Was ist Phishing?

Massen-Phishing Mails:

Massen-Phishing-E-Mails sind die häufigste Form von Phishing-Angriffen. Dabei erstellt ein Betrüger eine E-Mail-Nachricht, die den Anschein erweckt, von einem großen, bekannten und seriösen Unternehmen oder einer Organisation zu stammen – sei es eine nationale oder globale Bank, ein großer Online-Händler, der Hersteller einer beliebten Softwareanwendung oder App – und versendet diese Nachricht an Millionen von Empfängern. Massen-Phishing per E-Mail ist ein Spiel der Zahlen: Je größer oder bekannter der vermeintliche Absender ist, desto mehr Empfänger sind wahrscheinlich Kunden, Abonnenten oder Mitglieder.

Die Phishing-E-Mail behandelt ein Thema, das glaubwürdig erscheinen könnte und auf starke Emotionen wie Angst, Gier, Neugier, ein Gefühl der Dringlichkeit oder Zeitdruck abzielt, um die Aufmerksamkeit des Empfängers zu erregen. Typische Betreffzeilen könnten lauten: „Bitte aktualisieren Sie Ihr Benutzerprofil“, „Problem mit Ihrer Bestellung“, „Ihre Abschlussdokumente liegen zur Unterschrift bereit“, „Ihre Rechnung ist angehängt“.

Im Hauptteil der E-Mail wird der Empfänger aufgefordert, eine Handlung auszuführen, die zwar vernünftig erscheint und zum Thema passt, jedoch dazu führt, dass der Empfänger sensible Daten preisgibt – wie Sozialversicherungsnummern, Bankkontonummern, Kreditkartennummern, Anmeldedaten – oder eine Datei herunterlädt, die das Gerät oder Netzwerk des Empfängers infiziert. Zum Beispiel könnte der Empfänger aufgefordert werden, „auf diesen Link zu klicken, um Ihr Profil zu aktualisieren“, doch führt der Link zu einer gefälschten Website, auf der er seine tatsächlichen Anmeldedaten eingibt, während er glaubt, sein Profil zu aktualisieren. Oder er wird aufgefordert, einen Anhang zu öffnen, der legitim erscheint, allerdings Malware oder bösartigen Code auf das Gerät oder Netzwerk des Empfängers überträgt.

SMS-Phishing

SMS-Phishing oder Smishing bezeichnet Phishing mit Textnachrichten, die von Handys oder Smartphones versendet werden. Die wirkungsvollsten Smishing-Methoden sind kontextabhängig, das heißt, sie beziehen sich auf die Verwaltung von Smartphone-Konten oder auf Apps. Empfänger können beispielsweise eine Textnachricht erhalten, in der ein Geschenk als „Dankeschön“ für die Bezahlung einer Mobilfunkrechnung angeboten wird, oder sie werden aufgefordert, ihre Kreditkarteninformationen zu aktualisieren, um einen Streaming-Dienst weiterhin nutzen zu können.

Voice-Phishing

Voice Phishing oder Vishing ist Phishing per Telefonanruf. Durch die Voice-over-IP (VoIP)-Technologie können Betrüger täglich Millionen automatisierter Vishing-Anrufe tätigen. Oft nutzen sie Anrufer-ID-Spoofing, um ihre Anrufe so aussehen zu lassen, als kämen sie von seriösen Unternehmen oder lokalen Telefonnummern. Vishing-Anrufe erschrecken Empfänger in der Regel mit Warnungen vor Problemen bei der Kreditkartenabwicklung, überfälligen Zahlungen oder Problemen mit dem Finanzamt. Anrufer, die darauf reagieren, geben am Ende sensible Daten an Personen weiter, die für die Betrüger arbeiten. Manche gewähren den Betrügern am anderen Ende des Telefonats sogar die Kontrolle über ihren Computer.

