Was ist Phishing und wie schützen Sie Ihr Unternehmen?

Es gibt viele Arten von Cyberangriffen, die Hacker verwenden, um Informationen, Dateien und andere Vermögenswerte von Einzelpersonen und Unternehmen zu erlangen. Vor diesen geschützt zu bleiben, ist von entscheidender Bedeutung.

Da Cybersicherheitslösungen im Vergleich zu herkömmlichen Arten von Angriffen immer effektiver werden, nutzen Hacker die menschliche Natur der Benutzer, um Sicherheitsmaßnahmen zu umgehen.

Definition: Was ist Phishing?

Phishing ist eine Art von Social-Engineering-Angriff, der darauf abzielt, Benutzer dazu zu verleiten, vertrauliche Informationen wie Anmeldeinformationen, Bankkontonummern oder den Zugriff auf IT-Systeme preiszugeben. Diese Angriffe erfolgen normalerweise in Form einer E-Mail oder einer Textnachricht, die vertrauenswürdige Marken oder Benutzer imitiert.

Die Geschichte der Phishing-Angriffe

In den frühen 1990er Jahren benötigten Benutzer eine „DFÜ“-Verbindung, um auf das Internet zuzugreifen, und AOL war einer der größten Diensteanbieter. Aufgrund seiner Popularität wurde er zu einem Hauptziel für Hacker und zum Deckmantel für die ersten Phishing-Angriffe.

1995 wurde „AOHell“ mit dem Ziel gegründet, Passwörter von Benutzern zu stehlen und Algorithmen zu verwenden, welche zufällig generierte Kreditkartennummern erstellten. Es ahmte Mitarbeiter und Administratoren von AOL nach und forderte Benutzer dazu auf, im Rahmen von Systemüberprüfungen und Audits Zugriff auf ihre Anmeldedaten zu gewähren.

In den frühen 2000er Jahren richteten Angreifer ihre Aufmerksamkeit auf Finanzsysteme. Im Jahr 2003 begannen Phisher damit, Domainnamen zu registrieren, die geringfügige Variationen legitimer Handelsseiten wie eBay und PayPal waren, und Massenmails zu versenden, in denen Kunden aufgefordert wurden, die Seiten zu besuchen, ihre Passwörter einzugeben und ihre Kreditkarteninformationen zu aktualisieren.

Im September 2013 infizierte die Cryptolocker-Ransomware 250.000 PCs und war damit die erste kryptografische Malware, die durch Downloads von einer kompromittierten Website verbreitet wurde.

Im Jahr 2018 starteten Cyberkriminelle die ersten Geschenkkarten-Phishing-Kampagnen auf HTTPS, 2019 gingen sie zur Kompromittierung von Anbieter-E-Mails über.

Im Jahr 2020 wurden 74 % der Organisationen in den Vereinigten Staaten mit einem erfolgreichen Phishing-Angriff konfrontiert.

Bis heute nehmen Angriffe zu und stellen ein echtes Risiko für Einzelpersonen und Unternehmen auf der ganzen Welt dar, weshalb es wichtig ist, über Cyberangriffe Bescheid zu wissen und sich dagegen zu wehren.

Gängige Phishing-Techniken: Gefühl der Dringlichkeit

• Gefälschte E-Mails von Unternehmen, die nach persönlichen oder sensiblen Informationen fragen.

• Gefälschte E-Mails von Finanzinstituten, die nach Bankkontonummern und Passwörtern fragen.

• Gefälschte E-Mails von Regierungsbehörden, in denen nach persönlichen Informationen gefragt wird.

• Gefälschte Nachrichten in sozialen Medien, in denen Sie aufgefordert werden, sich mit Ihrem Benutzernamen und Passwort anzumelden.

Gefälschte Websites und Anmeldeinformationen

Eine der häufigsten Formen von Phishing-Angriffen, welche von der Polizei und Sicherheitsdiensten in der ganzen Welt gemeldet wurde, ist das Versenden von E-Mails, die gängige Dienste wie Netflix imitieren.

Es handelt sich um eine ziemlich einfache Taktik, die vertrauenserweckend wirkt, da Benutzer die Marke bereits kennen. Zudem wird ein Gefühl der Dringlichkeit erzeugt, da auf eine Sperrung des Kontos hingedeutet wird. In Wirklichkeit handelt es sich jedoch um eine nachgeahmte E-Mail, die auf eine gefälschte Website verweist, auf der Sie Ihre Kartendaten „aktualisieren“ können. Sobald Sie die Details aktualisieren, händigen Sie Ihre Daten automatisch an die Angreifer aus, welche dann frei über sie verfügen können.

