In diesem Blogbeitrag werden wir Sie über die verschiedenen Arten und Erkennungsmerkmale von Phishing-Angriffen aufklären und Ihnen Sicherheitstipps gegen Phishing-Mails mit an die Hand geben.
Phishing-Angriffe bieten eine einfache und effektive Möglichkeit für Angreifende, vertrauliche Informationen zu erlangen, Identitätsdiebstahl zu begehen oder Malware zu verbreiten. Zudem kann eine Phishing-Mail jederzeit Erfolg haben, da es dazu kommen kann, dass Menschen impulsiv auf Links oder Dokumente klicken.
Phishing-Mails sind betrügerische E-Mails, die vortäuschen, von einer vertrauenswürdigen Quelle zu stammen. Dadurch sollen diese Menschen dazu verleiten, impulsiv auf Links oder Dokumente zu klicken. Der Begriff “Phishing” leitet sich vom englischen Wort “fishing” (deutsch: Angeln, Fischen) ab, wobei das P für Passwort steht. Bildlich gesprochen bezieht sich dies auf das gezielte “Angeln” nach sensiblen Informationen, insbesondere Passwörtern, unter Verwendung eines Köders.
Ablauf eines Phishing -Angriffs
- Der Angreifer sendet eine Nachricht über ein beliebiges Medium und gibt sich dabei als vertrauenswürdige Institution aus (beispielsweise eine Bank oder eine Behörde). In manchen Fällen kommt es auch vor, dass der Angreifer sich als Mitarbeitender, Führungskraft, Bekannter, Verwandter oder als Freund ausgibt.
- Die Gestaltung der Nachricht ist je nach Medium so, dass sie für das Opfer täuschend echt aussehen soll. Die Nachricht enthält entweder einen oder mehrere Links oder Schaltflächen, die das Opfer auf eine gefälschte kompromittierte Website leiten soll oder Anlagen und Anhänge, die eine Schadsoftware auf dem Rechner oder Netzwerk verbreiten sollen. Bei einigen Phishing-Methoden, so genanntes Social Engineering, wird versucht, das Opfer direkt (meist nach einem längeren Gespräch) dazu zu bewegen, Geld auf ein Konto des Betrügers zu überweisen.
- Wenn das Opfer auf den in der E-Mail enthaltenen Link klickt, wird es auf eine Internetseite geleitet, die der Internetseite der Einrichtung, für die sich der Täter ausgibt, täuschend ähnlichsieht. Dort werden in verschiedenen Formularfeldern verschiedene Daten des Opfers abgefragt. Meist handelt es sich dabei um Login- und Sicherheitsdaten sowie persönliche Informationen und Kreditkartennummern. Es sind verschiedene Szenarien denkbar, wenn der Phishing-Angriff über einen Anhang erfolgt. Zum Beispiel könnte der Anhang eine Schadsoftware – wie ein trojanisches Pferd bzw. Trojaner – zum Abfangen von Datenströmen enthalten oder Dateien verschlüsseln (eine sogenannte Ransomware), um Lösegeld zu erpressen.
- Hat das Opfer einmal seine Zugangsdaten auf der gefälschten Website eingegeben oder kompromittierte Dateien heruntergeladen, können die Angreifer über die Daten auf das Konto des Opfers zugreifen. Häufig werden die Daten auch weiterverkauft oder für andere missbräuchliche Zwecke wie Identitätsdiebstahl verwendet. Wurde mittels Phishings eine Verschlüsselungssoftware (Ransomware) platziert, wird das Opfer zur anonymen Zahlung, meist in Form von Kryptowährungen (z.B. Bitcoin) aufgefordert, um die Verschlüsselung rückgängig zu machen.
