E-Mail-Phishing gehört zu den Phishing-Angriffen, bei denen Cyberkriminelle E-Mails als Medium verwenden, um ihre Opfer zu täuschen. In der Regel erstellen die Betrüger gefälschte Domainnamen, die denen legitimer, vertrauenswürdiger Organisationen oder Unternehmen sehr ähnlich sind. Eine Phishing-E-Mail von einer Domain wie „paypa1.com“ könnte beispielsweise den Anschein erwecken, von der authentischen Domain „paypal.com“ zu kommen, oder es wird eine Subdomain verwenden, die glaubwürdig wirkt, wie z. B. „support.apple.com.fake.com“. Die Empfänger bemerken diese Feinheiten, die von den Angreifern mit den unterschiedlichsten Techniken verschleiert werden, oft gar nicht und sind überzeugt, dass es sich um eine echte E-Mail handelt.
Spear-Phishing ist Teil eines Angriffs, bei der sich die Angreifer gezielt bestimmte Personen vornehmen, anstatt mit Massen-E-Mails einen „Rundumschlag“ auszuführen. Die Angreifer nutzen Details wie den Namen des Opfers, dessen Arbeitsort, dessen Berufsbezeichnung und oft sogar dessen Schreibstil, um den Mailtext so anzupassen, dass er authentischer erscheint. Spear-Phishing ist eine äußerst wirksame Taktik bei koordinierten Angriffen, die darauf abzielen, die Verteidigungslinien eines Unternehmens zu durchbrechen. Diese Art des Phishing ist besonders gefährlich, weil ein personalisierter Ansatz verwendet wird, der sich schlechter erkennen lässt als Massen-Phishing-E-Mails.
Beim Smishing (SMS-Phishing) werden Textnachrichten als Medium genutzt, um Menschen dazu zu bringen, vertrauliche Daten preiszugeben. Diese betrügerischen SMS-Nachrichten geben sich oft als bekannte Unternehmen wie Amazon oder FedEx aus, wobei die Nachricht als Warnung oder dringende Benachrichtigung formuliert wird.
Social-Media-Phishing bereitet den Boden für Phishing-Angriffe: Die Betrüger nutzen die Messaging-Funktionen von Plattformen wie WhatsApp, Facebook, X (vormals Twitter) und LinkedIn, um Phishing-Links zu versenden oder vertrauliche Informationen anzufordern. Diese Phishing-Versuche werden oft als Kundendienstanfragen oder als Benachrichtigungen von der Social-Media-Plattform selbst getarnt.
Business Email Compromise (BEC) ist eine weitere Form des Spear-Phishings, die das Ziel hat, Unternehmen zu betrügen. Dabei nutzen die Betrüger unter anderem gefälschte Rechnungen, CEO-Betrug, Email Account Compromise (EAC) oder Daten- und Warendiebstahl, oder sie geben sich als Anwälte aus. Mit dieser Masche entstehen entstehen den Opfern jährlich Schäden in Milliardenhöhe.
Bei Account-Takeover-Angriffen (ATO) verschaffen sich Cyberkriminelle durch Phishing Zugriff auf die Anmeldeinformationen des Opfers und nutzen dessen gekaperte Konten für weiteren Betrug oder Datendiebstahl.
Beim Vishing (Voice-Phishing) wird das Opfer mit der Absicht angerufen, ihm vertrauliche Informationen zu entlocken.
Beim Whaling werden gezielt Führungskräfte als Angriffsziele ausgesucht. Nach umfangreichen Recherchen über ihre Opfer erstellen die Betrüger persönliche E-Mails, in denen die Zielpersonen dazu gebracht werden sollen, umfangreiche Transaktionen zu genehmigen oder vertrauliche Informationen preiszugeben.
Pharming leitet Benutzer von einer legitimen Website auf eine betrügerische Website um. Hierbei werden oft Schwachstellen im Domain Name System (DNS) ausgenutzt.
Weitere Arten von Angriffen: Clone-Phishing ist eine Art von Angriff, bei dem echte E-Mails dupliziert und alle Links oder Anhänge durch bösartige Varianten ersetzt werden. Evil Twin Phishing wird von den Betrügern genutzt, um gefälschte WLAN-Netzwerke einzurichten, über die dann Daten abgefangen werden. Beim HTTPS-Phishing werden schädliche Websites durch ein sicheres HTTPS-Protokoll getarnt. Pop-up-Phishing täuscht die Benutzer durch Anzeige von gefälschten Website-Pop-ups. Man-in-the-Middle-Angriffe fangen Online-Kommunikation ab und nehmen in der Regel Änderungen daran vor. Beim Phishing durch In-App-Messaging werden beliebte Messaging-Apps wie WhatsApp, Telegram und Vibe genutzt, um die Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben.
Phishing-Angriffe kommen in den verschiedensten Formen vor, wobei die Angreifer jeweils unterschiedliche Medien und Techniken nutzen, um Einzelpersonen oder Unternehmen zu täuschen. Wachsamkeit, Sensibilisierung der Benutzer und geeignete Maßnahmen zur Cybersicherheit sind entscheidend, um diese Phishing-Taktiken, die durch ständige Weiterentwicklung gekennzeichnet sind, zu blockieren.