Phishing

Was ist Phishing?

In unserer digitalen Gesellschaft werden wir zunehmend mit unerwünschten Nachrichten konfrontiert. Einzelpersonen und skrupellose Organisationen sind in böser Absicht hinter unseren persönlichen Daten her. Erfahren Sie mehr über Phishing, die Formen, die es annimmt, und wie ein Unternehmen sich besser vor diesem Phänomen schützen kann.

Phishing ist eine Form der Internetkriminalität, bei der eine Person, die sich als echte Organisation ausgibt, Kontakt mit der Organisation aufnimmt, um ihr Opfer per E-Mail, Telefon oder Textnachricht zur Übermittlung sensibler Daten wie persönlicher Daten, Bankdaten, Kreditkarteninformationen und Passwörter zu bewegen.

Die Daten, die nach dem Zugriff auf Systeme und Konten gewonnen werden, werden oft zur finanziellen Bereicherung genutzt.

Phishing gibt es in vielen Formen, darunter Smishing, Vishing und Whaling. Im Folgenden werden zwei der bekannteren Formen des Phishings erläutert: Phishing-E-Mails und Spear-Phishing.

1. Was sind Phishing-E-Mails?

Phishing-E-Mails sind bei Cyberkriminellen sehr beliebt, da sie einfach zu handhaben sind, wenig kosten und eine hohe Erfolgsquote haben.  Die Beschaffung von E-Mail-Adressen ist einfach und der Versand von E-Mails ist fast kostenlos.

Phishing-Mails sind E-Mails, die scheinbar von vertrauenswürdigen Organisationen wie Banken oder Postdiensten stammen. In der Regel werden Sie aufgefordert, auf einen Link zu klicken und sich dann anzumelden. Andererseits fragen sie manchmal nach persönlichen Informationen, die zum Identitätsbetrug verwendet werden können.

2. Was ist Spear-Phishing?

Spear-Phishing zielt ebenso wie Phishing-Briefe auf eine einzelne Person ab. Ein Angriff wird anhand der über eine Person gesammelten Informationen sorgfältig geplant.  Spear-Phishing-E-Mails können den Anschein erwecken, von einem vertrauenswürdigen Geschäftskollegen oder Freund verschickt zu werden. Informationen aus sozialen Medien wie Linkedin und Facebook können zur Vertrauensbildung genutzt werden.

3. Erkennen von Phishing

Ein Unternehmen kann Millionen verlieren, seine Marke schädigen und das Vertrauen seiner Kunden untergraben, wenn ein Phishing- oder Spear-Phishing-Angriff erfolgreich ist.  Um diese fatalen Folgen zu vermeiden, ist Aufklärung in der Regel der erste Schritt zu einer erfolgreichen Abwehrstrategie. Der Start ins Bewusstsein beginnt mit dem Erlernen der folgenden Erkennungspunkte:

3.1 Die Begrüßungen sind in der Regel allgemein gehalten

Wenn eine Bank ihren Kunden eine Nachricht schickt, können Sie davon ausgehen, dass diese in der Regel mit Vor- und Nachnamen personalisiert ist. Bei der Mehrzahl der Phishing-Angriffe ist dies jedoch nicht der Fall. Die Angreifer beschränken sich in der Regel auf: “Sehr geehrter Herr/Frau”.

Wenn jedoch jemand das Ziel eines Spear-Phishing-Angriffs ist, findet eine Personalisierung statt.

3.2 Gefälschte Webseiten und URLs

Die Website, auf die verwiesen wird, entspricht nicht der Website, um die es sich handeln soll. Facebook kann zum Beispiel als faceboook oder fasebook geschrieben werden. Es sieht identisch aus, ist es aber leider nicht. Einige Hacker nutzen dies aktiv aus und kapern diese Art von Domänen. Diese Form des Betrugs wird als “Typosquatting” bezeichnet.

Bevor Sie auf einen Link in einer E-Mail klicken, ist es ratsam, den Mauszeiger über den Link zu bewegen. Die Ziel-URL wird dann angezeigt. Wenn der Link nicht mit der erwarteten URL übereinstimmt, sollten Sie diese E-Mail sofort löschen.

3.3 Grammatik und Syntax

Außerdem sind ein schlechter Satzbau, Rechtschreibfehler und eine seltsame Formatierung eindeutige Anzeichen für einen Phishing-Versuch.

3.4 Vertrauenswürdige Organisationen

Die Betrüger nutzen häufig beliebte Anwendungen und Software. Denken Sie an Unternehmen wie Wetransfer und DocuSign. Kontaktieren Sie immer den Absender, bevor Sie auf einen Link klicken.

4. Verhinderung von Phishing

Im Prinzip können Sie nicht viel tun, um Phishing-Angriffe zu verhindern. Es gibt jedoch Maßnahmen, die ergriffen werden können, um die Wahrscheinlichkeit eines erfolgreichen Phishing-Angriffs zu verringern.

4.1 Schulungen für das gesamte Personal.  

Aufklärung ist die beste Verteidigung gegen Datenschutzverletzungen. Mitarbeiter und damit menschliches Versagen sind in der Regel eine der größten Ursachen für ein Datenleck. Gründliche Schulungen zur Sensibilisierung für die Cybersicherheit sind daher von entscheidender Bedeutung. Unsere Security Awareness Trainings helfen Unternehmen dabei.

4.2 Überprüfen Sie die Website

In Phishing-E-Mails werden Sie oft aufgefordert, eine Datei herunterzuladen oder auf einen Link zu klicken. Ist Letzteres der Fall, überprüfen Sie die Ziel-URL, bevor Sie auf den Link klicken. Die URL wird in einer kleinen Leiste am unteren Rand des Browsers angezeigt. Auf einem mobilen Gerät können Sie Ihren Finger auf den Link legen, der dann als Pop-up erscheint.

4.3 Klicken Sie nicht auf Links

Ein wesentliches Element, dessen sich die Mitarbeiter bewusst sein müssen, ist die Aufrechterhaltung eines gesunden Maßes an Skepsis. Unabhängig davon, ob die Kommunikation per E-Mail, SMS oder über soziale Medien erfolgt, sollte man sich eines Phishing-Angriffs bewusst sein.  Mitarbeiter sollten jeden Link ignorieren, der sie zu einer (unbekannten) Website führt, auf der sie Passwörter, sensible Informationen oder Kontodaten eingeben müssen.

4.4 Verwenden Sie E-Mail-Filter

Auch wenn Software zum Schutz von E-Mail-Servern beitragen kann, sollten Spam-Filter bereits vorhanden sein. Die Mitarbeiter sollten dazu angehalten werden, Spam-E-Mails, die in ihrem Posteingang ankommen, zu kennzeichnen, damit die Filter ihre Aufgaben effizienter erfüllen können.

Weitere Artikel in unserer Phishing-Datenbank:

Was ist eine phishing-mail?
Was ist smishing?
Was ist spear phishing?
Was ist spoofing?
Was ist vishing?
Was ist whaling?
Was ist spam?