![Phishing-Angriffe sind eine Form von Angriffen, die über E-Mails, Textnachrichten, Telefonanrufe oder Websites durchgeführt werden.](https://info.scramble.cloud/wp-content/uploads/2024/03/1900x1080-1024x576.png)
Was ist Phishing?
Phishing-Angriffe sind eine Form von betrügerischen Angriffen, die über E-Mails, Textnachrichten, Telefonanrufe oder Websites durchgeführt werden. Ihr Ziel ist es, Menschen dazu zu verleiten, Malware herunterzuladen, vertrauliche Informationen preiszugeben oder andere Handlungen vorzunehmen, bei denen Sie selbst oder Ihr Unternehmen Cyberkriminalität ausgesetzt wird.
Erfolgreiche Phishing-Angriffe können zu Identitätsdiebstahl, Kreditkartenbetrug, Ransomware-Angriffen, Datenschutzverletzungen und erheblichen finanziellen Verlusten für Einzelpersonen und Unternehmen führen.
Social Engineering
Phishing ist eine häufige Methode des Social Engineering. Es geht in erster Linie darum, Menschen zu täuschen, um Informationen oder Vermögenswerte an die Angreifer weiterzugeben. Die Angreifer nutzen menschliches Versagen und Druckmethodiken aus, um erfolgreich zu sein. Dabei geben sie sich oft als vertrauenswürdige Personen oder Organisationen aus, wie Kollegen, Vorgesetzte oder Unternehmen, mit denen das Opfer Geschäfte tätigt. Sie erzeugen ein Gefühl der Dringlichkeit, das die Opfer zu überhasteten Handlungen verleitet. Hacker bevorzugen diese Methode, da es einfacher und kostengünstiger ist, Menschen zu täuschen, als in Computersysteme einzudringen.
Laut dem FBI sind Phishing-E-Mails der bevorzugte Angriffsvektor für Hacker, um Ransomware an Einzelpersonen und Unternehmen zu verbreiten. Nach einem Bericht von IBM über die Kosten von Datenschutzverletzungen, ist Phishing die viert häufigste und zweit teuerste Ursache von Datenschutzverletzungen und führt zu durchschnittlichen Verlusten von 4,65 Millionen US-Dollar pro Unternehmen.
Die gängigsten Arten von
Phishing-Angriffen
Massen-Phishing Mails:
Massen-Phishing-E-Mails sind die häufigste Form von Phishing-Angriffen. Dabei erstellt ein Betrüger eine E-Mail-Nachricht, die den Anschein erweckt, von einem großen, bekannten und seriösen Unternehmen oder einer Organisation zu stammen – sei es eine nationale oder globale Bank, ein großer Online-Händler, der Hersteller einer beliebten Softwareanwendung oder App – und versendet diese Nachricht an Millionen von Empfängern. Massen-Phishing per E-Mail ist ein Spiel der Zahlen: Je größer oder bekannter der vermeintliche Absender ist, desto mehr Empfänger sind wahrscheinlich Kunden, Abonnenten oder Mitglieder.
Die Phishing-E-Mail behandelt ein Thema, das glaubwürdig erscheinen könnte und auf starke Emotionen wie Angst, Gier, Neugier, ein Gefühl der Dringlichkeit oder Zeitdruck abzielt, um die Aufmerksamkeit des Empfängers zu erregen. Typische Betreffzeilen könnten lauten: „Bitte aktualisieren Sie Ihr Benutzerprofil“, „Problem mit Ihrer Bestellung“, „Ihre Abschlussdokumente liegen zur Unterschrift bereit“, „Ihre Rechnung ist angehängt“.
Im Hauptteil der E-Mail wird der Empfänger aufgefordert, eine Handlung auszuführen, die zwar vernünftig erscheint und zum Thema passt, jedoch dazu führt, dass der Empfänger sensible Daten preisgibt – wie Sozialversicherungsnummern, Bankkontonummern, Kreditkartennummern, Anmeldedaten – oder eine Datei herunterlädt, die das Gerät oder Netzwerk des Empfängers infiziert. Zum Beispiel könnte der Empfänger aufgefordert werden, „auf diesen Link zu klicken, um Ihr Profil zu aktualisieren“, doch führt der Link zu einer gefälschten Website, auf der er seine tatsächlichen Anmeldedaten eingibt, während er glaubt, sein Profil zu aktualisieren. Oder er wird aufgefordert, einen Anhang zu öffnen, der legitim erscheint, allerdings Malware oder bösartigen Code auf das Gerät oder Netzwerk des Empfängers überträgt.
