Phishing

Phishing ist eine Form des Social Engineering, bei der Angreifer über gefälschte E-Mails, Nachrichten oder Webseiten vorgeben, eine vertrauenswürdige Stelle zu sein, um Empfängerinnen und Empfänger zur Preisgabe von Zugangsdaten, zur Ausführung von Zahlungen oder zum Öffnen schädlicher Anhänge zu verleiten.

Es gibt verschiedene Ausprägungen: Beim Spear-Phishing werden einzelne Personen gezielt und persönlich angesprochen, beim Whaling stehen Führungskräfte im Visier, und beim Smishing beziehungsweise Vishing erfolgt der Angriff per SMS oder Telefon. Gut gemachte Kampagnen wirken täuschend echt und nutzen Zeitdruck, Autorität oder Neugier aus.

Da Phishing primär den Menschen angreift, ist regelmässige Security-Awareness-Schulung eine zentrale Gegenmassnahme. Technisch helfen Spam- und Mail-Filter, die E-Mail-Authentifizierungsverfahren SPF, DKIM und DMARC sowie phishing-resistente Multi-Faktor-Authentifizierung, die selbst bei abgefangenen Passwörtern den Zugriff verhindert.