Was sind Phishing-Betrügereien?

Phishing-Betrügereien, eine betrügerische Taktik, werden von Cyberkriminellen häufig für ruchlose Aktivitäten eingesetzt. Die meisten Menschen haben schon einmal eine Phishing-E-Mail erhalten. Trotz ihrer weiten Verbreitung nutzen Cyberkriminelle diese Methode immer wieder, um Malware zu installieren, Zugangsdaten zu stehlen und Betrügereien zu begehen, einschließlich Business Email Compromise (BEC).

In einem CISCO-Bericht über Cyber-Sicherheitstrends 2021 werden Phishing und Krypto-Mining als die beiden größten Bedrohungen für Unternehmen genannt. Der Bericht ergab auch, dass 86% der Mitarbeiter von Unternehmen auf Phishing-Links klicken.

Der Schutz vor Phishing-Betrug ist für die Sicherheit Ihres Unternehmens von entscheidender Bedeutung, da 90 % der Datenschutzverletzungen auf Phishing-Angriffe zurückzuführen sind.

Hier finden Sie 10 Möglichkeiten, um sicherzustellen, dass Ihr Unternehmen nicht Opfer eines Phishing-Betrugs wird.

10 Wege zur Verhinderung von Phishing-Betrug

Um sich vor Phishing-Betrug zu schützen, müssen Sie mehrere Schutzmechanismen einsetzen:

Erfahren Sie, wie ein Phishing-Angriff aussieht

Cyberkriminelle arbeiten hart daran, Phishing-E-Mails legitim aussehen zu lassen. Infolgedessen werden Phishing-Betrügereien immer raffinierter und zielen oft auf bestimmte Personen und Unternehmen ab. Eine gezielte Phishing-Kampagne wird als Spear-Phishing bezeichnet. Bei dieser Form des Phishings werden Informationen gesammelt, um Phishing-E-Mails zu erstellen, die nur schwer von echten E-Mails zu unterscheiden sind.

Mitarbeiter in allen Bereichen eines Unternehmens müssen darin geschult werden, die Anzeichen von Phishing zu erkennen. Maßgeschneiderte Phishing-Kampagnen nutzen oft bekannte Unternehmensmarken wie Microsoft Office 365, um einen Phishing-Betrug geschickt zu verschleiern.

Phishing-Simulationsplattformen sind ein idealer Weg, um Mitarbeiter darin zu schulen, einen Phishing-Versuch zu erkennen. Darüber hinaus ermöglichen es fortschrittliche Phishing-Simulationsplattformen wie MetaPhish einem Unternehmen, diese Simulationen auf die einzelnen Rollen innerhalb einer Organisation zuzuschneiden, so dass sogar Spear-Phishing-Versuche verhindert werden können.

Lesen Sie weitere Einzelheiten über Phishing im MetaCompliance Ultimate Guide to Phishing.

Klicken Sie nicht auf unbekannte Links

Endbenutzer und Verbraucher sind durch clevere Benutzererfahrungen und UI-Taktiken darauf trainiert worden, auf Links zu klicken, um ihr Online-Leben einfacher zu gestalten. Aber das hat dazu geführt, dass Cyberkriminelle dieses Verhalten ausnutzen.

Der Drang zu klicken muss abgefangen werden, um einen Cyberangriff zu verhindern. Eine einfache Regel kann den Unterschied zwischen der Verhinderung eines Cyberangriffs und einer Cyber-Sicherheitsstatistik ausmachen: „Klicken Sie nicht auf einen Link in einer E-Mail, wenn Sie nicht 100%ig sicher sind, dass er gültig ist“. Wenn eine E-Mail oder Textnachricht einen Link enthält, halten Sie immer inne und denken Sie nach, bevor Sie klicken.

Weitere Informationen finden Sie in dem Artikel Was tun, wenn Sie auf einen Phishing-Link klicken?

Laden Sie keine ungeprüften Anhänge herunter

Es versteht sich von selbst, aber es passiert trotzdem: Mitarbeiter öffnen einen Anhang und Ihr Unternehmen wird mit Malware infiziert. Laden Sie keinen Anhang herunter, wenn Sie nicht 100% sicher sind, dass er legitim ist.

Ein aktueller Phishing-Angriff zeigt, wie raffiniert Angriffe sind, die infizierte Anhänge verwenden. Die SVCReady-Phishing-Kampagne nutzt eine bestimmte Eigenschaft eines Microsoft Word-Dokuments, den so genannten Shellcode, um einen Loader auf einen Rechner zu bringen. Der infizierte Rechner wird dann dazu benutzt, sensible Informationen zu sammeln, eine Fernsteuerungszentrale einzurichten und sich im Allgemeinen so lange aufzuhalten, bis der Angreifer beschließt, den Angriff zu beenden, weitere Malware zu installieren und/oder Daten zu stehlen.

Teilen Sie nicht zu viel in den sozialen Medien

Cyberkriminelle sammeln Informationen über ihr Ziel, so dass ihre Phishing-Angriffe maßgeschneidert sind und die Empfänger mit größerer Wahrscheinlichkeit täuschen. Soziale Medien sind ein idealer Ort, um nach Informationen zu fischen. Cyberkriminelle recherchieren das Unternehmen und seine Mitarbeiter und suchen nach Informationen, die für Spear-Phishing-Kampagnen verwendet werden können.

