Was ist Phishing? Definition, Erklärung und 5 Beispiele
Was ist Phishing?
Unter Phishing versteht man den Versuch, persönliche Daten oder andere private Informationen einer anderen Person auf betrügerische Weise zu erhalten. Bei Phishing handelt es sich wahrscheinlich um die häufigste Form des Internet-Betrugs. In der Regel handelt es sich dabei um betrügerische E-Mails oder Webseiten, die potenzielle Opfer dazu verleiten sollen, ihre sensiblen Informationen mit dem Betrüger zu teilen. Anstatt die Informationen, die die Täter verlangen selbst zu verwenden, verkaufen viele Betrüger sie im dunklen Netz, hauptsächlich an Hacker und Cyberkriminelle, die auf Identitätsdiebstahl spezialisiert sind.
Mit den Fortschritten in der Cybersicherheit sind viele Cyberbedrohungen gekommen und verschwunden, aber das Phishing ist nach wie vor stark. Der Hauptgrund, warum Phishing-Angriffe so häufig sind, ist der Einsatz von Fälschungs-, Manipulations- und Social-Engineering-Methoden, um potenzielle Opfer zu täuschen. In der Regel werden Phishing-E-Mails als dringende (wenn auch gefälschte) Benachrichtigungen von Internetanbietern, digitalen Geldbörsen, Finanzinstituten und anderen Organisationen geschrieben. Darüber hinaus enthalten viele von ihnen Logos und andere offizielle Bilder.
Die Betrüger, die für diese Angriffe verantwortlich sind, fordern die potenziellen Opfer dazu auf, wichtige Informationen zur Verfügung zu stellen – sei es die Sozialversicherungsnummer, die Kreditkartendaten oder die Anmeldedaten. Um ihrer Botschaft ein Gefühl der Dringlichkeit zu verleihen, bieten sie einen wichtigen Grund, warum das Opfer dies tun sollte. Zum Beispiel könnten sie den Zugriff auf ihr Bankkonto verlieren oder sie werden von einem ihrer Social-Media-Profilen gesperrt, wenn sie die
angeforderten Informationen nicht innerhalb des angegebenen Zeitraums bereitstellen.
Um die Informationen zu sammeln, die sie benötigen, erstellen Phisher gefälschte Webseiten, die genau wie die echten aussehen. Außerdem haben sie sehr ähnliche URLs, die es den Opfern noch schwerer machen, die Fälschung zu erkennen. Jüngsten Statistiken zufolge werden jeden Monat mehr als 1,5 Millionen neue Phishing-Seiten mit einer durchschnittlichen Lebensdauer von drei bis fünf Tagen pro Seite erstellt. Das sind täglich fast 50.000 neue Seiten. Daher ist es keine Überraschung, dass Phishing die Hauptursache für Datenverletzungen auf der ganzen Welt ist.
Welche Arten von Phishing gibt es?
Es gibt verschiedene Arten von Phishing-Betrügereien, von denen einige nur per Telefon (d. H. Voice Phishing oder Vishing) oder Textnachrichten (d. H. SMS Phishing oder SMiShing) möglich sind. Zu den fünf häufigsten Arten von Online-Phishing-Betrug gehören:
1. Spray-and-Pray-Phishing
Im Allgemeinen ist dies als täuschendes Phishing bekannt und wird als Spray und Pray bezeichnet. Es ist die älteste und primitivste Art des Online-Phishing. Phisher verwenden diese Technik, um eine Reihe von E-Mails mit dem Betreff “dringend” zu versenden, in denen sie das potenzielle Opfer auffordern, sein PayPal-Passwort zu aktualisieren oder seine Daten einzugeben, um seinen Lottogewinn zu erlangen. Diese E-Mails enthalten normalerweise Links zu gefälschten Anmeldeseiten. Wenn ein Opfer seine persönlichen Daten in diese gefälschten Formulare eingibt, werden diese sofort auf einem Remote-Server gespeichert, auf den der Phisher Zugriff hat.
2. Spear-Phishing
Spear-Phishing ist aus weitaus komplexer und raffinierter gestaltet, da es personalisierter ist. Anstatt eine allgemeine Nachricht zu senden, richten sich Phisher an bestimmte Organisationen, Gruppen oder sogar an Einzelpersonen mit dem Ziel, ihre persönlichen Informationen zu erhalten. Sie sammeln Namen, E-Mail-Adressen und andere persönliche Informationen von Netzwerkseiten wie LinkedIn oder gehackten E-Mail-Einträgen.
