Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

Phishing bleibt der effektivste Einstiegsvektor für Cyberangriffe: 3,4 Milliarden Phishing-E-Mails werden täglich versendet (APWG), 91% von Ransomware-Angriffen starten mit einer Phishing-Mail (BSI), und der durchschnittliche Schaden durch Business Email Compromise liegt bei 125.000 € pro Vorfall. Kein technischer Schutz ersetzt ein trainiertes Team - aber beides zusammen reduziert das Risiko erheblich.

Was ist Phishing?

Phishing ist der Versuch, durch gefälschte Kommunikation (E-Mail, SMS, Anruf, Webseite) Empfänger zur Preisgabe von Zugangsdaten, zur Installation von Schadsoftware oder zu finanziellen Transaktionen zu verleiten. Der Begriff leitet sich von "fishing" (Angeln) ab - Angreifer werfen aus und warten, wer anbeißt.

Aktuelle Zahlen (2024):

• 3,4 Milliarden Phishing-E-Mails werden täglich versendet (APWG)
• 36% aller Datenverletzungen beginnen mit Phishing (Verizon DBIR)
• 91% von Ransomware-Angriffen starten mit einer Phishing-Mail (BSI)
• Durchschnittlicher Schaden durch BEC: 125.000 € pro Vorfall

Die Phishing-Taxonomie

Mass Phishing (Spray and Pray)

Ungezielter Massenangriff auf Millionen Empfänger. Erkennungsmerkmale:

• Generische Anrede ("Sehr geehrter Kunde")
• Grammatik- und Rechtschreibfehler
• Übertriebene Dringlichkeit ("Ihr Konto wird gesperrt!")
• Verdächtige Absenderadressen
• Generische Fake-Domains (paypa1.com, amazon-service.de)

Wirksamkeit: Erkennungsrate durch Spam-Filter hoch (99%+). Trotzdem gefährlich: 1% von 1.000.000 = 10.000 Opfer.

Spear Phishing

Gezielter, personalisierter Angriff auf eine spezifische Person oder Abteilung. Angreifer recherchieren vorher: LinkedIn-Profile, Unternehmens-Website, Social Media, OSINT-Quellen (Pressemitteilungen, Stellenanzeigen).

Die resultierende E-Mail enthält:

• Korrekte Anrede mit Name und Jobtitel
• Referenz auf tatsächliche Projekte oder Kollegen
• Kontext aus dem Arbeitsalltag ("bezüglich Ihres Angebots vom...")
• Professionelle Aufmachung

Beispiel einer Spear-Phishing-Mail:

"Liebe Frau Müller, wie in unserem Meeting am Dienstag besprochen, finden Sie anbei die überarbeiteten Vertragsunterlagen für das Projekt Nord-West. Mit freundlichen Grüßen, Thomas Berger, Projektleitung" [Anhang: Vertrag_NordWest_v3.docx]

Erkennungsquote durch Mitarbeitende: unter 5% (laut Studien zu Awareness-Trainings).

Whaling (CEO/CFO Fraud)

Spear-Phishing gegen Top-Management:

Typische Szenarien sind Fake-CEO-Mails an die Buchhaltung ("Sofortige vertrauliche Zahlung"), Fake-Anwalt an den CFO ("M&A-NDA erfordert Vorab-Zahlung") oder gefälschte Aufsichtsrats-Kommunikation zu einem angeblich geheimen Akquisitionsprojekt.

Schutz: 4-Augen-Prinzip bei Überweisungen und verbindliches Callback-Verfahren über verifizierte Nummern.

Business Email Compromise (BEC)

BEC ist das teuerste Phishing-Szenario. Account wirklich übernommen oder täuschend echt imitiert:

Bei Variante 1 (Account-Übernahme) übernimmt der Angreifer den echten CEO-Account. E-Mails kommen von der echten Adresse, der DMARC-Check liefert PASS - nur Verhaltensanomalien (UEBA) können diesen Angriff erkennen.

