Der ultimative Leitfaden für Phishing

Was ist Phishing?

In der heutigen, zunehmend digitalen Welt findet ein Großteil unserer Aktivitäten, ob geschäftlich oder privat, online statt. Diese Zunahme der Online-Aktivitäten hat zu einer massiven Explosion der Internetkriminalität geführt.

Cyberkriminalität ist zu einem mächtigen Werkzeug für Kriminelle geworden, die unsere persönlichen Daten stehlen und Geld erpressen wollen. Die Geschwindigkeit, Anonymität und Bequemlichkeit des Internets hat es Kriminellen ermöglicht, mit sehr geringem Aufwand sehr gezielte Angriffe zu starten.

Laut einem aktuellen Bericht des Cybersicherheitsunternehmens Norton haben Cyberkriminelle im Jahr 2017 insgesamt 130 Milliarden Pfund von Verbrauchern gestohlen, darunter 4,6 Milliarden Pfund von britischen Internetnutzern.

Die erfolgreichste und gefährlichste aller Cyber-Attacken ist Phishing. Untersuchungen haben ergeben, dass 91% aller Cyberangriffe mit einer Phishing-E-Mail beginnen.

Phishing ist aufgrund seiner Einfachheit, Effektivität und hohen Rentabilität nach wie vor die häufigste Form von Cyberangriffen. Es hat sich von seinen Anfängen, als man Menschen mit Betrügereien über nigerianische Prinzen und Bitten um medizinische Notfallbehandlung hereinlegte, weiterentwickelt. Die heutigen Phishing-Angriffe sind ausgeklügelt, gezielt und immer schwieriger zu erkennen.

Arten von Phishing-Angriffen

Phishing-Angriffe gibt es in vielen verschiedenen Formen, aber der rote Faden, der sich durch sie alle zieht, ist die Ausnutzung des menschlichen Verhaltens. Die folgenden Beispiele sind die am häufigsten verwendeten Angriffsformen.

Spear - Phishing ist ein gezielterer Versuch, sensible Informationen zu stehlen und konzentriert sich in der Regel auf eine bestimmte Person oder Organisation. Bei dieser Art von Angriffen werden persönliche Informationen verwendet, die sich auf die betreffende Person beziehen, um legitim zu erscheinen. Die Cyberkriminellen nutzen häufig soziale Medien und Unternehmenswebsites, um ihre Opfer zu recherchieren. Sobald sie ihr Ziel besser kennen, versenden sie personalisierte E-Mails mit Links, die, sobald sie angeklickt werden, den Computer mit Malware infizieren.

Vishing bezieht sich auf Phishing-Betrügereien, die über das Telefon durchgeführt werden. Von allen Phishing-Angriffen gibt es hier die meiste menschliche Interaktion, aber das Täuschungsmuster ist das gleiche. Die Betrüger erwecken oft ein Gefühl der Dringlichkeit, um das Opfer zur Preisgabe vertraulicher Informationen zu bewegen. Der Anruf erfolgt oft über eine gefälschte ID, so dass es so aussieht, als käme er von einer vertrauenswürdigen Quelle. Ein typisches Szenario ist, dass sich der Betrüger als Bankangestellter ausgibt, um auf verdächtiges Verhalten bei einem Konto hinzuweisen. Sobald sie das Vertrauen des Opfers gewonnen haben, fragen sie nach persönlichen Informationen wie Anmeldedaten, Passwörtern und PIN. Diese Daten können dann verwendet werden, um Bankkonten zu leeren oder Identitätsbetrug zu begehen.

Was diese Kategorie von Phishing von anderen unterscheidet, ist die Wahl des Ziels auf höchster Ebene. Ein Whaling-Angriff ist ein Versuch, sensible Informationen zu stehlen und zielt oft auf die Geschäftsleitung ab. Whaling-E-Mails sind viel raffinierter als gewöhnliche Phishing-E-Mails und viel schwerer zu erkennen. Die E-Mails enthalten oft persönliche Informationen über die Zielperson oder das Unternehmen, und der Tonfall ist eher geschäftsmäßig. Aufgrund des hohen Gewinns, den die Cyberkriminellen erzielen wollen, wird bei der Erstellung dieser E-Mails viel mehr Mühe und Sorgfalt aufgewendet.