Diese Art von Phishing richtet sich in erster Linie an Unternehmen und Organisationen. Daher unterscheiden sich Spear-Phishing-E-Mails von täuschenden E-Mails. Obwohl sie ein ähnliches Layout aufweisen, enthalten Spear-Phishing-E-Mails in der Regel falsche Rückfragen oder Rechnungen von Geschäftspartnern. Phisher behaupten, dass sie ein wichtiges Dokument angehängt haben und fordern das Opfer auf, es auf ihrem Computer herunterzuladen. Wenn dies der Fall ist, wird schädliche Software installiert, die ihre Aktivitäten ausspioniert und ihre persönlichen Informationen sammelt.
3. CEO-Phishing
CEO-Phishing ist eine sehr ausgefeilte Form des Online-Betrugs, die für den dahintersteckenden Phisher sehr zeitaufwändig sein kann. Dabei handelt es sich um Cyberkriminelle, die auf Mitarbeiter in Personalabteilungen oder in Finanzabteilungen einer Organisation abzielen und entweder als CEO des Unternehmens oder einer anderen Führungskraft auf hoher Ebene agieren. Sie tauschen mehrere Nachrichten mit dem Opfer aus, um Vertrauen aufzubauen.
Nach einiger Zeit fragt der Phisher plötzlich sein Ziel, ihm die persönlichen Informationen der Mitarbeiter zu übermitteln oder öfter Geld auf ein von ihnen angegebenes Konto zu überweisen. In den meisten Fällen werden sie sagen, dass sie die Mittel für einen neuen Vertrag benötigen und behaupten, dass die Überweisung sehr dringend ist. So unerhört sich das auch anhört, so haben Unternehmen auf der ganzen Welt bis zu fünf Milliarden Dollar durch das Phishing von CEOs verloren.
4. File-Hosting-Phishing
Viele Leute nutzen Online-Hosting-Dienste wie Dropbox und Google Drive, um ihre Dateien zu sichern, um sie leicht zugänglich zu machen und zu teilen. Phisher sind sich dessen bewusst, weshalb es unzählige Versuche gab, die Zugangsdaten ihrer Opfer zu beeinträchtigen. Das Layout des Betrugs gleicht im Wesentlichen dem täuschenden Phishing, da es sich um gefälschte Anmeldeseiten handelt. Anstatt nach etwas Bestimmtem zu suchen, möchten Hacker jedoch auf den Online-Dateispeicherplatz ihrer Opfer zugreifen, um wertvolle Informationen zu sammeln, die sie dort finden können.
5. Cryptocurrency-Phishing
Phishing für Kryptowährung ist eine relativ neue Form des Online-Betrugs. Um dies in Gang zu setzen, erstellen Hacker gefälschte Anmeldeseiten für Cryptocurrency-Webseiten. Wenn ahnungslose Benutzer ihre Anmeldeinformationen über diese gefälschten Seiten eingeben, erhalten die Hacker sofort Zugriff auf die digitalen Konten ihrer Opfer und können innerhalb weniger Sekunden Geld abheben. Bisher gab es nur einen einzigen großen Phishing-Angriff auf die Kryptowährung. Da die digitale Währung jedoch zunimmt, ist davon auszugehen, dass es in Zukunft mehr davon geben wird.
Beispiele für Phishing-Angriffe
Zu den schlimmsten Phishing-Angriffen der letzten Jahre gehören Folgende:
Ende 2014 nutzten Hacker Spear-Phishing-E-Mails, um die Apple-IDs zahlreicher Mitarbeiter von Sony Pictures zu sammeln. Unter der Annahme, dass die meisten Mitarbeiter dasselbe Kennwort für mehrere Online-Konten verwendeten, verwendeten die Hacker diese Anmeldeinformationen, um sich bei ihren geschäftlichen E-Mails anzumelden. Es gelang ihnen bei ihrer Mission, Tausende von persönlichen E-Mails und anderen vertraulichen Dokumenten freizugeben, was zu einem großen Mediensturm in Hollywood führte.