Bei Variante 2 (Lookalike-Domain) wird eine nahezu identische Domain verwendet: ceo@firma-ag.de vs. ceo@firmaag.de (Bindestrich fehlt) - bei flüchtigem Lesen visuell identisch.

CEO Fraud: CFO erhält E-Mail scheinbar vom CEO - "Dringende Überweisung für vertrauliche Transaktion. Bitte heute noch ausführen."

Schadenspotenzial: Das FBI IC3 meldet jährlich über 2,7 Milliarden USD Verluste allein in den USA.

Smishing (SMS Phishing)

Phishing per SMS:

• "Ihr Paket kann nicht zugestellt werden - bitte hier aktualisieren: [Link]"
• "Ihre Sparkasse-ID ist abgelaufen - jetzt reaktivieren: [Link]"
• Gefälschte Zwei-Faktor-Codes

Smishing ist gefährlicher als E-Mail-Phishing, weil auf mobilen Geräten keine Browser-Warnungen erscheinen, URLs verkürzt angezeigt werden, der Nutzer auf dem kleinen Bildschirm abgelenkt ist und das HTTPS-Schloss-Symbol täuscht - Phishing-Sites können ebenfalls TLS-Zertifikate nutzen.

Vishing (Voice Phishing)

Telefonbetrug durch Vortäuschung falscher Identitäten:

• "Hier ist der IT-Support - wir haben einen Virus auf Ihrem Rechner entdeckt..."
• "Bank-Security-Team: Wir haben verdächtige Abbuchungen - können Sie kurz Ihre PIN bestätigen?"
• Deepfake-Voice: KI-generierte Stimme eines bekannten Vorgesetzten

Schutz: Niemals Passwörter am Telefon nennen. Bei einem Anruf von angeblicher "Bank" oder "IT": auflegen und die offizielle Nummer selbst wählen - niemals die Nummer des Anrufers zurückrufen.

Zunahme 2024: KI-Tools für Voice-Cloning kosten weniger als 10 €/Monat. Deepfake-Vishing-Angriffe nehmen massiv zu.

QR-Code-Phishing (Quishing)

Relativ neu, aber stark wachsend: QR-Codes in E-Mails oder physisch angebracht leiten auf Phishing-Seiten weiter.

Warum QR-Codes? Sie umgehen E-Mail-Security-Gateways, die nur Links in E-Mail-Text scannen. Der QR-Code selbst ist ein Bild - nicht als bösartiger Link erkennbar.

Adversary-in-the-Middle (AiTM) Phishing

Moderne Phishing-Kits (Evilginx2, Modlishka) agieren als Reverse Proxy zwischen Opfer und legitimer Website:

1. Opfer gibt Credentials auf Fake-Login-Seite ein
2. Tool leitet Credentials in Echtzeit an echte Website weiter
3. Echte Website sendet MFA-Code an Opfer
4. Opfer gibt MFA-Code ein - Tool fängt ihn ab
5. Angreifer übernimmt Session mit gültigem Session-Cookie

Konsequenz: Standard-MFA (TOTP, SMS-TAN) schützt nicht gegen AiTM-Phishing. Nur phishing-resistente MFA (FIDO2/Passkeys) ist wirksam.

Social Engineering Psychologie

Phishing nutzt bekannte psychologische Trigger. Die 6 Prinzipien der Beeinflussung nach Cialdini:

Die sechs Prinzipien nach Cialdini, die Phishing-Angriffe ausnutzen:

1. Autorität: "Dies ist eine offizielle Mitteilung der Finanzbehörde" - Befehle von Autoritäten werden selten hinterfragt.
2. Dringlichkeit: "Letzte Warnung - Ihr Account wird in 2 Stunden gesperrt!" - Zeitdruck verhindert ruhiges Nachdenken.
3. Angst: "Unbefugter Zugriff auf Ihren Account erkannt" - Angst führt zu impulsivem Handeln.
4. Reziprozität: "Wir schenken Ihnen 50€ als treuer Kunde" - Menschen wollen etwas zurückgeben.
5. Soziale Bewährtheit: "1.234 Nutzer haben bereits geklickt" - Menschen folgen dem Verhalten anderer.
6. Knappheit: "Nur noch 3 Plätze verfügbar" - Knappes erscheint wertvoller.

