilgenommen hat, oder das Senden eines bösartigen Anhangs, dessen Dateiname auf ein Thema verweist, das den Empfänger interessieren könnte.
Whaling: Jagd auf den ganz großen Fisch
Eine Phishing-Attacke, die speziell auf Top-Führungskräfte abzielt, nennt man Whaling. Die gestohlenen Zugangsdaten beispielsweise eines CEO öffnen natürlich mehr Türen als die eines Angestellten der ersten Ebene. Whaling erfordert nochmal speziellere Recherchen, da der Angreifer wissen muss, mit wem die Opfer kommunizieren und welche Art von Gesprächen sie führen. Zum Beispiel kann es sich dabei um Hinweise auf Kundenbeschwerden, rechtliche Vorladungen oder sogar Probleme in der Chefetage handeln.
Business-E-Mail-Compromise (BEC): falsche Identität
Ziel der Hacker-Attacken sind Schlüsselpersonen in Finanz- und Buchhaltungsabteilungen. Bei dieser Phishing-Variante geben sich die Angreifer gleich selbst als Finanzverantwortliche und CEOs aus und versuchen die Mitarbeiter eines Unternehmens dazu zu bringen, Überweisungen auf nicht autorisierte Konten zu veranlassen. (…)
Dazu überwachen Angreifer die E-Mail-Aktivitäten einer bestimmten Führungskraft über einen gewissen Zeitraum, um sich über Prozesse und Abläufe im Unternehmen zu informieren. Der eigentliche Angriff wird durch eine gefälschte E-Mail ausgelöst, die den Anschein erweckt, dass sie von der kompromittierten Führungskraft stammt und eine Person erreicht, die ein vertrauter Empfänger ist. Die E-Mail erscheint meist nicht nur außerordentlich wichtig, sondern auch dringend zu sein und fordert den Empfänger auf, eine Überweisung an ein externes oder unbekanntes Bankkonto zu senden. (…)
Klon-Phishing: Wenn Kopien genauso effektiv sind
Beim Clone-Phishing erstellen Hacker eine nahezu identische Kopie einer bestimmten Nachricht, um den Anschein zu erwecken, dass sie echt ist. Die E-Mail wird von einer Adresse gesendet, die dem Absender aber nur ähnelt, und der Text der Nachricht entspricht der vorherigen gesendeten Nachricht. Der einzige Unterschied besteht darin, dass der Anhang oder der Link in der Nachricht durch einen anderen Inhalt ausgetauscht wurde.
Der Angreifer teilt dem Opfer dadurch mit, dass beispielsweise das Original oder eine aktualisierte Version erneut gesendet werden soll. (…) In einer anderen Variante könnte der Angreifer eine geklonte Website mit einer gefälschten Domain erstellen, um das Opfer auf diese Weise zu täuschen.
Vishing: Phishing am Telefon
Mit dieser Pishing-Variante ist das sogenannte Voice Phishing gemeint, wobei typischerweise ein Opfer einen Anruf mit einer Sprachnachricht erhält, die als Mitteilung eines Finanzinstituts getarnt wurde. In der Nachricht wird beispielsweise ein Empfänger aufgefordert, eine Nummer anzurufen und seine Kontodaten oder PIN für Sicherheits- oder andere offizielle Zwecke einzugeben. Die Telefonnummer klingelt jedoch direkt beim Angreifer über einen Voice-over-IP-Dienst.
Smishing: Phishing per SMS
Beim Smishing (Kunstwort aus Phishing und SMS) handelt es sich um eine Cyberattacke, die irreführende Textnachrichten versendet, um den Opfern glaubhaft zu machen, dass diese Nachricht von einer vertrauenswürdigen Person oder Organisation stammt. Gleichzeitig sollen sie zu einer Aktion überredet werden, die dem Angreifer verwertbare Informationen (…) oder Zugriff auf ein mobiles Gerät geben. Smishing ist auf dem Vormarsch, da die Wahrscheinlichkeit, dass Menschen Textnachrichten lesen und darauf reagieren, höher als bei E-Mails eingestuft werden.
(Quelle: Security-Insider.de)