In den Jahren 2014 und 2015 haben es Hacker auf Anthem abgezielt, eine US-amerikanische Krankenversicherung. Sie haben Phishing-E-Mails verwendet, um die Computer von fünf Mitarbeitern mit Keyloggern zu infizieren, einer Art von Spyware, die ihre Tastatureingaben aufzeichnet. Dies ermöglichte es Hackern, fast 80 Millionen medizinische Aufzeichnungen von Anthem-Servern zu stehlen, die alle die Sozialversicherungsnummern der Patienten enthielten.
Im Jahr 2017 schickte eine Gruppe von Hackern Phishing-E-Mails an die Angestellten von drei großen Restaurantketten in den USA – Chipotle, Arby’s und Chili’s. An die E-Mails wurde schädliche Software angehängt, die auf den Zielcomputern installiert wurden und den Hackern Zugriff auf die internen Netzwerke dieser Unternehmen gewährte. Mit dieser Software gelang es den Hackern, mehr als 15 Millionen Kreditkartenaufzeichnungen von Kunden dieser drei Ketten zu stehlen.
So schützen Sie sich vor Phishing
Wie bei allen anderen Arten von Cyber-Bedrohungen ist der beste Weg, um sicher zu bleiben sich verantwortungsbewusste Surfgewohnheiten anzugewöhnen und die beste Anti-Phishing Software zu verwenden. Gute Gewohnheiten beim Surfen im Internet sind besonders wichtig, da einige Arten von Phishing-E-Mails Ihre Daten stehlen und Ihre bevorzugte Cybersecurity-Software umgehen können.
Sie sollten niemals persönliche Informationen (z. B. Kreditkarteninformationen, Anmeldedaten oder Sozialversicherungsnummern) in E-Mails oder Sofortnachrichten preisgeben. Wenn Ihre E-Mail-, Online-Banking-, Digital-Wallet- oder Web-Shopping-Anmeldeseite anders aussieht als zuvor, überprüfen Sie den Text auf der Seite auf Rechtschreib- und Grammatikfehler, die in der Regel das Zeichen einer gefälschten Website sind. Suchen Sie immer nach einem “https” -Präfix in der Adressleiste und dem Vorhängeschlosssymbol daneben, um sicherzustellen, dass die von Ihnen eingegebenen Informationen sicher sind.
Öffnen Sie keine E-Mails, die von unbekannten E-Mail-Adressen gesendet wurden und klicken Sie nicht auf die darin enthaltenen Links oder Anhänge. Wenn Sie darauf klicken, wird möglicherweise Spyware auf Ihrem Computer installiert, durch die die Hacker auf Ihre persönlichen Informationen zugreifen können. Glücklicherweise erkennt die beste Antivirensoftware schädliche Software auf Ihrem Computer sofort und entfernt sie von Ihrer Festplatte. Darüber hinaus prüfen diese Programme die Sicherheitszertifikate aller Adressen, die Sie besuchen und verhindern das Betreten von Phishing-Webseiten.
Quellen (auf Englisch)
Die drei Phasen eines Phishing-Angriffs – Köder, Haken und Fang
Spear phishing is the most dangerous form of phishing. Unlike generic, template-based attacks, spear phishing involves finding out information about the target in order to customise the phishing message to make it more likely to work
Ein Spear-Phishing-Angriff beginnt damit, dass der Cyberkriminelle Informationen über das Ziel findet, dann dieses Ziel verwendet, um eine Verbindung aufzubauen, und drittens diese Verbindung verwendet, um das Ziel zu einer Aktion zu veranlassen. Lesen Sie weiter, um mehr über Köder, Haken und Fang zu erfahren: die drei Phasen eines Spear-Phishing-Angriffs.
Schritt 1: Die Informationen (Köder)
Der erste der drei Schritte einer Phishing-Attacke ist die Vorbereitung des Köders. Dies beinhaltet das Herausfinden von Details über das Ziel, was so einfach sein kann wie zu wissen, dass es einen bestimmten Dienst nutzt oder in einem bestimmten Unternehmen arbeitet. Dies ist einer der Gründe, warum Datenschutzverletzungen, bei denen keine "sensiblen" Informationen kompromittiert werden, so gefährlich sein können: Wenn ein Dienst eine Liste nur mit E-Mail-Adressen seiner Benutzer durchsickert, können Kriminelle wissen, dass alle Besitzer dieser E-Mail-Adressen diesen Dienst nutzen und sie mit E-Mails ansprechen können, die vorgeben, von diesem Dienst zu stammen.