Weitere Social-Engineering-Vektoren

Pretexting

Angreifer erschafft eine fiktive Situation die Opfer zur Herausgabe von Informationen bewegt:

Beispiel: Ein Angreifer ruft die Rezeption an mit "Guten Tag, ich bin Florian Koch, IT-Sicherheitsprüfer vom BSI. Wir führen heute unangekündigte Sicherheitsprüfungen durch. Könnten Sie mir den Namen und die Durchwahl des IT-Leiters nennen? Und wo befindet sich Ihr Serverraum?"

Schutz: Identität niemals über eingehende Anrufe bestätigen. Externe Anfragen immer über den offiziellen Kanal prüfen. "Ich prüfe das und rufe zurück" ist immer die richtige Reaktion.

Technische Angriffstechniken

Domain-Spoofing-Methoden

Verbreitete Domain-Spoofing-Methoden sind Typosquatting (amazzon.com, microsofft.com), Homograph-Angriffe (аmazon.com mit kyrillischem 'a' statt lateinischem 'a'), Subdomain-Missbrauch (microsoft.com.attackersite.de), TLD-Varianten (amazon.shop, microsoft.net), Look-alike-Zeichen (rn statt m: rnicrosoft.com) sowie kombinierte Methoden (secure-amazon-account-verify.com).

E-Mail-Header-Manipulation

Angreifer nutzen mehrere Techniken, um den Absender zu fälschen:

• Display Name Spoofing: "Microsoft noreply@sketchy-domain.com"
• From/Reply-To-Trennung: Anzeige "CEO Max Müller" - Antwort geht an Angreifer
• Fehlende DMARC-Enforcement: Ohne DMARC-Policy p=reject ist Domain-Spoofing trivial möglich

Genau deshalb sind DMARC, SPF und DKIM so kritisch.

HTTPS als falsches Sicherheitssignal

Ein weit verbreiteter Irrglaube: das HTTPS-Schloss bedeutet Sicherheit. Tatsächlich bestätigt es nur, dass die Verbindung verschlüsselt ist — nicht, dass die Website legitim ist. Phishing-Seiten nutzen kostenlose TLS-Zertifikate genauso wie legitime Seiten.

2016 wurden rund 15.000 Let's-Encrypt-Zertifikate mit "PayPal" im Namen für Phishing-Seiten missbraucht. Von 988 untersuchten Zertifikaten verfolgten nur 4 einen legalen Zweck (Quelle: The SSL Store / Bleeping Computer). Angreifer nutzen dabei verschachtelte Subdomain-Strategien, damit echte Markennamen in der URL auftauchen: paypal.com.account-verify.attacker.net — wer nicht bis zur Top-Level-Domain liest, fällt darauf herein.

Dynamit-Phishing (Emotet-Technik)

Klassisches Spear-Phishing erfordert manuelle OSINT-Recherche pro Ziel. Emotet hat 2018 eine automatisierte Variante eingeführt: Nach einer Erstinfektion liest der Trojaner Outlook-Kontakte des Opfers aus und versendet automatisch Phishing-Mails im Namen des Opfers an alle Kontakte — inklusive echter Gesprächsverläufe als Kontext.

Das Ergebnis ist Spear-Phishing ohne manuellen Aufwand: Der Empfänger erhält eine E-Mail von einem bekannten Absender, die auf einen realen früheren Austausch Bezug nimmt. Die Erkennungsrate durch Spam-Filter und Mitarbeitende sinkt drastisch. Zusätzlich lädt Emotet Banking-Malware (Trickbot) nach und stiehlt im Browser gespeicherte Passwörter.

Plattform-Missbrauch für Phishing (Google Docs)

Angreifer missbrauchen legitime Plattformen, um Phishing-Links über vertrauenswürdige Absenderdomains zu versenden. Bekanntes Beispiel: die Google Docs Kommentarfunktion. Ein Angreifer erstellt ein Dokument, setzt einen Kommentar mit @-Mention des Opfers und einem schadhaften Link. Google sendet daraufhin eine Benachrichtigungs-E-Mail von einer echten Google-Domain — inklusive des Links aus dem Kommentar.