Spear-Phishing Mails:
Spear-Phishing ist ein Phishing-Angriff, der sich auf eine spezifische Person konzentriert – in der Regel eine Person mit privilegiertem Zugang zu sensiblen Daten oder Netzwerkressourcen oder mit besonderen Befugnissen, die der Betrüger für betrügerische oder schädliche Zwecke ausnutzen kann.
Ein Spear-Phisher untersucht die Zielperson, um Informationen zu sammeln, die erforderlich sind, um sich als eine Person oder Organisation auszugeben, der die Zielperson tatsächlich vertraut – sei es ein Freund, ein Vorgesetzter, ein Kollege, ein Mitarbeiter oder ein vertrauenswürdiger Anbieter oder ein Finanzinstitut – oder um sich als die Zielperson selbst auszugeben. Social-Media-Plattformen und soziale Netzwerke sind eine reichhaltige Quelle für Spear-Phishing-Recherchen, da sie häufig öffentliche Informationen über Mitarbeiter, Empfehlungen für Kollegen und Lieferanten sowie Details zu Meetings, Veranstaltungen oder Reiseplänen preisgeben.
Mit diesen Informationen kann der Spear-Phisher eine Nachricht mit spezifischen persönlichen oder finanziellen Daten und einer glaubwürdigen Bitte an die Zielperson senden
SMS-Phishing
SMS-Phishing oder Smishing bezeichnet Phishing mit Textnachrichten, die von Handys oder Smartphones versendet werden. Die wirkungsvollsten Smishing-Methoden sind kontextabhängig, das heißt, sie beziehen sich auf die Verwaltung von Smartphone-Konten oder auf Apps. Empfänger können beispielsweise eine Textnachricht erhalten, in der ein Geschenk als „Dankeschön“ für die Bezahlung einer Mobilfunkrechnung angeboten wird, oder sie werden aufgefordert, ihre Kreditkarteninformationen zu aktualisieren, um einen Streaming-Dienst weiterhin nutzen zu können.
Voice-Phishing
Voice Phishing oder Vishing ist Phishing per Telefonanruf. Durch die Voice-over-IP (VoIP)-Technologie können Betrüger täglich Millionen automatisierter Vishing-Anrufe tätigen. Oft nutzen sie Anrufer-ID-Spoofing, um ihre Anrufe so aussehen zu lassen, als kämen sie von seriösen Unternehmen oder lokalen Telefonnummern. Vishing-Anrufe erschrecken Empfänger in der Regel mit Warnungen vor Problemen bei der Kreditkartenabwicklung, überfälligen Zahlungen oder Problemen mit dem Finanzamt. Anrufer, die darauf reagieren, geben am Ende sensible Daten an Personen weiter, die für die Betrüger arbeiten. Manche gewähren den Betrügern am anderen Ende des Telefonats sogar die Kontrolle über ihren Computer.
Social-Media-Phishing
Social-Media-Phishing nutzt verschiedene Funktionen von Social-Media-Plattformen, um an vertrauliche Informationen von Mitgliedern zu gelangen. Betrüger nutzen die eigenen Nachrichtenfunktionen der Plattformen – wie Facebook Messenger, LinkedIn Messaging oder InMail, Twitter DMs – ähnlich wie normale E-Mails und Textnachrichten. Sie senden den Nutzern auch Phishing-E-Mails, die den Anschein erwecken, von der Social-Networking-Website zu stammen, und fordern die Empfänger auf, ihre Anmeldedaten oder Zahlungsinformationen zu aktualisieren. Diese Angriffe können besonders kostspielig für Opfer sein, die dieselben Anmeldedaten auf mehreren Social-Media-Websites verwenden
In-App-Messaging
Anwendung oder In-App-Messaging. Beliebte Smartphone-Apps und webbasierte Anwendungen (Software-as-a-Service oder SaaS) senden ihren Nutzern regelmäßig E-Mails. Daher sind diese Nutzer besonders anfällig für Phishing-Kampagnen, die E-Mails von App- oder Software-Anbietern vortäuschen. Auch hier spielen die Betrüger mit Zahlen und fälschen in der Regel E-Mails von den beliebtesten Anwendungen und Webapplikationen, wie z. B. PayPal, Microsoft Office 365 oder Teams, um das meiste Geld für ihre Phishing-Aktionen zu erzielen.
