06.03.2023
Phishing: Die allgegenwärtige Bedrohung
„Guten Tag,
wir müssen Ihnen leider mitteilen, dass wir letzte Nacht gehackt wurden und Ihre Bankdaten entwendet wurden. Bitte melden Sie sich jetzt an, um Ihr Geld zu schützen und mögliche Transaktionen sofort zu unterbinden.
Klicken Sie dafür hier.
Bitte entschuldigen Sie die Unannehmlichkeiten.
Mit freundlichen Grüßen
Ihre Bank“
In dem Moment, in dem Sie auf diesen Link klicken und sich mit ihren Zugangsdaten einloggen, werden ihr Benutzername und Ihr Passwort gestohlen, Sie wurden Opfer eines Phishing-Angriffs.
Auch wenn es nur ein schwacher Trost ist: Sie sind damit nicht alleine.
Phishing erfreut sich seit Jahren steigender Beliebtheit und zählt zu den Haupteintrittsvektoren für Schadsoftware. Dabei stehen Unternehmen und Privatpersonen gleichermaßen im Fadenkreuz, da sich die erbeuteten personenbezogenen Daten im Darknet einfach zu Geld machen lassen und als Ausgangsbasis für weitere Straftaten dienen.
Was ist Phishing?
Phishing ist eine Methode, bei der Angreifer gefälschte E-Mails, Websites oder Nachrichten erstellen, die so aussehen, als kämen sie von einer vertrauenswürdigen Quelle. Das Ziel besteht darin, die Empfänger dazu zu bringen, auf einen Link zu klicken, eine Datei herunterzuladen oder persönliche Daten preiszugeben.
Einmal in die Falle getappt, können Cyberkriminelle diese Informationen nutzen, um Geld von Konten abzubuchen, Identitätsdiebstahl zu begehen oder andere kriminelle Aktivitäten durchzuführen.
3 Arten von Phishing im Vergleich
Phishing ist eine der ältesten und bekanntesten Methoden des Cyberangriffs. Diese Angriffsmethode zielt darauf ab, sensible Daten wie Benutzernamen, Passwörter und Finanzinformationen von ahnungslosen Opfern zu stehlen. Dabei gibt es unterschiedliche Vorgehensweise und Methoden, deren sich die Cyberkriminellen bedienen.
1. Deceptive Phishing
Deceptive Phishing ist die am häufigsten verwendete Art von Phishing-Angriffen. Es handelt sich um eine allgemeine Angriffsmethode, die sich an eine breite Zielgruppe richtet, um persönliche oder finanzielle Daten zu stehlen.
Bei dieser Art von Phishing-Angriffen erhalten Opfer eine E-Mail, die von einem legitimen Absender zu stammen scheinen, z.B. von einer Bank, einem Online-Händler oder einem sozialen Netzwerk. In der E-Mail wird der Empfänger dazu aufgefordert, auf einen Link zu klicken oder einen angeblich wichtigen Anhang zu öffnen.
Sobald das Opfer auf den Link klickt oder die Anlage herunterlädt, wird es zu einer gefälschten Website oder einem gefälschten Login-Formular weitergeleitet, auf dem es Benutzernamen, Passwörter und andere persönliche Daten eingeben soll.
Das sollten Sie beachten:
- Folgen Sie grundsätzlich keinen Links, die Sie per Mail erhalten. Öffnen Sie immer separat die Website.
- Prüfen Sie insbesondere den Domain-Namen auf homografische Angriffe, bei denen ähnlich aussehende Schriftzeichen anstelle der echten verwendet werden. Indem z.B. das lateinische A durch ein kyrillisches A ersetzt wird, sehen die URLs auf den ersten Blick echt aus, führen jedoch auf eine gefälschte Website.
- Prüfen Sie die Rechtschreibung in der E-Mail.
- Achten Sie auf Links oder Weiterleitungen beim Laden der Seite.
2. Spear Phishing
Spear Phishing ist eine spezielle Art des Phishings und oftmals die Folge eines früheren Datenmissbrauchs.