Bei ausgeklügelteren Spear-Phishing-Angriffen können Cyberkriminelle Details aus Ihren Social-Media-Profilen entnehmen, um eine hochgradig individuelle Spear-Phishing-Nachricht zu erstellen, die Sie höchstwahrscheinlich von ihrer Echtheit überzeugen wird.
Schritt 2: Das Versprechen (Haken)
Sobald der Angreifer die notwendigen Informationen für den Köder erlangt hat, muss er den Haken auslegen. Um das Ziel tatsächlich dazu zu bringen, eine Aktion auszuführen, muss der Angreifer etwas versprechen oder ihn zum Handeln erschrecken.
Bei vielen Betrügereien besteht der Haken darin, das Ziel glauben zu lassen, dass eines seiner Konten kompromittiert wurde, ein Gefühl der Dringlichkeit zu erzeugen und das Ziel dazu zu bringen, schnell zu handeln - vielleicht ohne nachzudenken. Der Angreifer kann das Ziel dann umleiten, um einem Link zu einer Seite zu folgen, auf der er die Details des Opfers sammeln kann.
Schritt 3: Der Angriff (Fang)
Die dritte Phase des Phishings ist der eigentliche Angriff. Der Cyberkriminelle verschickt die E-Mail und bereitet sich darauf vor, dass die Beute auf den Köder hereinfällt.
Die nächste Aktion des Angreifers hängt von der Art des Betrugs ab. Wenn sie beispielsweise eine Zielseite verwendet haben, um das E-Mail-Passwort des Opfers zu erhalten, können sie sich dann beim E-Mail-Konto des Opfers anmelden, um weitere Informationen zu sammeln und weitere Phishing-E-Mails an die Kontakte des Opfers zu senden.
Wie kann ich meine Organisation vor Phishing-Angriffen schützen?
Um Ihr Unternehmen vor Phishing zu schützen, ist es wichtig, die Bedrohung zu verstehen. Warum sollte jemand Ihr Unternehmen ins Visier nehmen? Welche Daten haben Sie, die wertvoll sind? Welche Finanztransaktionen führen Sie durch, die ein Cyberkrimineller mit einer gefälschten Rechnung in die Finger bekommen könnte?
1. 2-Faktor-Authentifizierung
Um Ihre Konten vor Phishing zu schützen, ist die Multi-Faktor-Authentifizierung unbedingt erforderlich. Es fügt eine zweite Verteidigungslinie hinzu, was bedeutet, dass Sie den Angreifer auch dann daran hindern können, auf Ihr Konto zuzugreifen, wenn Sie auf einen Phishing-Angriff hereinfallen und Ihr E-Mail-Passwort preisgeben.
2. Sicherheitsbewusstseinstraining
Da Phishing auf so viele verschiedene Arten durchgeführt werden kann, gibt es keine einfache technische Lösung, die es stoppen könnte. Der Mensch wird immer der Risikofaktor sein, wenn es um Phishing geht. Aus diesem Grund ist eine Ausbildung unbedingt erforderlich.
Ihren Mitarbeitern sollte beigebracht werden, auf Anzeichen von Phishing zu achten und immer besondere Vorsicht walten zu lassen, wenn sie Links aus unerwarteten E-Mails folgen. Wenn Sie Ihre Benutzer für Schulungen zum Sicherheitsbewusstsein anmelden, können Sie die Bedrohung durch Phishing-E-Mails verringern.
3. Simuliertes Phishing
Während Mitarbeiterschulungen unerlässlich sind, können Sie mit Phishing-Simulationen sehen, wie Ihre Mitarbeiter in einem realen Szenario abschneiden. Mithilfe von Simulationen können Ihre Mitarbeiter sehen, wie leicht es ist, auf eine Phishing-E-Mail hereinzufallen, und ist sehr effektiv bei der Sensibilisierung, da sich Mitarbeiter viel eher daran erinnern, auf eine simulierte Phishing-E-Mail hereingefallen zu sein, als an eine einfache Schulung.
Beginne damit, Menschen in deine stärkste Verteidigungslinie zu verwandeln
usecure ist die Menschliches Risikomanagement (MRM)-Lösung, die es Unternehmen ermöglicht, benutzerbezogene Sicherheitsvorfälle zu reduzieren, eine cyberresistente Belegschaft aufzubauen und Compliance-Standards durch automatisierte Benutzerschulungsprogramme zu erreichen.