Vertrauen, Dringlichkeit und ein klares Ziel - diese Elemente bilden das Rückgrat aller erfolgreichen Phishing-Angriffe.

Verschiedene Arten von Phishing-Angriffen

Es gibt viele verschiedene Arten von Angriffen, aber alle haben eines gemeinsam: Sie versuchen, das Opfer dazu zu bringen, seine persönlichen Daten preiszugeben. Angreifer werden versuchen, Sie auf jede erdenkliche Weise auszutricksen, sei es durch verdächtige E-Mails oder Textnachrichten, die Möglichkeiten sind sehr vielfältig.

Massenkampagnen

Massen-Phishing-Nachrichten werden an so viele Personen wie möglich gesendet, um Benutzer dazu zu bringen, vertrauliche Daten oder Finanzinformationen preiszugeben. Bei diesen Angriffen wird normalerweise eine bekannte Marke nachgeahmt, die Empfänger dazu auffordert, ein Passwort zurückzusetzen oder Zahlungsdaten zu aktualisieren.

Der Schaden, der verursacht wird, wenn man einer Massenkampagne zum Opfer fällt, ist möglicherweise nicht direkt offensichtlich im Vergleich zu gezielteren Angriffen, da zwischen dem erfolgreichen Angriff und dem Verkauf der bei dem Angriff erlangten Daten eine zeitliche Verzögerung besteht.

 Mobiles Phishing

Da Angreifer versuchen, Benutzer mit allen Mitteln auszunutzen, ist mobiles Phishing ein wachsender Trend. Durch die Nutzung von SMS- und MMS-Anwendungen können Angreifer Benutzer rund um die Uhr angreifen.

Mobiles Phishing, auch als Smishing bekannt, bedeutet, dass Angreifer Phishing-Nachrichten, SMS oder Social-Media-Nachrichten an Benutzer senden, um sie zu einer schnellen Aktion zu verleiten, indem sie sich als vertrauenswürdiger Dritter ausgeben.

Beispielsweise könnte ein Benutzer eine Textnachricht von jemandem erhalten, von dem er glaubt, dass es seine Bank ist, die erklärt: „Wir haben ungewöhnliche Aktivitäten auf Ihrem Bankkonto festgestellt. Wenn Sie dies nicht waren, melden Sie sich bitte bei Ihrem Konto an und überprüfen Sie diese Transaktionen.“ Dies soll Panik auslösen und die Benutzer dazu bringen, schnell zu handeln, indem sie ihre Bank-Login-Daten übergeben.

Das Anklicken von Links in diesen Nachrichten kann Hackern Zugriff auf Ihre Daten verschaffen oder es ihnen ermöglichen, bösartige Software auf Ihrem Gerät zu installieren.

Man-in-the-Middle

Diese Art von Angriffen gehört zu der raffinierten Sorte, da das Ziel darin besteht, E-Mails zwischen zwei Personen abzufangen. Der Angreifer kann dann E-Mails an diese beiden Personen zurücksenden, die glauben, dass sie voneinander stammen, aber tatsächlich vom Angreifer sind.

Sie können nach privaten Informationen fragen oder bestimmte Aktionen anfordern, und die Person kann leicht zum Opfer werden, da sie glaubt, dass die E-Mail von einer vertrauenswürdigen Quelle stammt.

Evil Twin

Bei dieser Methode erstellen Hacker ein Wi-Fi-Netzwerk, indem sie die Adresse eines anderen kopieren. Jeder, der sich mit diesem gefälschten Netzwerk verbindet, ist den Hackern schutzlos ausgeliefert und ermöglicht ihnen den Zugriff auf Passwörter und andere Informationen.

Dies geschieht besonders häufig in öffentlichen Räumen wie Cafés, Einkaufszentren und Flughäfen.

Phishing-Schutz: Wie kann man sich gegen Betrug wehren?

Es gibt einige wichtige Möglichkeiten, um ein Unternehmen vor Phishing zu schützen und Ihre Cyber-Resilienz zu erhöhen.

• Regelmäßige Schulungen von Mitarbeitern und Kunden

• Lernen Sie die psychologischen Trigger kennen

• Bauen Sie eine positive Sicherheitskultur auf

• Implementieren Sie technische Maßnahmen, z.B. E-Mail-Sicherheit oder Anti-Phishing-Lösungen

• Testen Sie die Wirksamkeit des Trainings

Um mehr über diese Schutzmethoden zu erfahren, lesen Sie unseren Blog zum Thema „So erkennen und schützen Sie sich vor Phishing-E-Mail-Angriffen“.