Das Opfer muss das Dokument nie öffnen: Der Link ist bereits in der E-Mail von docs.google.com enthalten. Blacklisting der Google-Domain als Schutzmaßnahme ist keine Option. Dasselbe Prinzip funktioniert in Google Slides. Angreifer kombinieren dies mit OSINT, um bekannte Namen in der @-Mention zu verwenden und die Klickwahrscheinlichkeit zu erhöhen.

Phishing-Kits und Phishing-as-a-Service

Im Darknet gibt es professionelle Phishing-Kits für wenige hundert Euro:

• Fertige Kopien von Bank-, PayPal-, Microsoft-365-Login-Seiten
• Automatisches Credential-Logging per Telegram-Bot
• AiTM-Frameworks mit Dashboard
• "Bulletproof" Hosting in Ländern ohne Strafverfolgung

Bekannte PhaaS-Plattformen:

EvilProxy (aufgetaucht 2022) agiert als Reverse Proxy und hebelt MFA aus: Das Framework schaltet sich zwischen Nutzer und Zielseite, leitet alle Anfragen durch und fängt nach abgeschlossener Authentifizierung das Session-Cookie ab. Apple, Google, Facebook und Microsoft 365 wurden als Ziele beworben. Vertrieb über Telegram als Abonnement-Modell. Entdeckt und analysiert von Resecurity.

Caffeine (2022, analysiert von Mandiant) geht noch einen Schritt weiter: keine Darknet-Registrierung, kein Telegram-Kanal — der Dienst ist über das Clear Web buchbar. 450 USD für 3 Monate, 850 USD Enterprise für 6 Monate. Enthält Templates nicht nur für westliche Marken, sondern auch für chinesische und russische Unternehmen. Dynamische URL-Generierung und Länder-IP-Sperren erschweren die Erkennung.

Die niedrige Einstiegshürde beider Dienste hat die Zahl potenzieller Täter erheblich vergrößert — für einen Angriff auf MFA-geschützte Konten sind keine tiefen technischen Kenntnisse mehr erforderlich.

Technische Schutzmaßnahmen

E-Mail-Sicherheit (Pflicht): DMARC p=reject (verhindert Domain-Spoofing), SPF -all (nur autorisierte Server dürfen senden), DKIM (Signatur-Validierung ausgehender E-Mails).

E-Mail-Sicherheit (empfohlen): E-Mail-Gateway mit URL-Rewriting (URLs werden zur Klickzeit gecheckt), Sandbox für Anhänge, External-Tag [EXTERN] im Betreff für externe Mails, Lookalike-Domain-Monitoring sowie ein dediziertes E-Mail-Security-Gateway (Proofpoint, Mimecast, Microsoft Defender for Office 365).

DNS-basierte Schutzmaßnahmen: Bekannte Phishing-Domains auf DNS-Ebene blockieren (Cloudflare Gateway, Cisco Umbrella). DMARC-Aggregate-Reports auswerten: Wer versucht E-Mails im eigenen Namen zu senden?

Browser-Schutz: Google Safe Browsing und Microsoft SmartScreen sind in Chrome, Edge und Firefox aktiviert und warnen bei bekannten Phishing-URLs.

FIDO2/Passkeys verhindern Phishing per Design: Ein Passkey ist domain-gebunden und funktioniert nicht auf einer Phishing-Domain. Auch wenn ein Nutzer auf den Link klickt, verifiziert der Passkey die falsche Domain und verweigert den Login.