Smishing ist eine Art von Phishing, bei der SMS-Nachrichten anstelle von E-Mails verwendet werden, um Personen anzusprechen. Es ist eine weitere effektive Methode, mit der Cyberkriminelle Menschen dazu bringen, persönliche Informationen wie Kontodaten, Kreditkartendaten oder Benutzernamen und Passwörter preiszugeben. Bei dieser Methode sendet der Betrüger eine Textnachricht an die Telefonnummer einer Person und enthält in der Regel einen Handlungsaufruf, der eine sofortige Reaktion erfordert.

Beim Klon-Phishing wird eine legitime und zuvor zugestellte E-Mail verwendet, um eine identische E-Mail mit bösartigem Inhalt zu erstellen. Die geklonte E-Mail scheint vom ursprünglichen Absender zu stammen, ist aber eine aktualisierte Version, die bösartige Links oder Anhänge enthält.

Wie Phishing Ihr Unternehmen schädigen kann

Die Angriffe auf Unternehmen haben sich in den letzten fünf Jahren fast verdoppelt, und der Schaden, den ein Phishing-Angriff einem Unternehmen zufügt, kann verheerend sein. Im Laufe der Jahre haben Unternehmen aufgrund von Phishing-Angriffen Milliarden verloren. Microsoft schätzt, dass sich die potenziellen Kosten der Cyberkriminalität für die Weltgemeinschaft auf schwindelerregende 500 Milliarden belaufen und dass eine Datenpanne ein durchschnittliches Unternehmen etwa 3,8 Millionen kostet. Trotz der besten Sicherheits- und Verteidigungstechnologien nutzen Cyberkriminelle oft das schwächste Glied in der Verteidigung eines Unternehmens aus, und das sind oft die Mitarbeiter. Schon ein einziger menschlicher Fehler kann zu einem massiven Verlust sensibler Daten führen. Untersuchungen von Cisco haben ergeben, dass 22 % der Unternehmen, die Opfer eines Angriffs geworden sind, unmittelbar danach Kunden verloren haben, was zeigt, wie ernst die Verbraucher die Sicherheit ihrer Daten nehmen.

Identitätsdiebstahl

Diebstahl von sensiblen Daten

Diebstahl von Kundendaten

Verlust von Benutzernamen und Passwort

Verlust von geistigem Eigentum

Diebstahl von Geldern von Geschäfts- und Kundenkonten

Reputationsschaden

Nicht autorisierte Transaktionen

Kreditkartenbetrug

Installation von Malware und Ransomware

Zugang zu Systemen, um zukünftige Angriffe zu starten

An kriminelle Dritte verkaufte Daten

Top-Tipps zum Erkennen von Phishing-Attacken

Eine Phishing-E-Mail zu erkennen ist viel schwieriger geworden als früher, da die Kriminellen ihre Fähigkeiten verfeinert haben und ihre Angriffsmethoden immer ausgefeilter werden. Die Phishing-E-Mails, die wir in unserem Posteingang erhalten, sind in zunehmendem Maße gut geschrieben, personalisiert, enthalten die Logos und die Sprache von Marken, die wir kennen und denen wir vertrauen, und sind so gestaltet, dass es schwierig ist, zwischen einer offiziellen E-Mail und einer von einem Betrüger verfassten fragwürdigen E-Mail zu unterscheiden.

McAfee schätzt, dass 97 % der Menschen auf der ganzen Welt nicht in der Lage sind, eine raffinierte Phishing-E-Mail zu erkennen, so dass die Cyberkriminellen immer noch erfolgreich Menschen dazu verleiten, persönliche Daten preiszugeben oder Malware herunterzuladen. Trotz der zunehmenden Raffinesse und Überzeugungskraft dieser E-Mails gibt es immer noch einige Anzeichen, die uns auf das Vorhandensein einer Phishing-E-Mail aufmerksam machen können.

