Direkt zum Inhalt wechseln
logo Das Magazin für digitalen Lifestyle und Entertainment
Eine Marke von Bild
TECHBOOK erklärt

Wo kommt eigentlich der Begriff Phishing her?

Person hält Handy, darüber ein Briefumschlag an einem Angelhaken
Die Herkunft des Phishing-Begriffs ist nicht ganz eindeutig Foto: Getty Images/ sarayut Thaneerat
Woon-Mo Sung
Redakteur

1. September 2024, 8:53 Uhr | Lesezeit: 9 Minuten

In schöner Regelmäßigkeit machen Meldungen zu neuen Phishing-Versuchen die Runde. Aber was ist eigentlich die Herkunft von Phishing? TECHBOOK erklärt den Begriff und die vielen existierenden Spielarten der Betrugsmasche.

Artikel teilen

Er kann mitunter in Vergessenheit geraten, aber jeder dürfte ihn haben: den Spam-Ordner im eigenen E-Mail-Programm. Darin landen für gewöhnlich dreiste Betrugsversuche, die mal mehr, mal weniger überzeugend sind – und in der Regel stets zur Kategorie des Phishings gehören. Der Begriff ist regelrecht allgegenwärtig, wenn es um die Sicherheit im Internet geht. Aber was ist die Herkunft von Phishing? TECHBOOK erklärt den Begriff als solchen und wie sich die Masche entwickelt hat.

Übersicht

Herkunft von Phishing – die Spur führt in die 90er

Wer den Begriff des Phishings wirklich geprägt hat, darüber scheint sich die Geschichtsschreibung nicht ganz einig zu sein. So soll dem Blog „Graphus“ zufolge dem bekannten Hacker und Spammer Khan C. Smith das Wort eingefallen sein. Er hätte es demnach erstmals in einer Nachrichtengruppe im Usenet eingeführt. Die Website „Malwarebytes“ schreibt, dass er dies 1996 getan haben soll.

Zugleich könnte aber auch der damalige Teenager Koceilah Rekouche für die Entstehung des Begriffs Phishing verantwortlich sein, wie nicht nur aus einer 2016 veröffentlichten Studie im Journal of General Internal Medicine über Cyberkriminalität gegen das US-Gesundheitssystem hervorgeht. Auch Rekouche selbst behauptete in einem später veröffentlichten Essay, dass jemand aus seinem Umfeld die Masche bereits 1995 „fishing“, also auf Deutsch „fischen“, nannte und er es später mit der finalen Schreibweise „phishing“ übernommen hatte.

Warum eigentlich „ph“?

Rekouche, damals im Netz auch bekannt als „Da Chronic“, habe 1994 von dem Hacker Dave Lusby eine Masche erfahren, um AOL-Mitglieder hereinzulegen, indem er sich als Mitarbeiter ausgab. Dadurch erwarb er ihr Vertrauen und „fischte“ so nach deren Zugangsdaten. Dies wurde die Basis für eine erste automatisierte Software namens „AOHell“, die Rekouche entwickelte und in der die angeblich ersten festgehaltenen Nennungen von „fishing“ beziehungsweise „phishing“ vorkamen.

Wie es zur alternativen Schreibweise mit „ph“ kam, dazu äußerte sich Rekouche nicht. Allerdings kursiert laut Merriam-Webster die Theorie, dass es vom sogenannten „phreaking“ kommt. So nannte man einst das Hacking von Telefonaten, um nicht für Gespräche bezahlen zu müssen. Die Täter wurden damals „Phreaks“ (kurz für „phone freaks“) genannt. Und da sich Hacker und Phreaks nahestanden, sollen sie Schreibweise übernommen haben.

Phishing nahm also in den 90er-Jahren an Fahrt auf, doch bereits 1987 wurde eine solche Betrugstechnik im Rahmen einer Konferenz vorgeführt. Unklar ist, ob es noch frühere Instanzen gibt.

Auch interessant: Häufige Phishing-Maschen bei Sparkasse, ING, DKB

Was ist Phishing?

Phishing ist die am meisten verbreitete Form von Cyberkriminalität und kann Privatleute wie Unternehmen gleichermaßen treffen. Laut „Graphus“ gingen 2022 bis zu drei Milliarden Phishing-Nachrichten täglich durch den Äther. Die grundlegenden Prinzipien und Ziele des Phishings haben sich über die Jahrzehnte dabei nicht verändert. Noch immer geht es Cyberkriminellen in erster Linie darum, Login-, Bank- oder andere sensible Daten von Ahnungslosen zu ergaunern. Hierzu nutzt man die gängigen elektronischen Kommunikationswege wie E-Mail, Webseiten, SMS, Chats oder sogar direkt Telefonie.