Authentifizierung:

• Phishing-resistente MFA: FIDO2 Security Keys (YubiKey), Passkeys
• Conditional Access Policies (nur von verwalteten Geräten)
• Privileged Account Protection: Admin-Konten mit höchster MFA-Sicherheitsstufe

Organisatorische Maßnahmen

Prozesse für Geldtransfers und Stammdatenänderungen:

• Rückruf-Pflicht bei Änderungen von Bankverbindungen über verifizierte Telefonnummern
• Vier-Augen-Prinzip bei Überweisungen über bestimmten Betrag
• "CEO-Fraud-Klausel": E-Mail allein ist keine ausreichende Autorisierung für Zahlungen

Incident Response für Phishing:

• Meldekanal für verdächtige E-Mails (Button in Outlook, dedizierte E-Mail-Adresse)
• SLA für Bearbeitung gemeldeter Verdachtsfälle (< 4 Stunden)
• Klare Eskalation: Wer wird bei erfolgreichem Klick informiert?

Phishing-Erkennung für Mitarbeitende

Warnsignale in E-Mails:

• Unerwartete Dringlichkeit ("SOFORT handeln!")
• Unbekannter Absender mit vertrautem Display-Name
• Generische oder fehlerhafte Anrede
• Verdächtige Domain im Absender oder Link (Hover-Check vor dem Klicken!)
• Anhänge von unbekannten Absendern
• Anfragen nach Credentials oder Überweisungen per E-Mail
• "Verifizieren Sie Ihr Konto" oder "Aktualisieren Sie Ihre Daten"
• Angebote, die zu gut sind um wahr zu sein

Der wichtigste Grundsatz:

"Wenn Sie unsicher sind - klicken Sie nicht, öffnen Sie keinen Anhang, geben Sie keine Daten ein. Rufen Sie den Absender über eine bekannte Nummer zurück."

Phishing-Simulation und Awareness-Training

Was gute Simulationen messen

Gemessene Metriken sind Click Rate (% der Mitarbeitenden die auf den Link klicken), Submit Rate (% die Credentials eingeben), Reporting Rate (% die den Angriff melden) und Time to Report.

Zielwerte nach 12 Monaten Training: Click Rate unter 5% (Ausgangslage oft 25-40%), Submit Rate unter 2%, Reporting Rate über 30% (ohne Training unter 5%).

Wichtig: Simulationen sind Lernwerkzeuge, keine Bestrafung. Wer klickt, erhält sofortiges Training ohne Tadel. Ergebnisse werden aggregiert kommuniziert - keine Blame-Culture für einzelne Mitarbeiter.

Industrie-Benchmarks (GoPhish / KnowBe4-Daten): Ohne Training liegt die Click Rate bei ~30% und die Credential Submission bei ~15%. Nach 12 Monaten Awareness-Training sinkt die Click Rate auf ~5% bei gleichzeitiger Reporting Rate von über 70%.

Schulungsinhalt (4 Module)

Modul 1 - Phishing erkennen: Absenderadresse genau prüfen (nicht Anzeigename), URL vor dem Klick prüfen (Hover-to-See), sprachliche Indikatoren erkennen, Dringlichkeit als Red Flag behandeln.

Modul 2 - Was tun wenn verdächtig? Nicht klicken, nicht öffnen. Mail als Phishing melden (Schaltfläche im Mail-Client), IT-Security informieren. Im Zweifel: direkten Kontakt über Telefon oder persönlich aufnehmen.

Modul 3 - Passwörter und Credentials: Passwörter werden niemals am Telefon oder per E-Mail abgefragt. Passwort-Manager für alle Accounts verwenden. MFA als Backup wenn ein Passwort doch gephisht wurde.

Modul 4 - Wenn es passiert ist: Sofort die IT informieren (kein Schämen). Keinen Versuch unternehmen, den Vorfall selbst zu "lösen". Je früher gemeldet wird, desto kleiner ist der Schaden.

Simulationen sollten realistisch, aber ethisch sein: keine Ausnutzung persönlicher Krisen, klare interne Kommunikation über das Programm.

AWARE7 Phishing-Simulation: Branchenspezifische Szenarien, sofortiges Lernmodul nach Klick, Quartalsberichte für Management.

