Begriff
Phishing
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Phishing (von "Fishing" = Angeln) ist der Versuch, dich zu ködern. Ein Hacker baut eine Webseite, die exakt so aussieht wie deine Sparkasse oder Amazon. Dann schickt er dir eine E-Mail: "Ihr Konto wurde gesperrt! Bitte hier klicken und Password bestätigen." Du klickst, gibst dein Passwort ein – und zack, hat der Hacker es. Es ist kein technischer Hack (dein PC ist sicher), sondern ein Angriff auf den Menschen.
Merksatz: Betrügerische Mails oder Webseiten, die Nutzer dazu verleiten sollen, geheime Daten (Passwörter, Kreditkarten) preiszugeben.
Woran erkennst du Phishing?
- Druck: "Sofort handeln, sonst Konto weg!" (Angst erzeugen).
- Absender:
[email protected](sieht komisch aus). - Link: Bewege die Maus über den Link (nicht klicken!). Unten links im Browser siehst du das wahre Ziel. Steht da
amazon-login-secure.xyzstattamazon.de? -> Betrug. - Anrede: "Sehr geehrter Kunde" statt deinem Namen.
Was tun? Mail löschen. Niemals antworten. Niemals klicken.
1. Spear Phishing
Normales Phishing ist wie ein Netz auswerfen (Massen-Spam). Einer beißt schon an. Spear Phishing ist der gezielte Harpunen-Wurf auf Dich. Der Hacker weiß, dass du bei Firma X arbeitest und Tennis spielst. Die Mail ist perfekt auf dich zugeschnitten: "Hey, hier sind die Fotos vom Tennis-Turnier am Samstag." Viel gefährlicher und schwerer zu erkennen.
2. CEO Fraud (Chef-Masche)
Eine Mail angeblich vom Chef an die Buchhaltung: "Überweisen Sie sofort 50.000 € an diesen Lieferanten! Es eilt, ich bin im Meeting." Oft technisch gefälscht (Email Spoofing). Schäden gehen in die Millionen.
1. Punycode und Homoglyph-Attacken (IDN)
Ein Link apple.com schützt nicht per se durch Lesbarkeit.
Mittels IDN (Internationalized Domain Names) können Hacker Domains registrieren, deren Kyrillisches 'a' optisch exakt wie ein lateinisches 'a' aussieht (Homoglyphen).
Das rohe Netz transportiert kein Kyrillisch, weswegen der DNS die Zeichenkette im Hintergrund in das Punycode-Format umsetzt (xn--pple-43d.com). Klickst du in der E-Mail auf das gefälschte apple.com, landest du auf dem geklonten Server in Russland. Gute Browser dekodieren IDN-Domains in der Adresszeile wieder zurück zum rohen Punycode, sofern der Zeichensatz obskur gemischt wird, was den optischen Täuschungszauber glücklicherweise bricht.
2. AiTM (Adversary-in-the-Middle) & 2FA Bypassing
"Ich habe SMS-TAN (2FA), mir kann nichts passieren." Falsch.
Moderne Phishing-Frameworks (z.B. Evilginx) hosten keine statische Kopie der Bank. Sie fungieren als dynamischer Reverse-Proxy (AiTM).
Verbindest du dich mit der Fake-Bank, leitet Evilginx die TCP-Session live zur echten Bank durch. Du gibst in der Fake-Seite dein Passwort ein -> die echte Bank sendet einen SMS-Code an dein Handy. Du tippst stolz den SMS-Code in die Fake-Seite -> Evilginx schiebt die echte 2FA zur echten Bank durch.
Der Clou: Die Bank ist glücklich, erstellt das session_cookie und sendet es zurück zum "Client". Evilginx fängt das Cookie ab, speichert es auf Festplatte, und leitet dich auf google.com weiter. Der Hacker hat nun ein voll authentifiziertes Live-Session-Cookie und benötigt kein Passwort mehr (Pass-The-Cookie Attack).
3. DMARC, SPF und DKIM (Email Authentication)
Um zu verhindern, dass die Fake-Berliner-Sparkasse Mails verschickt, die als legitimer Absender [email protected] angezeigt werden (Spoofing), hat das Netz Standards nachgerüstet.
- SPF (Sender Policy Framework): Ein TXT-Record im Sparkassen-DNS, der IPs listet ("Nur Mail-Server A und B dürfen für uns senden").
- DKIM (DomainKeys Identified Mail): Der Mail-Server signiert den Mail-Header kryptografisch.
- DMARC: Sagt Empfängern zwingend, was mit Mails ohne gültigen SPF/DKIM passieren muss (
p=reject). Richtig kombiniert blocken diese drei Protokolle 99% aller simplen Mail-Header Fälschungen auf SMTP-Infrastrukturebene eiskalt an der Eingangstür ab (Spam-Quarantäne/Drop).
Quick-Check
Hilft ein Mac gegen Phishing?
Nein. Phishing betrügt Dich, nicht dein Betriebssystem. Egal ob Windows, Mac oder Handy – wenn du dein Passwort auf der Fake-Seite eingibst, ist es weg.Was, wenn ich schon geklickt habe?
Sofort Passwort ändern! Und zwar überall, wo du dieses Passwort nutzt. Dann Bank informieren und PC auf Viren scannen (manche Seiten laden Malware nach).Warum landen solche Mails nicht im Spam?
Spam-Filter sind gut, aber Hacker sind kreativ. Sie nutzen gehackte "gute" E-Mail-Konten oder verpacken den Text in Bildern, damit der Filter ihn nicht lesen kann.