Im Jahr 2023 stiegen die durchschnittlichen finanziellen Auswirkungen einer durch Phishing verursachten Datenschutzverletzung auf schwindelerregende 4,76 Millionen Dollar. Diese alarmierende Statistik macht deutlich, wie gerissen und kostspielig diese Angriffe sein können.
In diesem Blogbeitrag tauchen wir tief in die Welt des Phishings ein, untersuchen die verschiedenen Formen und geben Ihnen wichtige Hinweise, wie Sie diese bösartigen Versuche erkennen und vereiteln können.
Was ist Phishing?
Phishing ist eine Art von Cyberangriff, bei dem Personen per E-Mail, Telefon oder Textnachricht von einem Angreifer angesprochen werden, der sich als seriöse Organisation, Freund oder Mitarbeiter ausgibt. Ziel solcher Angriffe ist es, die Opfer dazu zu bringen, sensible Daten wie persönliche Identifikationsdaten, Bank- und Kreditkarteninformationen und Passwörter preiszugeben.
Einem Bericht von Egress zufolge waren 92 % der Unternehmen im Jahr 2022 von Phishing-Angriffen betroffen. Eine einzige betrügerische Nachricht kann zum Diebstahl persönlicher Daten oder zur Infektion von Geräten mit Malware führen. Das Erkennen von Phishing-E-Mails kann jedoch ein wichtiger Schritt zur Verhinderung dieser Angriffe sein.
Arten von Phishing-Angriffen
Spear-Phishing: Eine personalisierte Form des Cyberangriffs, bei der detaillierte Informationen über das Ziel genutzt werden, um den Angriff glaubwürdiger zu machen. Diese Angriffe sind sorgfältig geplant und nutzen oft die Überwachung und die über die Zielorganisation oder -person gesammelten Informationen.
E-Mail-Phishing: Im Gegensatz zum Spear-Phishing verfolgen E-Mail-Phishing-Kampagnen einen breiteren Ansatz. Sie zielen darauf ab, viele Benutzer oder Mitarbeiter dazu zu bringen, persönliche Informationen wie Benutzernamen, Telefonnummern und Kreditkartendaten preiszugeben. In diesen E-Mails werden häufig allgemeine Phrasen verwendet und ein Gefühl der Dringlichkeit vermittelt, um die Empfänger dazu zu bringen, auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen.
Business Email Compromise (BEC): Ein raffinierter Angriff, der oft mit einer Spear-Phishing-E-Mail beginnt. Die Betrüger geben sich als hochrangige Führungskräfte oder vertrauenswürdige Anbieter aus und senden scheinbar legitime Anfragen für Geldtransfers oder sensible Informationen.
Whaling: Whaling ist eine Art von Cyberangriff, der speziell auf hochrangige Führungskräfte oder wichtige Personen innerhalb einer Organisation abzielt. Es handelt sich dabei um eine Form des Spear-Phishings, die darauf abzielt, sensible Informationen zu stehlen oder unbefugten Zugang zu Unternehmensnetzwerken zu erhalten.
Smishing: Smishing ist ein Begriff für Angriffe, die über SMS (Short Message Service) oder Textnachrichten durchgeführt werden. Sie können aber auch über beliebte Messaging-Apps wie WhatsApp oder Facebook Messenger verschickt werden.
Vishing: Telefonbetrug ist ein gezielter Versuch, jemanden dazu zu bringen, bestimmte Handlungen auszuführen oder vertrauliche Informationen preiszugeben. Diese Praxis ist gemeinhin als Vishing bekannt. Vishing ist eine Kombination aus den Wörtern "Voice" und "Phishing" und bezieht sich auf Phishing-Betrügereien, die über das Telefon erfolgen.
Erkennen eines Phishing-Angriffs
Es wird immer schwieriger, Phishing-E-Mails zu erkennen, da die Methoden der Cyberkriminellen immer geschickter und raffinierter geworden sind. Diese betrügerischen E-Mails sind jetzt besser gestaltet und personalisiert und verwenden oft Logos und Sprache vertrauter Marken, so dass es schwierig ist, eine legitime E-Mail von einer betrügerischen E-Mail zu unterscheiden.
Wenn Sie sich mit den folgenden Anzeichen vertraut machen, können Sie sich und Ihr Unternehmen wirksam vor Angriffen schützen.
Verdächtige Links: Phishing-Versuche enthalten häufig Links, die verdächtig erscheinen oder zu unbekannten Websites führen. Bevor Sie auf einen Link klicken, sollten Sie seine Legitimität überprüfen, indem Sie die URL genau untersuchen. Fahren Sie mit der Maus über den oberen Teil der URL. Wenn diese Adresse von der angezeigten abweicht, klicken Sie nicht darauf.
Anfragen nach sensiblen Informationen: E-Mails, die von einem unerwarteten oder unbekannten Absender stammen und nach Anmeldedaten, Zahlungsinformationen oder anderen sensiblen Daten fragen, sollten immer mit Vorsicht behandelt werden.
Ungewöhnliche Absenderinformationen: Betrüger geben sich häufig als seriöse Unternehmen aus. Überprüfen Sie nicht nur den Namen des Absenders, sondern fahren Sie mit der Maus über die Absenderadresse und achten Sie auf Änderungen, z. B. zusätzliche Zahlen oder Buchstaben.
Allgemeine Begrüßungen: Betrüger verwenden oft allgemeine Grußformeln wie "Sehr geehrter Kunde" oder "Sehr geehrtes Mitglied". Seriöse Unternehmen personalisieren ihre E-Mails in der Regel und weisen Sie darauf hin, dass Sie sie gegebenenfalls telefonisch kontaktieren können.
Dringende oder Angst einflößende Sprache: Cyberkriminelle erzeugen oft ein Gefühl der Dringlichkeit oder Angst, um sofortiges Handeln zu provozieren. Die Angreifer nutzen diese Strategie, um die Empfänger zum Handeln zu drängen, bevor sie die E-Mail auf mögliche Fehler oder Ungereimtheiten prüfen können. Gängige Formulierungen und Taktiken, die von Betrügern verwendet werden, sind unter anderem:
- Wir haben einige verdächtige Aktivitäten oder Anmeldeversuche festgestellt
- Es gibt ein Problem mit Ihrem Konto oder Ihren Zahlungsinformationen
- Sie müssen eine Zahlung leisten
- Angebot von Gutscheinen für kostenlose Produkte
- Ausstellen einer gefälschten Auftragsbestätigung
Rechtschreib- oder Grammatikfehler: Seriöse Organisationen beschäftigen professionelle Texter für ihre Mitteilungen. Mehrere Rechtschreib- oder Grammatikfehler in einer E-Mail könnten auf einen Phishing-Versuch hindeuten.