Von führenden IT-Profis und Managed-Service-Providern (MSPs) vertraut, usecure analysiert, reduziert und überwacht das menschliche Cyberrisiko durch risikoorientierte Schulungsprogramme zum Sicherheitsbewusstsein, simulierte Phishing-Kampagnen, vereinfachtes Richtlinienmanagement und kontinuierliche Überwachung von Dark-Web-Verletzungen – alles von einer Plattform aus.
Erfahren Sie mehr über usecure
E-Mail-Phishing - Wie man Angriffe erkennt und vermeidet
Wir leben in einer Zeit der überfüllten E-Mail-Postfächer. Spamlaws schätzt, dass bis zu 45 % aller E-Mails Spam sind, andere Schätzungen gehen sogar von 73% aus. Aufgrund der weiten Verbreitung von E-Mails sind diese zu einem äußerst häufigen Einfallstor für Betrügereien und Cyberangriffe geworden. Leider haben wir uns alle an E-Mails gewöhnt, was Cyberangriffe per E-Mail zu einer beliebten Taktik für Betrüger macht.
Warum ist E-Mail Phishing relevant?
E-Mail-Phishing ist eine der größten Bedrohungen, denen Unternehmen heute ausgesetzt sind. stellt die folgenden Statistiken zu Phishing zur Verfügung.
Bei fast einem Drittel aller Datenschutzverletzungen im Jahr 2018 ging es um Phishing.
Alle 20 Sekunden wird im Internet eine neue Phishing-Seite erstellt.
Mehr als 70% der Phishing-E-Mails werden von ihren Zielpersonen geöffnet.
90% der Sicherheitsverletzungen in Unternehmen sind das Ergebnis von Phishing-Angriffen.
Kleine und mittlere Unternehmen verlieren im Durchschnitt 1,6 Millionen Dollar, wenn sie sich von einem Phishing-Angriff erholen.
Apple ist die Marke, die von Cyberkriminellen am häufigsten nachgeahmt wird.
Mehr als 77% der Unternehmen verfügen über keinen Plan zur Reaktion auf Cyberangriffe.
All diese Statistiken zeigen die Relevanz von Phishing. Stellen Sie sich vor, ein einziger unbedachter Klick kann Ihr gesamtes Unternehmen gefährden. Daher ist es das Gebot der Stunde, Ihr Unternehmen und Ihre Mitarbeiter auf die Abwehr von E-Mail-Phishing vorzubereiten. In diesem Blog finden Sie alle Informationen, die Sie benötigen, um Ihr Team gegen Phishing-Angriffe per E-Mail zu schützen.
Was ist E-Mail-Phishing?
Laut NIST bezeichnet Phishing "eine Technik, mit der versucht wird, sensible Daten, wie z.B. Bankkontonummern, durch eine betrügerische Aufforderung in einer E-Mail oder auf einer Website zu erlangen, bei der sich der Täter als legitimes Unternehmen oder seriöse Person ausgibt." E-Mail-Phishing-Angriffe treten auf, wenn Angreifer unter dem Vorwand, eine legitime Behörde zu sein, gefälschte E-Mails an Benutzer senden, um sie zur Preisgabe sensibler Daten zu verleiten.
Das häufigste Ziel von Phishing-Angriffen ist der Diebstahl von Finanzdaten oder Netzwerkanmeldedaten. In vielen Fällen kann E-Mail-Phishing der erste Schritt eines größeren Multi-Vektor-Angriffs sein, der Ihr gesamtes Unternehmen betrifft. Angreifer versuchen, über E-Mails von Mitarbeitern in Unternehmensnetzwerke einzudringen, um Ransomware oder Spyware einzuschleusen oder unbefugten Zugriff auf geschäftskritische Informationen zu erhalten. Erfahren Sie mehr über WannaCry - einen der bekanntesten Ransomware-Angriffe der letzten Jahre.
E-Mail-Phishing ist eine Social-Engineering-Taktik. Diese Art von Cyberangriffen manipuliert menschliche Emotionen und nutzt Gefühle wie Angst, Besorgnis oder Dringlichkeit aus. Diese Gefühle hemmen unser kritisches Denken und führen zu unüberlegten Handlungen. Die Angreifer wollen, dass wir handeln, wie sie es sagen, ohne die Dinge zu durchdenken.