Soziale Medien sind auch ein Ort, an dem die gemeinsame Nutzung von Passwörtern zu weit gehen kann. So wurde in einem Bericht festgestellt, dass die Weitergabe von Passwörtern auf unsicheren Kooperationskanälen wie Slack weit verbreitet ist. Stellen Sie sicher, dass Ihre Mitarbeiter die Gefahren kennen, die mit der Weitergabe von privaten Daten und Passwörtern auf Kanälen wie Slack, Discord und Social Media-Plattformen verbunden sind.

Achten Sie auf Passwort-Hygiene

Die gemeinsame Nutzung von Passwörtern und die Wiederverwendung von Passwörtern erhöhen die Wahrscheinlichkeit, dass eine Phishing-Kampagne zu kompromittierten Daten und IT-Systemen führt. Die gemeinsame Nutzung von Passwörtern ist ein ernstes Problem in Unternehmen. Laut einer Google-Umfrage verwenden 62% der Menschen ihre Passwörter erneut, und 52% verwenden sie für den Zugriff auf mehrere Konten.

Darüber hinaus geben 34% der Angestellten ihre Passwörter an Kollegen weiter. Wenn Passwörter „herumgereicht“ und wiederverwendet werden, ist es unwahrscheinlich, dass die Menschen den Wert der Sicherheit erkennen und daher eine Laissez-faire-Haltung gegenüber der Passwortsicherheit einnehmen. Machen Sie die Passworthygiene zu einem zentralen Thema in der Schulung zum Sicherheitsbewusstsein.

Patch in Time

Phishing-E-Mail-Kampagnen beruhen oft auf einer ausnutzbaren Sicherheitslücke. Der Zimbra-Phishing-Angriff im Jahr 2021 nutzte beispielsweise Schwachstellen im Zimbra-E-Mail-Client über eine Phishing-E-Mail aus. Daher ist es wichtig, sicherzustellen, dass Softwareanwendungen so schnell wie möglich gepatcht werden, um Phishing-Angriffe zu verhindern.

Konten aktuell halten

Alte Online-Konten sind hilfreich für Cyberkriminelle, die sie nutzen können, um synthetische Identitäten zu erstellen und Betrug zu begehen. Diese Konten können auch als Teil eines BEC-Betrugs oder zur Gewinnung von Informationen für weitere Cyberangriffe verwendet werden.

Wenn Sie ein altes E-Mail- oder Online-Konto haben, das Sie nie benutzen, schließen Sie das Konto oder stellen Sie die Nutzung wieder her und überprüfen Sie es regelmäßig. Achten Sie darauf, dass Sie das Kennwort häufig ändern und überprüfen Sie HaveIBeenPwnd, um festzustellen, ob ein E-Mail-Konto oder ein Kennwort bei einer Datenschutzverletzung preisgegeben wurde.

Verwenden Sie 2FA oder MFA (aber seien Sie trotzdem vorsichtig)

Eine bewährte Methode zum Schutz vor Phishing-Betrug ist die Anwendung eines zweiten Faktors (2FA) oder einer Multi-Faktor-Authentifizierung (MFA), wo immer diese Maßnahme unterstützt wird. Allerdings ist 2FA oder MFA keine Garantie dafür, dass ein Phishing-Angriff erfolglos bleibt, sondern verringert nur das Risiko.

Schlecht umgesetzte 2FA- oder MFA-Maßnahmen können beispielsweise nutzlos sein, um Phishing-Angriffe zu verhindern. Verwenden Sie 2FA oder MFA, aber unterstützen Sie dies mit Schulungen zum Sicherheitsbewusstsein.

Melden Sie alles Verdächtige

Ermutigen Sie Ihre Mitarbeiter, eine verdächtige E-Mail oder SMS zu melden, um einen Vorfall zu verhindern. Schaffen Sie ein Umfeld, das die Zusammenarbeit im Sicherheitsbereich fördert. Seien Sie offen für Mitarbeiter, die auf einen bösartigen Link klicken, und geben Sie ihnen das Gefühl, dass sie einen Fehler melden können.

Die Meldung von Vorfällen trägt dazu bei, Ihr Unternehmen vor Phishing-Betrug zu schützen, aber die Meldung muss einfach sein und auf einem fortschrittlichen Meldesystem basieren, das eine Eskalation und Triage-Optionen bietet.

Erwägen Sie den Einsatz von Anti-Phishing-Tools

Die Schulung des Sicherheitsbewusstseins ist Teil eines umfassenderen Maßnahmenpakets, das zum Schutz vor Phishing-Betrug eingesetzt werden kann. Andere Maßnahmen, die eingesetzt werden können, um den Schutz zu erhöhen, sind: DNS-Filtersoftware, die verhindert, dass ein Mitarbeiter auf eine bösartige Website navigiert, und ein Cloud-basierter E-Mail-Spamfilter, der verhindern kann, dass Phishing-E-Mails in den Posteingang eines Mitarbeiters gelangen.

Diese Sicherheitsmaßnahmen allein sind jedoch nicht ausreichend. Cyberkriminelle, die Phishing-E-Mails entwickeln, gestalten diese zunehmend so, dass sie sich der Entdeckung entziehen. Nur durch den Einsatz mehrschichtiger Methoden, einschließlich des Wissens Ihrer Mitarbeiter über Phishing, kann sich ein Unternehmen vor Phishing-Betrug schützen.

[faq_posts]