KI und Phishing: Die nächste Generation

Generative KI verändert Phishing grundlegend:

• Keine Sprachfehler mehr: ChatGPT schreibt fehlerfreies Deutsch - der klassische Erkennungstipp "schlechtes Deutsch" gilt kaum noch
• Personalisierung in Echtzeit: KI kann aus öffentlichen Daten automatisch maßgeschneiderte Spear-Phishing-Mails generieren
• Voice Cloning: Deepfake-Stimmen für Vishing-Angriffe
• Video Deepfakes: Gefälschte Video-Calls - erst 2024 erste große Vorfälle bekannt

KI-gestütztes Spear-Phishing — Forschungsdaten: Bereits 2016 demonstrierten Sicherheitsforscher (Seymour & Tully, Black Hat USA) eine KI-Software, die automatisch auf Tweets mit #PokemonGo reagierte und personalisierte Antworten mit Phishing-Links verfasste. Klickraten: 30–66% — deutlich über den 5–10% manueller Phishing-Kampagnen. Die Software wurde auf ca. 2 Millionen Tweets trainiert; Rechtschreibfehler störten nicht, da Social-Media-Sprache ohnehin informell ist. Für einen manuell erstellten Spear-Phishing-Angriff sind bis zu 10 Minuten Aufwand pro Ziel nötig — KI eliminiert diesen Flaschenhals vollständig.

Mit GPT-3 und nachfolgenden Modellen lassen sich fehlerfreie, kontextbezogene Phishing-Mails auf Abruf generieren — kombiniert mit großen Datenlecks (Name, E-Mail, Arbeitgeber, letzte Käufe) sind vollautomatisch personalisierte Massenkampagnen möglich.

Konsequenz: Security Awareness muss über "schau auf die Sprachqualität" hinausgehen. Prozesse und technische Kontrollen gewinnen an Bedeutung.

Incident-Response: Phishing-Mail geöffnet

Mitarbeiter hat auf Link geklickt und Credentials eingegeben:

Sofortmaßnahmen:

1. IT-Security informieren (gilt auch um 2 Uhr nachts!)
2. Passwort des betroffenen Accounts SOFORT ändern
3. Alle aktiven Sessions des Accounts beenden
4. MFA-Codes für den Account zurücksetzen
5. Andere Accounts mit gleichem Passwort prüfen und ändern

IT-Maßnahmen:

6. Login-History des Accounts prüfen (anomale Logins?)
7. Welche Daten hatte Account Zugang? (Scope einschätzen)
8. SIEM-Alert für Account-Aktivitäten der letzten 24h
9. Kontext prüfen: Anhang geöffnet? Malware-Scan!
10. Dokumentieren für Post-Incident-Review

Bekannte Phishing-Vorfälle und Fallstudien

GitLab interne Phishing-Simulation (2020)

GitLab führte eine interne Phishing-Simulation mit 50 Mitarbeitenden durch. Das Lockmittel: ein neues MacBook. Ergebnis: 17 von 50 klickten auf den Link (34%), 10 davon gaben anschließend ihre Zugangsdaten auf der gefälschten Website ein (20%), und nur 6 meldeten die E-Mail als verdächtig. Das Unternehmen verzichtete auf Strafen — Betroffene erhielten stattdessen Hinweise und Schulungsmaterial. GitLab hat dieses Ergebnis öffentlich gemacht, was für die Branche ungewöhnlich transparent ist.

Lehre: Auch technisch versierte Mitarbeitende in IT-Unternehmen sind nicht immun. Die Reporting Rate von 12% (6 von 50) liegt weit unter dem angestrebten Zielwert von 30%.

Energiepauschale-Phishing-Kampagnen (2022/2023)

Im Zuge der deutschen Energiepreispauschale 2022 wurden mindestens drei koordinierte Phishing-Kampagnen beobachtet:

1. Förderprogramm für Gaspreise: Fake-E-Mails verwiesen auf Websites, die ein angeblich staatliches Förderprogramm bewarben und Kreditkartennummern sowie Bankdaten abfragten. Die Bundesnetzagentur warnte explizit davor.
2. Sparkassen-Energiepauschale: Phishing-Mails mit täuschend echtem Sparkassen-Logo versprachen eine Energiepauschale von 500 €. Das Markenlogo erhöhte die Glaubwürdigkeit erheblich.
3. SMS vom Finanzministerium (Smishing): SMS mit bewusst ungenauen Beträgen ("224,25 € stehen für Sie bereit") erzeugten Seriosität durch scheinbare Präzision und verlinkten auf Phishing-Formulare.