Was sind gängige E-Mail-Phishing-Techniken?
Es gibt drei wesentlichen E-Mail-Phishing-Techniken, um Ihre sensiblen Daten zu stehlen. Diese sind die folgenden:
Bösartige Links (Engl. Malicious Links) Infizierte Anhänge (Engl. Infected Attachments) Gefälschte Formulare / Forms zur Dateneingabe
Lassen Sie uns im Folgenden auf jede dieser Techniken eingehen.
1. Bösartige Links
Weblinks oder URLs sind in der Regel Bestandteil der meisten E-Mails. In Phishing-E-Mails sind Weblinks die treibende Kraft hinter dem Betrug. Es ist ziemlich einfach, URLs zu erstellen, die Ihr System mit Ransomware, Viren, Trojanern oder anderer Malware infizieren und das gesamte Netzwerk gefährden. Angreifer können auch Links erstellen, die Sie zu schädlichen Websites führen oder in scheinbar sicheren Download-Schaltflächen versteckt sind.
2. Infizierte Anhänge
E-Mail-Anhänge werden häufig dazu verwendet, Cyberangriffe zu starten und IT-Netzwerke lahmzulegen. Infizierte Anhänge können wie normale Word-Dokumente, PDFs oder andere elektronische Dateien aussehen. Das Herunterladen eines gefälschten E-Mail-Anhangs kann sensible Daten zerstören oder es dem Angreifer sogar ermöglichen, die Kontrolle über Ihren Computer und andere Systeme in Ihrem IT-Netzwerk zu übernehmen.
Antivirenlösungen verwenden eine signaturbasierte Erkennung, um Malware automatisch zu blockieren. Um dies zu umgehen, verstecken die Angreifer einen Exploit im Anhang. Ein Exploit ist eine Software, die einen Fehler oder eine Schwachstelle ausnutzt, um ein unbeabsichtigtes oder unerwartetes Verhalten bei Computersoftware, Hardware oder anderen elektronischen Geräten hervorzurufen. Wenn der Anhang heruntergeladen wird, nutzt der Exploit vorhandene Systemschwachstellen, um die eingerückte Malware in das System zu laden.
Eine andere Methode/Ansatz, die Angreifer verwenden, sind Dateien mit einem eingebetteten bösartigen Makro. Betrügerische Pop-ups sorgen dafür, dass der Benutzer auf die Schaltfläche "Inhalt aktivieren" (Engl. "Enable Content") klickt, die das Makro ausführt und den zugrunde liegenden Computer infiziert.
3. Gefälschte Formulare / Forms zur Dateneingabe
Bei dieser Taktik/Technik bringen die Angreifer das Opfer dazu, wichtige Informationen in betrügerische Dateneingabeformulare einzugeben. Bei den geforderten Informationen kann es sich um Benutzer-IDs, Finanzdaten, Sozialversicherungsnummern oder Telefonnummern handeln. Damit diese Taktik funktioniert, geben sich die Angreifer als legitime Personen aus etablierten Unternehmen, Banken oder der Regierung aus.
Was sind bekannte Arten von E-Mail-Phishing-Angriffen?
E-Mail-Phishing ist die allgemeinste Art von E-Mail-Betrug, der darauf abzielt, Benutzer zur Preisgabe ihrer privaten Daten oder zum Herunterladen bösartiger Inhalte zu verleiten. In den meisten Fällen werden E-Mails von Phishing-Angriffen an eine große Anzahl von Personen auf einmal gesendet. Die Angreifer verbreiten ein breites Netz, ohne eine bestimmte Person ins Visier zu nehmen. Bei dieser Art von Angriffen wird davon ausgegangen, dass unter den vielen Empfängern zumindest einige sind, die auf die Falle hereinfallen werden.
Andere Arten von Phishing-Angriffen per E-Mail sind gezielter. Diese sind (Hinweis: Wir verwenden hier die englischen Begrifflichkeiten):
Spear-Phishing
Whaling (CEO-Betrug)
Business Email Compromise (BEC)
Clone Phishing
Als Nächstes werden wir jeden der vier Angriffstypen genauer untersuchen und beschreiben.