In der Regel geben sich die Täter als Unternehmen, Betriebe oder andere Personen aus, die den Opfern bekannt sein könnten. Unter falschem Vorwand und unter Erzeugung von zeitlichem Druck möchte man sie dazu bringen, wichtige Details preiszugeben.

Hier kommt der Aspekt des sogenannten Social Engineerings ins Spiel – Personen sollen mithilfe psychologischer Tricks und durch eine Mischung aus Vertrauen und Angst zur Herausgabe der Infos manipuliert werden. Hierfür sind irreführende Links oft zentraler Bestandteil. Es gibt aber auch Varianten ohne E-Mails.

Anliegen, die oft vorgetäuscht werden, sind etwa plötzliche Konto-Schließungen, falsche Zahlungen oder auch mal angebliche Gratis-Monate bei Netflix.

11 verschiedene Phishing-Arten

Mittlerweile haben sich die Strategien der Kriminellen weiterentwickelt. Phishing kann heutzutage auf vielen Wegen und in verschiedenen Formen in Erscheinung treten. Nachfolgend listen wir die gängigsten Spielarten auf:

Deceptive Phishing

Die wohl häufigste Phishing-Methode im Netz. Hierbei fälschen Kriminelle die Internet-Domain eines Unternehmens, auf der ihre Opfer ihre Daten eingeben sollen – wo diese abgefangen werden können. Um sie auf die entsprechenden Seiten zu locken, werden möglichst glaubwürdig wirkende E-Mails verschickt, oftmals mit einem Link.

Manchmal sind die Links nicht anklickbar, sondern müssen händisch in die Adresszeile kopiert werden. In solchen Fällen würden laut Kaspersky selbst Sicherheitsfilter den Phishing-Versuch nur noch schwer erkennen können. Auch irreführend: Die falschen Seiten können sich hinter einer vermeintlich sicheren HTTPS-Verschlüsselung verbergen.

Spear Phishing

Für gewöhnlich setzen Cyberkriminelle bei Phishing-Mails auf Masse statt Klasse. Nicht so beim Spear Phishing. Hierbei handelt es sich um einen gezielten Angriff auf nur einzelne Personen, weshalb hier besonders passgenaue Techniken zum Einsatz kommen. Dies setzt Recherchen und Aufklärung im Vorfeld voraus.

Da die Nachrichten so gut an die Adressaten angepasst sind, haben Spamfilter mehr Schwierigkeiten, sie als Betrugsversuche zu erkennen. Denkbares Spear Phishing könnte sein, dass man sich als Führungskraft ausgibt, um Mitarbeiter zur Herausgabe von Informationen zu bringen.

Auch interessant: Phishing-Masche droht Amazon-Kunden mit Sperrung

Whale Phishing/Whaling

Im Grunde funktioniert Whale Phishing oder Whaling exakt wie Spear Phishing, nur geht es hierbei um „Wale“ – um möglichst hochrangige Führungskräfte wie CEOs. Die verfügen über besonders wertvolle Informationen, weshalb der potenzielle Schaden entsprechend groß sein kann. Die dafür eingesetzten Phishing-Mails sind perfekt auf die jeweilige Zielperson zugeschnitten, dank Informationen aus Suchmaschinen und Social Media. Man verwendet die korrekte Anrede, Namen, Titel, Berufsbezeichnung und weitere Details, um möglichst viel Vertrauen zu erwecken.

Clone Phishing

Auf Basis einer echten Mail mit Dateianhang, die das Opfer bereits erhalten hat, erstellen Täter eine täuschend echte Kopie. Die Absenderadresse wirkt legitim, aber alle Links und Anhänge werden durch bösartige ausgewechselt. Oftmals geht das mit der vermeintlichen Information einher, man habe bei der vorherigen (echten) Mail einen Fehler gemacht.

Watering Hole Phishing

Raubtiere lauern gerne an Orten, die ihre Beute häufig aufsucht – etwa Wasserstellen zum Trinken. Übertragen auf Cyberkriminalität bedeutet es, dass Täter Webseiten identifizieren, die potenzielle Opfer besonders häufig ansteuern. Diese infizieren sie mit Malware, mit der sie sich Zugriff zu fremden Computern verschaffen, sobald jemand die Seite wieder aufsucht.

Evil Twin

Wer unterwegs mobile Daten sparen möchte, loggt sich gerne in öffentliche WLAN-Netze ein. Allerdings kann es passieren, dass sich hinter einem vermeintlichen Angebot zum Surfen ein betrügerischer Zugang verbirgt. Hierzu findet der Betrüger Funkfrequenz und SSID eines Hotspots heraus. Anschließend sendet er sein eigenes Signal, allerdings mit der echten SSID. Loggt sich dann jemand im falschen Netz ein, kann der Täter mitlesen, was andere im Internet anstellen.

