Phishing

Unter dem Begriff Phishing (Neologismus und Kompositum von „fishing“, engl. für „angeln“ und „phreaking“ für „hacken“) versteht man Täuschungsversuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Ziel des Betrugs ist es, z. B. an persönliche Daten eines Internet-Benutzers zu gelangen, etwa ihn zur Ausführung einer schädlichen Aktion wie das Anmelden bei einem gefälschten / nachgebauten Webauftritt zu bewegen, um die Zugangsdaten wie das Passwort und den Benutzernamen und gegebenenfalls auch einen 2. Faktor für die 2-Faktor-Identifizierung zu erschleichen. In der Folge werden dann beispielsweise Kontoplünderungen begangen, Bestellungen mit der Unterschlagung von Konsumgütern und der Verkauf dieser an Dritte getätigt, ein weitergehender Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird. Das englische Kunstwort verbildlicht das Angeln nach Passwörtern mit Ködern. Die Schreibweise mit Ph- entstammt dem Hacker-Jargon (vgl. auch Phreaking).

Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Um keinen Verdacht zu erregen, wird das Corporate Design der betroffenen Stelle nachgeahmt, so werden etwa dieselben Firmenlogos, Schriftarten und Layouts verwendet. Der Benutzer wird dann auf einer solchen gefälschten Seite etwa dazu aufgefordert, in ein Formular die Anmelde-Daten oder auch Transaktionsnummern für sein Onlinebanking einzugeben. Diese Daten werden dann an den Betrüger weitergeleitet und dazu missbraucht, das Konto zu plündern.

Phishing-Nachrichten werden meist per E-Mail oder Instant-Messaging versandt und fordern den Empfänger auf, auf einer präparierten Webseite oder am Telefon geheime Zugangsdaten preiszugeben. Versuche, der wachsenden Anzahl an Phishing-Versuchen Herr zu werden, setzen unter anderem auf geänderte Rechtsprechung, Anwendertraining und technische Hilfsmittel.

Der erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 in der Usenet-Newsgroup alt.online-service.america-online statt, der Begriff Phishing tauchte jedoch möglicherweise bereits zuvor in der Druckausgabe des Hacker-Magazins 2600 auf.

1. ↑ Search 'phishing' on etymonline. Abgerufen am 5. Juni 2025 (amerikanisches Englisch). 
2. ↑ Social Engineering – der Mensch als Schwachstelle. Abgerufen am 10. März 2022. 
3. ↑ Spam Slayer: Do You Speak Spam? (Memento vom 30. September 2007 im Internet Archive) PCWorld.com, abgerufen am 16. August 2006
4. ↑ A. Mitchell: A Leet Primer (Memento vom 7. September 2019 im Internet Archive). In: TechNewsWorld, 12. Juli 2005
5. ↑ Da Chronic episode : AOLUnderground auf reddit.com
6. ↑ Collins English Dictionary – Complete & Unabridged. 10. Auflage. HarperCollins, 2009 (Online-Zitat auf Dictionary.com). 
7. ↑ Phishing. In: duden.de. Bibliographisches Institut, abgerufen am 27. Juni 2014. 
8. ↑ K. Tan: Phishing and Spamming via IM (SPIM). Internet Storm Center; abgerufen am 5. Dezember 2006
9. ↑ E. Skoudis: Phone phishing: The role of VoIP in phishing attacks. In: searchSecurity, 13. Juni 2006
10. ↑ phish, v., OED Online, March 2006, Oxford University Press. Oxford English Dictionary Online Ausgewertet am 9. August 2006
11. ↑ G. Ollmann: The Phishing Guide: Understanding and Preventing Phishing Attacks. Technical Info. Ausgewertet am 10. Juli 2006