Spear-Phishing
Spear Phishing, abgeleitet von der Fischfangtechnik, bei der Speere verwendet werden, um bestimmte Fische anzugreifen, ist genau das, was der Name andeutet. Spear-Phishing ist das Gegenteil von allgemeinem Phishing, da es auf bestimmte Personen abzielt. In der Regel handelt es sich bei den Zielpersonen um hochrangige Führungskräfte mit wertvollen Informationen und privilegiertem Zugang. Für diese Art von Phishing muss der Angreifer besondere Kenntnisse über die Struktur und das Personal des Zielunternehmens haben.
Whaling (CEO-Betrug)
Whaling, auch CEO-Betrug genannt, liegt vor, wenn sich Angreifer als CEO eines Unternehmens ausgeben und den Führungskräften des Unternehmens eine dringende E-Mail schicken, die sofortiges Handeln erfordert. Eine übliche Taktik besteht darin, den Mitarbeitern vorzugaukeln, dass der CEO um eine dringende Geldüberweisung bittet.
Business Email Compromise (BEC)
Diese Phishing-Angriffe zielen auf bestimmte Unternehmen ab, um sie und ihre Partner, Lieferanten und Kunden zu betrügen. Eine gängige BEC-Taktik besteht darin, die E-Mail des Unternehmens zu klonen oder das E-Mail-Konto eines Mitarbeiters zu hacken und es zu nutzen, um mit gefälschten Rechnungen Zahlungen von Lieferanten zu verlangen.
Clone Phishing
Hierbei handelt es sich um eine fortgeschrittene Form des Phishings, bei der die Angreifer zuvor gesendete legitime E-Mails mit Links oder Anhängen verwenden. Die Angreifer klonen legitime E-Mails und erstellen eine perfekte Kopie, in der die Links oder Anhänge durch Malware ersetzt werden. Die Phishing-E-Mail erscheint als einfache Neuversendung der ursprünglichen E-Mail. Dies ist eine gefährliche Taktik, denn gefälschte E-Mails sind schwer zu erkennen.
Wie erkennt man eine Phishing-E-Mail?
Oft ist es unmöglich, eine Phishing-E-Mail von einer echten zu unterscheiden, wenn die Phishing-Angriffe sehr geschickt ausgeführt werden. Dennoch gibt es einige allgemeine Anzeichen, auf die Sie achten sollten, wenn Sie eine E-Mail öffnen. Hier sind einige Charakteristiken, die Phishing-E-Mails typischerweise ausmachen:
Die E-Mail beginnt mit einer allgemeinen Begrüßung, z.B. "Sehr geehrter Kunde". Seriöse Unternehmen werden Ihren Namen kennen. Die E-Mail enthält grammatikalische Fehler. Unternehmen, die E-Mails an ihre Kunden senden, achten darauf, dass ihr Text keine Grammatik- oder Rechtschreibfehler enthält. Lesen Sie die E-Mail sorgfältig, um zu sehen, ob ein Schreibfehler auffällt - das könnte ein Zeichen dafür sein, dass etwas nicht stimmt. Seriöse Unternehmen, Banken oder Behörden fragen nicht per E-Mail über einen Link oder einen Anhang nach privaten Informationen. Wenn Sie solche unaufgeforderten E-Mails erhalten, ist die Wahrscheinlichkeit groß, dass es sich um einen Betrug handelt. Wenn der Domänenname oder das Logo des Unternehmens ungewöhnlich erscheint, ist dies ein deutliches Zeichen für eine Phishing-E-Mail. Abwandlungen von Domänennamen, wie hinzugefügte Zahlen oder zufällige Buchstaben am Ende der E-Mail-Adresse, können auf eine gefälschte E-Mail hinweisen. Seriöse E-Mail-Links stimmen mit der Zieladresse überein. Der Linktext sollte mit der angezeigten URL identisch sein, wenn Sie mit dem Mauszeiger über den Link fahren. Eine weitere einfache Möglichkeit, einen potenziellen Phishing-Angriff zu erkennen, besteht darin, auf Unstimmigkeiten bei den E-Mail-Adressen zu achten. Es lohnt sich zum Beispiel, frühere Korrespondenzen daraufhin zu überprüfen, ob die ursprünglichen E-Mail-Adressen übereinstimmen. Achten Sie auf verdächtige E-Mail Anhänge. Wenn eine E-Mail mit einem Dateianhang von einer unbekannten Quelle empfangen wird oder wenn der Empfänger eine Datei vom Absender der E-Mail nicht angefordert oder erwartet hat, sollte der Anhang mit Vorsicht geöffnet werden. Wenn die angehängte Datei eine Erweiterung/Extension hat, die üblicherweise mit Malware-Downloads in Verbindung gebracht wird (.zip, .scr usw.) - oder eine unbekannte Erweiterung/Extension hat - sollten die Empfänger die Datei vor dem Öffnen zum Virenscannen markieren. E-Mails, die Drohungen enthalten oder zu dringenden Handlungen auffordern, sind in der Regel Phishing E-Mails. E-Mails, die negative Konsequenzen androhen, sollten immer mit Misstrauen behandelt werden. Eine andere Taktik besteht darin, ein Gefühl der Dringlichkeit auszunutzen, um den Empfänger zum sofortigen Handeln aufzufordern, um ihn zu verunsichern. Der Betrüger hofft, dass der Inhalt der E-Mail in der Eile nicht gründlich geprüft wird, so dass andere Ungereimtheiten im Zusammenhang mit einer Phishing-Kampagne unentdeckt bleiben können.