Top-Tipps zum Erkennen von Phishing-Attacken

Eine nicht übereinstimmende URL

Eines der ersten Dinge, die Sie bei einer verdächtigen E-Mail überprüfen sollten, ist die Gültigkeit einer URL. Wenn Sie mit der Maus über den Link fahren, ohne ihn anzuklicken, sollte die vollständige Adresse des Hyperlinks erscheinen. Wenn die URL nicht mit der angezeigten Adresse übereinstimmt, obwohl sie völlig legitim zu sein scheint, ist dies ein Hinweis darauf, dass die Nachricht betrügerisch ist und es sich wahrscheinlich um eine Phishing-E-Mail handelt.

Die E-Mail fragt nach persönlichen Informationen

Ein seriöses Unternehmen wird niemals eine E-Mail an Kunden senden, in der es um persönliche Daten wie Kontonummer, Passwort, PIN oder Sicherheitsfragen bittet. Wenn Sie eine E-Mail erhalten, in der diese Informationen abgefragt werden, handelt es sich wahrscheinlich um eine Phishing-E-Mail, die Sie sofort löschen sollten.

Schlechte Rechtschreibung und Grammatik

Cyberkriminelle sind nicht für ihre erstklassige Rechtschreibung und Grammatik bekannt. Wenn seriöse Unternehmen E-Mails an Kunden versenden, werden diese häufig von Textern geprüft, um sicherzustellen, dass Rechtschreibung und Grammatik korrekt sind. Wenn Sie in einer E-Mail Rechtschreib- oder Grammatikfehler entdecken, ist es unwahrscheinlich, dass sie von einem offiziellen Unternehmen stammt und könnte ein Hinweis auf eine Phishing-E-Mail sein.

Die Verwendung einer bedrohlichen oder dringlichen Sprache

Eine gängige Phishing-Taktik besteht darin, ein Gefühl der Angst oder Dringlichkeit zu erzeugen, um jemanden zum Klicken auf einen Link zu bewegen. Cyber-Kriminelle benutzen oft Drohungen, dass Ihre Sicherheit gefährdet ist und dass dringend etwas unternommen werden muss, um die Situation zu bereinigen. Seien Sie vorsichtig bei Betreffzeilen, in denen behauptet wird, dass auf Ihrem Konto ein „unbefugter Anmeldeversuch“ stattgefunden hat oder Ihr „Konto gesperrt wurde“. Wenn Sie sich nicht sicher sind, ob die Anfrage legitim ist, wenden Sie sich direkt an das Unternehmen über dessen offizielle Website oder offizielle Telefonnummer.

Unerwartete Korrespondenz

Wenn Sie eine E-Mail erhalten, in der Sie darüber informiert werden, dass Sie ein Gewinnspiel gewonnen haben, an dem Sie nicht teilgenommen haben, oder in der Sie aufgefordert werden, auf einen Link zu klicken, um einen Preis zu erhalten, handelt es sich mit hoher Wahrscheinlichkeit um eine Phishing-E-Mail. Wenn ein Angebot zu gut erscheint, um wahr zu sein, ist es das in der Regel auch!

Wie Sie sich vor Phishing-Attacken schützen können

1. Klicken Sie niemals auf verdächtige Links

Die häufigste Art von Phishing-Betrug besteht darin, Menschen dazu zu verleiten, E-Mails zu öffnen oder auf einen Link zu klicken, der scheinbar von einem legitimen Unternehmen oder einer seriösen Quelle stammt.

Durch das Erwecken eines Gefühls der Dringlichkeit werden die Benutzer dazu verleitet, auf einen Link zu klicken oder einen Anhang zu öffnen. Der Link führt Sie möglicherweise zu einer gefälschten Website, auf der Sie aufgefordert werden, Ihre persönlichen Daten einzugeben, oder er führt Sie zu einer Website, die Ihren Computer direkt mit Ransomware infiziert.

Seriöse Unternehmen werden niemals E-Mails versenden, in denen Sie aufgefordert werden, auf einen Link zu klicken, um persönliche Daten einzugeben oder zu aktualisieren.