Schutz vor Phishing
Schulungen:
Benutzerschulung und bewährte Verfahren sind entscheidend, um Unternehmen gegen Phishing-Betrügereien zu schützen. Es ist wichtig, den Benutzern beizubringen, wie sie Phishing-Angriffe erkennen können, und bewährte Praktiken für den Umgang mit verdächtigen E-Mails und Textnachrichten zu entwickeln. Dazu gehört die Schulung der Benutzer in der Erkennung von charakteristischen Merkmalen von Phishing-E-Mails:
- Anfragen nach sensiblen oder persönlichen Informationen oder zur Aktualisierung von Profil- oder Zahlungsinformationen
- Aufforderungen zum Senden oder Verschieben von Geld
- Dateianhänge, die der Empfänger nicht angefordert oder erwartet hat
- Ein Gefühl der Dringlichkeit, sei es unverhohlen („Ihr Konto wird heute geschlossen…“) oder subtil (z. B. die Aufforderung eines Kollegen, eine Rechnung sofort zu bezahlen), sowie Androhungen von Haftstrafen oder anderen unrealistischen Konsequenzen
- Schlechte Schreibweise oder Grammatik
- Widersprüchliche oder gefälschte Absenderadressen
- Mit Bitly oder einem anderen Link-Verkürzungsdienst gekürzte Links
- Bilder von Text, die anstelle von Text verwendet werden (in Nachrichten oder auf Webseiten, auf die in Nachrichten verwiesen wird)
Dies ist nur eine unvollständige Liste; Hacker entwickeln immer neue Phishing-Techniken, um nicht entdeckt zu werden. Veröffentlichungen wie der vierteljährliche Phishing Trends Activity Report der Anti-Phishing Working Group können Unternehmen dabei helfen, Schritt zu halten.
Unternehmen können auch bewährte Praktiken fördern oder durchsetzen, die den Druck auf die Mitarbeiter verringern, sich als Phishing-Detektive zu betätigen. Dazu gehören klare Richtlinien, wie z. B. dass ein Vorgesetzter oder Kollege niemals eine E-Mail mit der Bitte um eine Überweisung senden wird. Mitarbeiter können auch angewiesen werden, jede Anfrage nach persönlichen oder sensiblen Informationen zu überprüfen, indem sie den Absender kontaktieren oder die rechtmäßige Website des Absenders direkt besuchen, und zwar mit anderen Mitteln als denen, die in der Nachricht angegeben sind. Außerdem können Mitarbeiter dazu angehalten werden, Phishing-Versuche und verdächtige E-Mails an die IT- oder Sicherheitsabteilung zu melden.
Technologie:
Trotz der besten Benutzerschulung und strenger Best Practices machen Benutzer immer noch Fehler. Glücklicherweise können verschiedene etablierte und neue Sicherheitstechnologien Sicherheitsteams dabei helfen, den Kampf gegen Phishing dort aufzunehmen, wo Schulung und Richtlinien aufhören.
- Spam-Filter identifizieren verdächtige Phishing-E-Mails (und andere Spam-Mails) und verschieben sie in einen separaten Ordner, während sie alle enthaltenen Links deaktivieren.
- Antiviren- und Anti-Malware-Software erkennt und neutralisiert bösartige Dateien oder Code in Phishing-E-Mails.
- Die Multi-Faktor-Authentifizierung erfordert neben Benutzername und Kennwort mindestens einen weiteren Anmeldeindikator, z. B. einen einmaligen Code, der an das Mobiltelefon des Benutzers gesendet wird. Dies bietet eine zusätzliche Verteidigungslinie gegen Phishing-Angriffe oder andere Angriffe, die erfolgreich Passwörter kompromittieren.
- Webfilter verhindern den Zugriff auf bekannte bösartige Websites und zeigen Warnungen an, wenn Benutzer mutmaßlich bösartige oder gefälschte Websites besuchen.
Sie möchten eine unverbindliche Beratung?
Scramble Cloud
Für Teams, Arbeitsdateien, Backups, Bilder, Videos,
Familienerinnerungen und mehr. Sichern Sie Ihre Dateien
verschlüsselt mit dem Cloud-Speicher von Scramble.
© Copyright 2024 Scramble Cloud – Ende-zu-Ende verschlüsselter Cloud-Speicher・All rights reserved・Return to Top