Dies sind zwar gängige Indikatoren für Phishing-Versuche, aber keine narrensicheren Erkennungsrichtlinien. Die Angreifer sind inzwischen sehr fortschrittlich und erfahren. Selbst wenn Sie eine E-Mail erhalten, die keine dieser Charakteristiken aufweist, sollten Sie vorsichtig sein, bevor Sie antworten. Probieren Sie das Phishing-Quiz von OpenDNS aus, um zu testen, wie gut Sie eine legitime Website von einem Phishing-Versuch unterscheiden können.
Wie kann man Phishing-Scams vermeiden?
Es gibt einige Möglichkeiten, um sich vor E-Mail-Phishing-Versuchen zu schützen. Einige bewährte Praktiken erfordern mehr Zeit und Mühe von Ihnen, aber die Kosten, die entstehen, wenn Sie einem Phishing-Betrug zum Opfer fallen, sind viel höher.
1. Finden Sie Ihre Links durch selbständige Suche.
Klicken Sie nicht auf Weblinks, die Sie in E-Mails erhalten haben. Wenn wir auf Links klicken, die uns geschickt werden, wird unser Weg vom Absender bestimmt. Gehen Sie stattdessen über den Browser auf die offizielle Website der Organisation und suchen Sie dort nach den gleichen Informationen. Wenn der Weblink in der E-Mail legitim ist, können Sie die Aktion auch auf der Website beenden. Auf diese Weise lässt sich die Legitimität garantiert feststellen.
2. Überprüfen Sie selbst die Identität des Absenders.
Wenn Sie eine zufällige E-Mail von einem Kollegen oder Chef erhalten, in der er Sie um dringende Maßnahmen bittet, wenden Sie sich persönlich an den Absender (und antworten Sie nicht in demselben E-Mail-Thread), um zu überprüfen, ob er es wirklich war, der die Nachricht geschickt hat.
3. Schützen Sie Ihre Konten und Passwörter.
Verwenden Sie eine Multi-Faktor-Authentifizierung, eindeutige Passwörter für alle Konten und einen Passwortmanager, um den Zugang zu Ihren Konten zu sichern. Halten Sie außerdem Ihre gesamte Software immer auf dem neuesten Stand.
4. Verwenden Sie verwaltete E-Mail Sicherheit / Managed Email Security.
Managed Email Security ist eine Notwendigkeit für große Unternehmen. Eine dynamische Bedrohungslandschaft erfordert, dass Ihre Sicherheitsvorkehrungen den Angreifern immer einen Schritt voraus sind. Managed Email Security bietet Ihrem Unternehmen eine zusätzliche Verteidigungsebene mit hochmodernen Bedrohungsdaten und Erkennungstechniken. Darüber hinaus erhalten Sie qualifizierte IT-Experten, die rund um die Uhr verfügbar sind, um sofort auf Bedrohungen zu reagieren.
SRC-Sicherheitsexperten können Sie bei der Vermeidung von Phishing-Betrug unterstützen, indem sie die erforderlichen prozessualen und technischen Maßnahmen entsprechend Ihren Anforderungen ausarbeiten und implementieren. Informieren Sie sich über weitere Details unserer IT Security Consulting Leistungen.