Viele Nutzende wiegen sich in falsche Sicherheit und glauben, die Phishing-Muster bereits gut zu kennen. Die Angriffsmethoden der Cyberkriminellen werden jedoch ständig verbessert. Um die Erfolgschancen des Angriffs zu erhöhen, werden teilweise bereits im Vorfeld spezifische Informationen über das Opfer beschafft (z.B., dass ein bestimmter Anruf oder eine bestimmte E-Mail erwartet wird). Dies kann beispielsweise durch das Ausspähen von Social-Media-Konten, Telefongesprächen oder E-Mails geschehen. Auch hochrangige Regierungsvertreter sowie Unternehmen aus der Technologiebranche sind bereits Opfer von Phishing-Angriffen geworden. In der Regel läuft ein Phishing-Angriff in der oben genannten Reihenfolge ab. Die Taktiken werden jedoch je nach Ziel angepasst, um die Erfolgschancen zu maximieren.
Auf welche Daten haben die Hacker es abgesehen?
Die Opfer von Phishing-Attacken sind einer Vielzahl von Risiken mit schwerwiegenden Folgen ausgesetzt. Je nach Vorgehensweise der Angreifer werden unterschiedliche Ziele verfolgt. Am Ende steht jedoch meist die finanzielle Bereicherung auf Kosten des Opfers im Fokus. Im folgenden Abschnitt werden die häufigsten Gefahren, die Ihnen oder Ihrem Unternehmen durch einen Phishing-Angriff drohen können, genannt.
- Sie überweisen Geld auf ein Konto der Betrüger, ohne zu ahnen, dass Sie Opfer eines Betrugs sind.
- Ihre Bank- oder Kreditkartendaten sind Gegenstand eines Diebstahls und es werden Zahlungen in Ihrem Namen vorgenommen.
- Ihre persönlichen Daten, wie Ausweisdokumente und Passbilder, könnten missbraucht werden und Sie könnten dadurch Opfer von Identitätsdiebstahl werden.
- Im Darknet wird mit Ihren Informationen gehandelt.
- Beiträge in sozialen Medien oder Produktrezensionen werden in Ihrem Namen veröffentlicht, um so massenweise gefälschte positive Bewertungen für Produkte und Dienstleistungen zu platzieren.
- Sie oder Ihre Firma können Opfer eines Ransomware-Angriffs über eine Phishing-Mail werden. Ziel dieses Angriffs ist die Verschlüsselung von Dateien auf Ihren Geräten und im Netzwerk. Die Angreifer versuchen dann, ein Lösegeld gegen die Zahlung von Bitcoins oder Bargeld zu erpressen, versichern jedoch keine Garantie, die Dateien im Anschluss zu entschlüsseln.
- Kundendaten oder Geschäftsgeheimnisse werden gestohlen, missbraucht oder an die Öffentlichkeit gebracht. Dies führt oft zu einer Rufschädigung des Unternehmens.
- Ihre Login-Daten für Cloud-Dienste wie Dropbox oder Google Drive werden gestohlen. Dadurch haben Angreifer Zugriff auf alle gespeicherten Dateien, die auf den entsprechenden Diensten gespeicherten wurden.
AUSWIRKUNGEN AUF PRIVATPERSONEN
In der Regel versuchen Angreifer durch Phishing bei Privatpersonen direkt an deren Zahlungs- und Identitätsdaten oder Passwörter zu gelangen. Eine andere Methode ist das heimliche Herunterladen von Schadsoftware, beispielsweise zur Bildung von Botnetzen. Solche Botnetze ermöglichen es, den PC aus der Ferne zu steuern und ihn beispielsweise als Ausgangspunkt für eine weitere Infektionswelle für Schadsoftware zu nutzen.
