Phishing ist eine der ältesten und gleichzeitig erfolgreichsten Betrugsmaschen im Internet: Kriminelle geben sich per E-Mail, SMS oder über gefälschte Webseiten als vertrauenswürdige Absender aus – etwa als Deine Bank, als DHL oder als Microsoft – um Dir Passwörter, Kreditkartendaten oder andere sensible Informationen zu entlocken. Der Name leitet sich vom englischen „fishing" (Angeln) ab – die Angreifer werfen den Köder aus und warten, dass jemand anbeißt.
Wie funktioniert das?
Die einfachste Form von Phishing ist die Massen-E-Mail. Du bekommst eine Nachricht, die aussieht, als käme sie von Deiner Bank: „Ihr Konto wurde vorübergehend gesperrt. Klicken Sie hier, um es zu verifizieren." Der Link führt auf eine täuschend echte Nachbildung der Bank-Webseite. Gibst Du dort Deine Zugangsdaten ein, landen sie direkt bei den Angreifern.
Doch Phishing hat sich in den letzten Jahren dramatisch weiterentwickelt. Heutige Phishing-Angriffe sind oft kaum noch von echten Nachrichten zu unterscheiden:
Spear-Phishing richtet sich gezielt gegen eine bestimmte Person. Die Angreifer recherchieren vorher: Wie heißt Dein Chef? Mit welchen Kunden arbeitest Du? In welchem Projekt steckst Du gerade? Dann kommt eine E-Mail, die perfekt in Deinen Arbeitsalltag passt – etwa vom vermeintlichen Projektleiter mit einem „aktualisierten Vertragsentwurf" im Anhang.
Thread-Hijacking geht noch einen Schritt weiter: Die Angreifer kapern echte E-Mail-Konversationen. Du bekommst eine Antwort auf eine E-Mail, die Du tatsächlich vor zwei Wochen geschrieben hast – vom richtigen Absender, mit dem richtigen Betreff, im richtigen Kontext. Nur dass diese Antwort jetzt von den Angreifern kommt und einen infizierten Anhang enthält. Diese Technik ist so überzeugend, dass selbst erfahrene IT-Profis darauf hereinfallen.
Phishing-as-a-Service (PhaaS) hat die Einstiegshürde für Angreifer drastisch gesenkt. Kriminelle können fertige Phishing-Kampagnen mieten – inklusive gefälschter Webseiten, E-Mail-Vorlagen und sogar Methoden, um Zwei-Faktor-Authentifizierung zu umgehen. Man braucht kein technisches Wissen mehr, um eine professionelle Phishing-Kampagne zu fahren.
Neben dem Diebstahl von Zugangsdaten wird Phishing auch häufig als Einfallstor für Malware genutzt. Der Anhang enthält dann keinen Vertrag, sondern einen Trojaner. Oder der Link führt nicht auf eine gefälschte Login-Seite, sondern auf eine Webseite, die eine Sicherheitslücke in Deinem Browser ausnutzt.
Beispiele aus der Praxis
Emotet und Thread-Hijacking zeigten, wie verheerend Phishing sein kann, wenn es mit gestohlenen E-Mail-Konversationen kombiniert wird. Emotet las die E-Mail-Postfächer infizierter Rechner aus und nutzte echte Gesprächsverläufe für neue Phishing-Mails. Die Empfänger bekamen Antworten auf echte E-Mails – mit perfektem Kontext, korrektem Absendernamen und einem infizierten Anhang. Das Ergebnis: Emotet wurde zur „gefährlichsten Malware der Welt", wie das BSI warnte. Mehr dazu in unserem Schadenbeispiel zu Emotet.
APT28 (Fancy Bear), die russische Hackergruppe, nutzte Spear-Phishing als bevorzugte Angriffsmethode gegen Regierungen, Militär und politische Organisationen weltweit. Ihre Phishing-E-Mails waren so gezielt und überzeugend, dass sie selbst hochrangige Politiker und Sicherheitsexperten täuschten. APT28 kombinierte Phishing mit Zero-Day-Exploits in Office-Dokumenten für maximale Wirkung. Die Details in unserem Schadenbeispiel zu APT28.
RaccoonO365 ist ein aktuelles Beispiel für Phishing-as-a-Service: Diese Plattform bietet Kriminellen fertige Infrastruktur, um Microsoft-365-Konten zu kapern – inklusive der Möglichkeit, Zwei-Faktor-Authentifizierung auszuhebeln. E-Mails, die wie offizielle Microsoft-Benachrichtigungen aussehen, leiten Opfer auf perfekt nachgebaute Login-Seiten um. Wie das funktioniert, zeigt unser Schadenbeispiel zu RaccoonO365.
Wie schützt Deep Freeze davor?
Phishing hat zwei Komponenten: den Diebstahl von Zugangsdaten und die Verteilung von Schadsoftware. Gegen den reinen Datendiebstahl auf gefälschten Webseiten kann Deep Freeze nicht direkt helfen – wenn Du Dein Passwort auf einer Fake-Seite eingibst, ist es in den Händen der Angreifer, unabhängig vom Zustand Deiner Systempartition.
Aber: Sehr viele Phishing-Angriffe haben das Ziel, Malware auf Deinem System zu installieren – sei es ein Trojaner im E-Mail-Anhang, ein Drive-by-Download auf einer verlinkten Webseite oder ein infiziertes Dokument mit Makros. Genau hier greift Deep Freeze. Die installierte Schadsoftware überlebt keinen Neustart. Infostealer, die Deine gespeicherten Passwörter aus dem Browser auslesen wollen, haben nur ein kurzes Zeitfenster, bevor das System zurückgesetzt wird. Trojaner, die sich permanent einnisten wollen, verlieren beim Reboot ihren Halt.
Deep Freeze ersetzt nicht Dein gesundes Misstrauen gegenüber verdächtigen E-Mails – aber es fängt Dich auf, wenn Du doch einmal auf den falschen Link klickst oder den falschen Anhang öffnest.
Phishing setzt auf menschliche Fehler – und die passieren jedem, egal wie vorsichtig man ist. Eine eingefrorene Systempartition kann den Moment der Unachtsamkeit nicht verhindern, aber sie kann sicherstellen, dass die Folgen beim nächsten Neustart verschwinden, statt sich dauerhaft einzunisten.