Im Gegensatz zu allgemeinen Phishing-Angriffen, die an eine große Anzahl von Empfängern gesendet werden, zielt Spear Phishing auf konkrete Personen oder Gruppen ab, um höhere Erfolgschancen zu erzielen.
Spear Phishing basiert auf konkreten Informationen, welche die Angreifer über das Opfer gesammelt haben. Dabei bedienen sie sich Social Engineering Techniken, um die E-Mails individuell
auf ihre Opfer zuzuschneiden und sie so dazu zu bringen, auf einen Link zu klicken oder eine Anlage herunterzuladen.
Beispielsweise gestalten sie die Texte der Betreffzeilen in den E-Mails so, dass sie für das Opfer interessante Themen enthalten. Viele lassen sich dadurch leicht verleiten, die Mail zu öffnen und anschließend auf Links und Anhänge zu klicken.
Ziel ist es auch hier, Daten zu stehlen oder den Computer des Empfängers mit Malware zu infizieren. So verschaffen sich die Angreifer Zugang zum Netzwerk und zu den Accounts der Empfänger.
Spear Phishing ist schwer zu erkennen, da die E-Mails oder Nachrichten sehr gezielt und personalisiert sind. Auch traditionelle Spamfilter versagen hierbei oft. Deshalb ist es wichtig, jederzeit wachsam zu sein und verdächtige E-Mails oder Nachrichten zu überprüfen, insbesondere wenn sie nach persönlichen oder vertraulichen Informationen fragen.
Wenn Sie Zweifel an der Echtheit einer E-Mail oder Nachricht haben, kontaktieren Sie immer die Organisation oder Person, um zu bestätigen, ob sie tatsächlich von ihnen stammt.
So können Sie sich schützen:
- Prüfen Sie Mails stets mit einem gesundem Misstrauen.
- Halten Sie Ihre Sicherheitssoftware immer auf dem neuesten Stand.
- Vergessen Sie nicht, Links zu prüfen und überlegen Sie zweimal, bevor Sie klicken.
- Führen Sie regelmäßige Mitarbeiterschulungen zum Thema Social Engineering durch.
3. Whaling / CEO-Betrug
Whaling, auch bekannt als CEO-Betrug, ist eine gesonderte Art von Spear Phishing-Angriffen, die auf hochrangige Führungskräfte in Unternehmen abzielen.
Whaling-Attacken beginnen oft mit einer gründlichen Recherche über die Zielperson und deren Organisation, um ein höheres Maß an Glaubwürdigkeit zu erreichen und das Vertrauen der Person zu gewinnen.
Die Angreifer nutzen Social-Engineering-Methoden, wie etwa die korrekte Anrede mit Titel, Namen, Berufsbezeichnung und Details, um das Opfer dazu zu bringen, auf einen Link zu klicken oder eine Anlage zu öffnen.
Whaling-Angriffe zielen in den meisten Fällen auf die Durchführung einer betrügerischen Geldüberweisung ab, die angeblich vom CEO in Auftrag gegeben wurde. Die korrekte E-Mail-Adresse des CEO wird dabei nicht unbedingt benötigt, da sich Hacker oft darauf konzentrieren, lediglich den Anzeigenamen im Absenderfeld korrekt darzustellen. Das Opfer, in der Regel ein Mitarbeiter, erhält also eine E-Mail, die angeblich vom CEO stammt, um eine betrügerische Überweisung einzuleiten oder freizugeben.
So können Sie sich schützen:
- Führen Sie regelmäßige Schulungen zum Thema Social Engineering durch - auch für Führungskräfte.
- Führungskräfte sollten in den sozialen Netzwerken möglichst wenig persönliche Informationen preisgeben
- Nutzen Sie für Finanztransfers einen Multi-Faktor-Autorisierungsprozess.
- Implementieren Sie technische Standards für das Sender Policy Framework (SPF).