AUSWIRKUNGEN AUF UNTERNEHMEN
Im geschäftlichen Bereich haben Phishing-Angriffe meist nicht einzelne Mitarbeitende, sondern das gesamte Unternehmen im Visier – obwohl der Angriff über die Mitarbeitende stattfindet, denn der Mensch stellt das schwächste Glied in der Sicherheitskette dar. Dabei werden Mitarbeitende gezielt mit Phishing-E-Mails angesprochen, um ihnen wichtige Informationen zu entlocken. Für Cyber-Kriminelle sind nicht nur große Unternehmen, deren Umsätze verlockend sind, auf der Opferliste, sondern auch kleine und mittlere Unternehmen, die sich oft aufgrund weniger großer Bekanntheit sicherer fühlen. Deshalb ist es auch für KMU entscheidend, Präventionsmaßnahmen gegen Phishing-Mails umzusetzen und ihre Mitarbeiter zu schulen, um das Sicherheitsbewusstsein zu stärken.
Präventionsmaßnahmen gegen Phishing
Um Phishing-Angriffe zu vermieden und Ihre Daten zu schützen, ist es ratsam, die folgenden Regeln im Umgang mit E-Mails stets zu befolgen – sowohl im privaten Umfeld als auch im geschäftlichen Bereich:
- Sie sollten die Adressleiste Ihres Browsers immer überprüfen. Es empfiehlt sich, die Adressen häufig besuchter Anmeldeseiten als Lesezeichen zu speichern.
- Klicken Sie niemals auf Links, die in verdächtigen E-Mails enthalten sind. Im Zweifelsfall versuchen Sie stattdessen über die Ihnen bekannte Website der betreffenden Organisation auf die Informationen zuzugreifen.
- Wenn Sie nicht sicher sind, ob eine E-Mail zu Recht vertrauliche Informationen anfordert, ist es am besten, den genannten Anbieter telefonisch zu kontaktieren.
- Geben Sie niemals, auch wenn die E-Mail vertrauenswürdig erscheint, persönliche Daten wie Passwörter, Kreditkarten- oder Transaktionsnummern per E-Mail weiter.
- Klicken Sie niemals direkt auf einen Link zum Herunterladen, wenn Sie Zweifel an der Echtheit des Links haben. Laden Sie Dateien immer direkt von der Website des Anbieters herunter, wenn dies möglich ist.
- Öffnen Sie niemals Dateien, die an verdächtige E-Mails angehängt sind.
- Vergewissern Sie sich, dass Ihr Antivirenprogramm auf dem neuesten Stand und Ihre Firewall aktiv ist.
- Auf unverschlüsselten Webseiten sollten Sie keinerlei persönlichen Daten eingeben. Eine verschlüsselte Verbindung zwischen der Website und Ihrem Browser erkennen Sie an dem Kürzel “https://” in der Adresszeile sowie an dem Vorhängeschloss-Symbol neben der Adresszeile des Browsers.
- Bei Erhalt einer verdächtigen Mail sollten Sie diese melden. Die meisten großen E-Mail-Anbieter haben Mechanismen, um Phishing-Seiten zu blockieren und entsprechende Warnungen herauszugeben. In Ihrem Unternehmen kann das Melden von Phishing-Mails je nach den internen Richtlinien variieren.
- Unternehmen sollten durch eine Kombination an technischen Maßnahmen (z.B. E-Mail-Filter und Sicherheitssoftware) und Schulungen für Ihre Mitarbeiter Ihren Schutz vor Phishing-Angriffen stärken. Wir bei itsecuritycoach können gemeinsam mit Ihnen maßgeschneiderte Schulungen für Ihr Unternehmen entwickeln, um das Sicherheitsbewusstsein Ihrer Mitarbeitenden zu stärken. Mehr dazu finden Sie unter Cyber-Security-Training.
Fazit
In unserem Blogbeitrag haben Sie die Definition von Phishing kennengelernt, wie Sie Phishing erkennen können und wie Sie sich vor betrügerischen E-Mails schützen können. Mehr über aktuelle Phishing-Angriffe erfahren Sie in unserem Artikel Phishing-Mails: Aktuelle Fallbeispiele von Cyber-Angriffen auf Unternehmen.
Buchen Sie einen kostenlosen Termin für das erste Gespräch mit Ihrem Coach und kontaktieren Sie uns noch heute.