Suchmaschinen-Phishing

Laut „Trendmicro“ versuchen Kriminelle bei dieser Variante, auf Position 1 der Suchtrefferliste zu gelangen. Auf die Weise wollen sie Anfragen in Suchmaschinen für sich nutzen, indem sie möglichst weit oben bösartige Links platzieren. Wenig überraschend verwenden sie dazu oftmals Nachahmungen von echten Websites, unter anderem von Banken oder Online-Shops.

Smishing/SMS-Phishing

Diese Phishing-Nachrichten erreichen einen über SMS. Auch darin sind gefährliche Links enthalten. Der häufig erwähnte Enkeltrick ist ein gutes Beispiel. Ausführlichere Informationen finden Sie in unserem separaten Smishing-Artikel.

Vishing

Hier unternehmen die Betrüger einen Phishing-Versuch im direkten persönlichen Kontakt mit dem Opfer – und zwar im Telefonat. Nicht selten ruft aber zuerst ein Computer an und legt sofort wieder auf. Bei Rückruf hat man dann den Verbrecher in der Leitung, der sich oftmals als vertrauenswürdige oder Autoritätsperson ausgibt – etwa ein Angestellter der Bank. So will man wichtige Daten entlocken.

Besonders perfide: Mittlerweile kommt sogar künstliche Intelligenz für Telefonbetrug zum Einsatz.

Catphishing/Romance Scam

Bei dieser Taktik erstellen die Verantwortlichen falsche Online-Persönlichkeiten. Mit diesen wollen sie dann romantische Beziehungen anbahnen, die sich aber auf der rein digitalen Ebene abspielen, also zum Beispiel nur via Chat. Auf diesem Wege versucht man, Geld zu erhalten oder sensible Informationen zu erfahren. Allerdings soll beim Catphishing laut „Warda“ der Zugriff auf eine bestimmte Person im Vordergrund stehen, während es beim vergleichbaren Romance Scam nur ums Geld geht.

Ein besonders kurios anmutender Fall ereignete sich 2022 auf Instagram in Japan. Eine Seniorin wurde von einem vermeintlichen russischen Astronauten angeschrieben, der vorgab, im Weltall festzusitzen. Wie unter anderem „Newsweek“ berichtete, brauchte er Geld für die Rückkehr. Dafür wollte er sie heiraten und gab vor, sie zu lieben. Umgerechnet 30.000 US-Dollar übersendete sie ihm.

Quishing

Die meisten Phishing-Versuche spielen sich im digitalen Raum ab. Nicht so beim Quishing: Hier verbreiten die Täter falsche QR-Codes zum Beispiel mittels falscher Bank-Briefe, aber auch an Ladesäulen für E-Autos und sogar in Form falscher Strafzettel wurden sie bereits gesichtet. Das berichtet die Verbraucherzentrale Nordrhein-Westfalen in einer Warnung.

Wer den Code scannt, wird ähnlich wie bei anderen Methoden auch auf eine bösartige Website geleitet. Bei den Ladesäulen und falschen Strafzetteln lockt man mit einer bequemen Möglichkeit, den fälligen Betrag schnell zu begleichen.

Mehr zum Thema

Das können Sie gegen Phishing unternehmen

Jeder Mensch, der in irgendeiner Form mit einem zeitgemäßen technischen Gerät erreichbar ist, kann zum Ziel von Phishing werden. Von daher gilt es, besonders achtsam zu bleiben und eingehende Nachrichten sorgfältig auf ihre Authentizität zu überprüfen. Hierfür geben wir Ihnen drei schnelle Tipps zum Erkennen von Phishing-Mails auf den Weg.

Wenn Sie aber nicht erst den Erhalt einer riskanten Mail abwarten wollen, sondern lieber einen Schritt voraus bleiben möchten, lohnt ein Blick auf den Phishing-Radar der Verbraucherzentrale. Dieser wird laufend aktualisiert und die einzelnen Fälle sind umfassend beschrieben. In Bezug aufs Quishing hat sogar das FBI sieben Regeln für den Umgang mit QR-Codes aufgestellt. Diese sollten User unbedingt zu jederzeit berücksichtigen.

Themen Betrug Sicherheit
Deine Datensicherheit bei der Nutzung der Teilen-Funktion
Um diesen Artikel oder andere Inhalte über Soziale- Netzwerke zu teilen, brauchen wir deine Zustimmung für diesen .
Sie haben erfolgreich Ihre Einwilligung in die Nutzung dieser Webseite mit Tracking und Cookies widerrufen. Sie können sich jetzt erneut zwischen dem Pur-Abo und der Nutzung mit personalisierter Werbung, Cookies und Tracking entscheiden.