Phishing ist ein Kunstwort aus dem Englischen, abgeleitet von den  Begriffen password harvesting (Passwortsammeln) und fishing (Angeln). Im Rahmen des Phishing's versuchen Cyberkriminelle über mit Schadsoftware (Malware), präparierte Webseiten (Drive-by-Infection) oder gezielte Manipulations-Nachrichten via E-Mail oder Messenger (Spear-Attacks) an Informationen und vor allem digitale Identitäten zu gelangen.

Digitale Identitäten umfassen Onlinekonten oder relevante digitale Zahlungsinformationen. Dazu zählen persönliche Zugangsdaten zu E-Mail- und Messengerdiensten, E-Commerce-Daten (für Onlinebanking, zu Onlinemärkten, Handelsplattformen, Reiseportale etc.), arbeitsspezifische Informationen (z.B. für den Zugriff zu betriebsinternen Daten und Applikationen), E-Government-Zugangsdaten (z.B. für die elektronische Steuererklärungen), Cloud-Computing- und Cloud-Speicher-Daten, Kreditkarteninformationen und Zahlungsadressen.

Die erlangten Informationen nutzen Cyberkriminelle, um an weitere Daten zu gelangen, um beispielsweise auf Kosten ihrer Opfer "einzukaufen" oder um ihre Opfer (teilweise gezielt) zu schädigen.

Durch aktuell gehaltene Betriebssysteme und Software, die Nutzung von Antiviren- und anderen Schutzprogrammen, einer misstrauischen Haltung gegenüber kostenfreien oder besonders günstigen Angeboten, einem restriktiven Umgang mit der Weitergabe persönlicher Daten sowie die Vermeidung unseriöser Webseiten, einem Nicht-Anklicken von "Lockangeboten", die Nutzung von effektiven Passwörtern und weitere (oft einfache) Maßnahmen kann man sich gut vor Identitätsdiebstahl schützen.

Mehr Informationen zum Schutz vor Identitätsdiebstahl (Phishing): Bundeskriminalamt ➔ / BSI ➔

Datendiebstähle durch Social Engineering bauen darauf auf, dass der Nutzer selbst (wie oft bei Cyberkriminalität) das schwächste Glied ist. Mittels geschickter (psychologischer) Manipulation werden Opfer von Social-Engineering-Angriffen dazu gebracht, ihre eigene digitale Sicherheit zu verletzen und Daten und Informationen preiszugeben. Dabei nutzen Cyberkriminelle geschickt menschliche Faktoren wie Neugier, Angst, Gier, Geiz, Faulheit oder Gewohnheiten und Bedürfnisse aus. Opfer können durch Angaben in sozialen Netzwerken und Messenger-Diensten gefunden oder gezielt identifiziert und unkompliziert kontaktiert werden.

Social-Engineering-Angriffe erfolgen über unterschiedliche Wege. Bei interessanten Zielen wie Führungspersonen, bekannten Persönlichkeiten, wichtigen Informationsträgern oder strategischen Zugangspersonen (je nach Zielwert) werden dabei aufwendige und mitunter schwer zu durchschauende Methoden angewendet, die aus der digitalen Welt bis in das echte Leben reichen können. Zu den einfachen und gängigen Vorgehen zählen der Versand von Nachrichten per E-Mail oder in Form von Messenger-Nachrichten (durchaus von bekannten Absendern), mit geschickten Texten, welche zur Preisgabe bestimmter Informationen führen sollen oder mit als Anhängen getarnte Schadsoftware. Andere Methoden sind bestimmte online Hilfsangebote oder vermeintlich freie telefonische Supportdienste, um dabei besonders einfach Computer gezielt zu infizieren.

Eine prinzipielle Ablehnung von Gratisangeboten oder übertrieben günstigen Angeboten sowie ein gesunder Menschenverstand, der davor schützen sollte, auf besonders verlockende Angebote hereinzufallen, sind einfache Methoden zum Schutz vor Social-Engineering-Angriffen.

Bei der digitalen Erpressung mit Hilfe von Krypto-Trojanern (Ransomware) wird Schadsoftware zur Anwendung gebracht, welche Daten auf einem Computer, Server oder in ganzen Netzwerken verschlüsselen (kriminelle Verschlüsselung). Nach einer kriminellen Verschlüsselung können Nutzer plötzlich auf ihre eigenen Daten nicht mehr zugreifen, mitunter funktionieren einzelne Anwendungen oder ganze Systeme nicht mehr. Zur (angeblichen) Freigabe der Daten (Entschlüsselung) verlangen Erpresser ein Lösegeld, selten auch eine bestimmte Handlung. Um seitens der Erpresser möglichst anonym zu bleiben, verlangen diese das Lösegeld häufig in Form digitaler Währungen (z.B. Bitcoins).

Um sich vor digitaler Erpressung zu schützen, gilt es die Einschleusung und Ausführung von Schadsoftware in Form von Verschlüsselungstrojanern zu vermeiden. Wie bei fast jeder Internetkriminalität, ist der Nutzer die häufigste Schwachstelle. Besonders beliebt sind die Einschleusung und Aktivierung von Schadsoftware über Anhänge in E-Mails und Nachrichten. Öffnen Nutzer ohne zu überlegen Anhänge, ist es nur eine Frage der Zeit bis irgendwann eine Infizierung mittels Schadsoftware stattfindet. Hier helfen daher nur eine Nutzersensibilisierung und als zusätzliche Unterstützung Schutzprogramme, welche etwa den Empfang bestimmter Anhänge gar nicht erst gestatten. Andere Infektionsmöglichkeiten sind sog. Drive-by-Infections, hierbei handelt es sich um speziell präparierte Webseiten, bei deren Besuch Schadsoftware "vom Nutzer unbemerkt" heruntergeladen und installiert wird. Unbekannte oder vorhersehbar gefährliche Seiten sollten daher allgemein gemieden werden. Alle Seiten mit verlockenden Angeboten sollte mit Vorsicht und Vorbehalt begegnet werden. Der wichtigste Schutz vor digitaler Erpressung durch kriminelle Datenverschlüsselung ist gleichzeitig sehr einfach, nämlich Backups zu haben. So können bei einem Datenverlust Daten wieder hergestellt werden, wodurch sich der Schaden in Grenzen hält.