Social-Media-Phishing

Social-Media-Phishing nutzt verschiedene Funktionen von Social-Media-Plattformen, um an vertrauliche Informationen von Mitgliedern zu gelangen. Betrüger nutzen die eigenen Nachrichtenfunktionen der Plattformen – wie Facebook Messenger, LinkedIn Messaging oder InMail, Twitter DMs – ähnlich wie normale E-Mails und Textnachrichten. Sie senden den Nutzern auch Phishing-E-Mails, die den Anschein erwecken, von der Social-Networking-Website zu stammen, und fordern die Empfänger auf, ihre Anmeldedaten oder Zahlungsinformationen zu aktualisieren. Diese Angriffe können besonders kostspielig für Opfer sein, die dieselben Anmeldedaten auf mehreren Social-Media-Websites verwenden

Schulungen:

Benutzerschulung und bewährte Verfahren sind entscheidend, um Unternehmen gegen Phishing-Betrügereien zu schützen. Es ist wichtig, den Benutzern beizubringen, wie sie Phishing-Angriffe erkennen können, und bewährte Praktiken für den Umgang mit verdächtigen E-Mails und Textnachrichten zu entwickeln. Dazu gehört die Schulung der Benutzer in der Erkennung von charakteristischen Merkmalen von Phishing-E-Mails:

• Anfragen nach sensiblen oder persönlichen Informationen oder zur Aktualisierung von Profil- oder Zahlungsinformationen
• Aufforderungen zum Senden oder Verschieben von Geld
• Dateianhänge, die der Empfänger nicht angefordert oder erwartet hat
• Ein Gefühl der Dringlichkeit, sei es unverhohlen („Ihr Konto wird heute geschlossen…“) oder subtil (z. B. die Aufforderung eines Kollegen, eine Rechnung sofort zu bezahlen), sowie Androhungen von Haftstrafen oder anderen unrealistischen Konsequenzen
• Schlechte Schreibweise oder Grammatik
• Widersprüchliche oder gefälschte Absenderadressen
• Mit Bitly oder einem anderen Link-Verkürzungsdienst gekürzte Links
• Bilder von Text, die anstelle von Text verwendet werden (in Nachrichten oder auf Webseiten, auf die in Nachrichten verwiesen wird)

Dies ist nur eine unvollständige Liste; Hacker entwickeln immer neue Phishing-Techniken, um nicht entdeckt zu werden. Veröffentlichungen wie der vierteljährliche Phishing Trends Activity Report der Anti-Phishing Working Group können Unternehmen dabei helfen, Schritt zu halten.

Unternehmen können auch bewährte Praktiken fördern oder durchsetzen, die den Druck auf die Mitarbeiter verringern, sich als Phishing-Detektive zu betätigen. Dazu gehören klare Richtlinien, wie z. B. dass ein Vorgesetzter oder Kollege niemals eine E-Mail mit der Bitte um eine Überweisung senden wird. Mitarbeiter können auch angewiesen werden, jede Anfrage nach persönlichen oder sensiblen Informationen zu überprüfen, indem sie den Absender kontaktieren oder die rechtmäßige Website des Absenders direkt besuchen, und zwar mit anderen Mitteln als denen, die in der Nachricht angegeben sind. Außerdem können Mitarbeiter dazu angehalten werden, Phishing-Versuche und verdächtige E-Mails an die IT- oder Sicherheitsabteilung zu melden.

Technologie:

Trotz der besten Benutzerschulung und strenger Best Practices machen Benutzer immer noch Fehler. Glücklicherweise können verschiedene etablierte und neue Sicherheitstechnologien Sicherheitsteams dabei helfen, den Kampf gegen Phishing dort aufzunehmen, wo Schulung und Richtlinien aufhören.

• Spam-Filter identifizieren verdächtige Phishing-E-Mails (und andere Spam-Mails) und verschieben sie in einen separaten Ordner, während sie alle enthaltenen Links deaktivieren.
• Antiviren- und Anti-Malware-Software erkennt und neutralisiert bösartige Dateien oder Code in Phishing-E-Mails.
• Die Multi-Faktor-Authentifizierung erfordert neben Benutzername und Kennwort mindestens einen weiteren Anmeldeindikator, z. B. einen einmaligen Code, der an das Mobiltelefon des Benutzers gesendet wird. Dies bietet eine zusätzliche Verteidigungslinie gegen Phishing-Angriffe oder andere Angriffe, die erfolgreich Passwörter kompromittieren.
• Webfilter verhindern den Zugriff auf bekannte bösartige Websites und zeigen Warnungen an, wenn Benutzer mutmaßlich bösartige oder gefälschte Websites besuchen.