Simulierte Phishing-Tests für Mitarbeiter

2. Personal ausbilden

Auch wenn Unternehmen über die stärksten Sicherheitssysteme verfügen, bieten sie nur wenig Schutz, wenn es Cyberkriminellen gelingt, diese traditionellen technologischen Abwehrmechanismen zu umgehen und direkt zu einem Mitarbeiter vorzudringen, um ihn zur Preisgabe sensibler Informationen zu bewegen.

Über 90 % aller erfolgreichen Cyberangriffe gehen auf Informationen zurück, die unwissentlich von Mitarbeitern bereitgestellt wurden. Da es immer schwieriger wird, in Netzwerke einzudringen, nehmen Hacker zunehmend das ins Visier, was sie für das schwächste Glied in der Verteidigung eines Unternehmens halten – seine Mitarbeiter!

Da Hacker ihre Techniken verfeinern und ihre Angriffe immer gezielter werden, ist es wichtig, die Mitarbeiter zu schulen und ihnen regelmäßig beizubringen, worauf sie achten sollten und wie sie ihren Teil zur Verhinderung eines Cyberangriffs beitragen können.

Lassen Sie Ihre Mitarbeiter nicht den Köder schlucken!

MetaPhish wurde speziell für den Schutz von Unternehmen vor Phishing- und Ransomware-Angriffen entwickelt und stellt die erste Verteidigungslinie bei der Bekämpfung von Cyberkriminalität dar. Wenn Sie mehr darüber erfahren möchten, wie Sie Ihre Mitarbeiter damit schützen und schulen können.

Phishing & Ransomware

3. Seien Sie vorsichtig, was Sie online veröffentlichen

Das Internet und die sozialen Medien haben die Art und Weise, wie wir tagtäglich miteinander kommunizieren, verändert. Diese Kultur des Austauschs hat es Cyberkriminellen jedoch leicht gemacht, ein Profil potenzieller Opfer zu erstellen, so dass ihre Phishing-Versuche gezielter und schwieriger zu erkennen sind.

Hacker nutzen Social Media-Websites, um an persönliche Daten wie Alter, Berufsbezeichnung, E-Mail-Adresse, Wohnort und soziale Aktivitäten zu gelangen. Der Zugriff auf diese persönlichen Daten liefert den Hackern genügend Informationen, um einen gezielten und personalisierten Phishing-Angriff zu starten.

Um das Risiko zu verringern, auf eine Phishing-E-Mail hereinzufallen, sollten Sie sorgfältiger darüber nachdenken, was Sie online veröffentlichen, die erweiterten Datenschutzoptionen nutzen, den Zugriff auf Personen beschränken, die Sie nicht kennen, und sichere Passwörter für alle Ihre Social-Media-Konten erstellen.

Lesen Sie unseren Leitfaden zum Schutz vor Hackern

4. Überprüfen Sie die Sicherheit einer Website

Bevor Sie Informationen auf einer Website eingeben, sollten Sie immer prüfen, ob die Website sicher ist. Das geht am besten, indem Sie sich die URL einer Website ansehen. Wenn sie mit „https“ statt mit „http“ beginnt, bedeutet dies, dass die Website mit einem SSL-Zertifikat gesichert wurde (S steht für sicher). SSL-Zertifikate gewährleisten, dass alle Ihre Daten sicher sind, wenn sie von Ihrem Browser an den Server der Website übertragen werden. Außerdem sollte in der Nähe der Adressleiste ein kleines Vorhängeschloss-Symbol zu sehen sein, das ebenfalls anzeigt, dass die Website sicher ist.

5. Anti-Virus-Software installieren

Antiviren-Software ist die erste Verteidigungslinie, um Bedrohungen auf Ihrem Computer zu erkennen und unbefugten Benutzern den Zugang zu verwehren. Außerdem ist es wichtig, dass Ihre Software regelmäßig aktualisiert wird, damit Hacker nicht über Schwachstellen in älteren und veralteten Programmen auf Ihren Computer zugreifen können.

Schützen Sie sich vor Phishing-Angriffen