Taktisches Muster: Angreifer greifen stets aktuelle Ereignisse auf, die viele Menschen betreffen und bei denen Geldzahlungen realistisch erscheinen (Pandemie-Hilfen, Energiepauschale, Steuerstattungen). Das Zeitfenster eines solchen "Themen-Phishings" ist kurz, aber die Klickraten sind besonders hoch.

Quishing an Parkautomaten (Austin, Texas, 2022)

Behörden in Austin, Texas, entdeckten manipulierte QR-Codes an öffentlichen Parkautomaten. Die Codes leiteten auf gefälschte Bezahlseiten um, die Kreditkartendaten abgriffen. Ob bestehende Codes überklebt oder die Automaten durch die Kriminellen nachgebaut wurden, blieb unklar (offizielle Stellungnahme der Stadt Austin). Der Vorfall demonstrierte erstmals im großen Stil, dass Quishing nicht nur digital funktioniert — physische Platzierung in einem logischen Kontext (Parkplatz, Restauranttisch, Ladekabel) erhöht die Glaubwürdigkeit erheblich.

Erpressungsmails mit echten Passwörtern (Sextortion, seit 2018)

Eine weit verbreitete Erpressungskampagne kombiniert Zugangsdaten aus alten Datenpannen mit falschen Behauptungen: Die E-Mail enthält ein echtes (oft veraltetes) Passwort des Empfängers als "Beweis" und droht, angebliche Webcam-Aufnahmen an Kontakte zu verschicken, wenn nicht innerhalb von 24 Stunden ~1.400 USD in Bitcoin gezahlt werden.

Die Zugangsdaten stammen aus Datenpannen, die teilweise über 10 Jahre zurückliegen. Zum Zeitpunkt der ersten großen Welle (2018/2019) waren über 293 dokumentierte Datenlecks mit teils 26+ Millionen Accounts öffentlich verfügbar (haveibeenpwned.com). Die Videoaufnahmen existieren nicht — der einzige "Beweis" ist das bekannte Passwort. Empfehlung: Das genannte Passwort sofort auf allen Diensten ändern, auf die Erpressung nicht eingehen, Anzeige erstatten.

Schadenstufen: Was passiert nach dem Öffnen einer Phishing-Mail?

Die Gefahr hängt davon ab, wie weit ein Nutzer in die Falle getappt ist:

Aktion	Risikostufe	Konsequenz
Mail geöffnet (kein Bild-Nachladen)	Minimal	Kaum Risiko — kein Datentransfer
Bilder nachgeladen	Niedrig	IP-Adresse, Mail-Client, Aufenthaltsort an Angreifer übermittelt. Adresse als "aktiv" markiert → mehr Phishing
Link angeklickt	Mittel	Angreifer kann JavaScript-Code ausführen; Antivirensoftware als Puffer
Anhang geöffnet	Hoch	Trojaner, Ransomware oder Keylogger möglich; Malware-Scan und ggf. Neuinstallation erforderlich
Credentials eingegeben	Kritisch	Vollständiger Account-Zugriff. Passwort sofort auf anderem Gerät ändern, alle Sessions beenden, andere Dienste mit gleichem Passwort prüfen

Die Sofortmaßnahmen bei Credential-Eingabe sind im Abschnitt Incident-Response beschrieben.

Fazit

Phishing bleibt der effektivste Angriffsvektor, weil er den Menschen ins Zentrum stellt - und Menschen irren. Eine wirksame Anti-Phishing-Strategie kombiniert technische Härtung (DMARC, phishing-resistente MFA, E-Mail-Gateway) mit einem kontinuierlichen Security-Awareness-Programm. Beides allein ist unzureichend - zusammen reduzieren sie das Risiko erheblich.