- Als Unternehmer sollten Sie über die Mitarbeiterschulung hinaus auch umfassend in Datensicherheit und Verifizierungsprozesse investieren.
Mögliche Anzeichen für Phishing
- Absenderadresse: Phishing-E-Mails verwenden oft gefälschte Absenderadressen, die so aussehen, als kämen sie von vertrauenswürdigen Unternehmen oder Organisationen. Überprüfen Sie die Absenderadresse genau und vergleichen Sie sie mit den Kontaktdaten, die Sie von der betreffenden Firma haben. Sollten Sie unsicher sein, empfiehlt es sich, über andere Kommunikationskanäle (Telefon, Chat) die Mail verifizieren zu lassen.
- Dringlichkeit: Phishing-E-Mails sind oft so gestaltet, dass sie den Empfänger unter Druck setzen, schnell zu handeln. Sie können beispielsweise behaupten, dass das Konto gesperrt wird oder ein Problem mit einer Zahlung besteht.
- Inhalt: Der Inhalt der E-Mail kann auch ein Hinweis darauf sein, ob es sich um eine Phishing-Mail handelt. Häufig werden Sie aufgefordert, persönliche oder vertrauliche Informationen preiszugeben oder auf Links zu klicken. Lassen Sie sich nicht unter Druck setzen. Bewahren Sie unbedingt Ruhe und prüfen Sie die E-Mail sorgfältig, bevor Sie handeln
-
Links: Wenn Sie aufgefordert werden, auf einen Link zu klicken, prüfen Sie diesen sorgfältig, bevor Sie daraufklicken. Überprüfen Sie, ob die URL mit der tatsächlichen Website übereinstimmt, auf die Sie zugreifen möchten. Sollten Sie nicht sicher sein, ob ein Link legitim ist, klicken Sie nicht darauf. Geben Sie die URL der Website stattdessen manuell in den Browser ein oder greifen Sie zum Telefonhörer und haken Sie persönlich nach, ob die Nachricht authentisch ist.
- Anhänge: Seien Sie vorsichtig beim Öffnen von Anhängen in E-Mails von unbekannten Absendern. Diese können schädliche Software (Malware) enthalten, die Ihren Computer oder Ihr Netzwerk infiziert. Wenn Sie unsicher sind, ob es sich bei einer E-Mail um eine Phishing-Mail handelt, sollten Sie die E-Mail nicht öffnen oder auf Links klicken. Stattdessen sollten Sie sich an den vermeintlichen Absender wenden, um die Echtheit der E-Mail zu überprüfen, oder direkt auf die Website zugreifen, anstatt auf den Link in der E-Mail zu klicken.
- Schreib- und Grammatikfehler: Phishing-E-Mails sind oft schlecht geschrieben und enthalten Schreib- oder Grammatikfehler.
Es ist wichtig, jederzeit wachsam zu sein und auf mögliche Anzeichen für Phishing-Angriffe zu achten, um sich selbst und Ihr Unternehmen zu schützen. Wenn Sie vermuten, dass Sie eine Phishing-E-Mail erhalten haben, löschen Sie die E-Mail sofort oder markieren Sie sie als Spam.
Sie haben auf einen Link geklickt – was nun?
Wenn Sie auf den Link in einer Phishing-E-Mail geklickt haben, gibt es einige Schritte, die Sie unternehmen sollten, um Ihre Sicherheit zu gewährleisten:
- Schließen Sie den Browser: Wenn Sie auf den Link geklickt haben, schließen Sie sofort den Browser und trennen Sie Ihre Internetverbindung.
- Überprüfen Sie Ihre Geräte: Scannen Sie Ihre Geräte auf Malware und Viren, um sicherzustellen, dass Ihr System nicht infiziert wurde.
- Ändern Sie Ihre Passwörter: Ändern Sie umgehend alle Passwörter, die Sie auf der besuchten Website verwendet haben und setzen Sie neue, sichere Passwörter.
- Überwachen Sie Ihre Konten: Überwachen Sie alle Ihre Online-Konten und Bankauszüge sorgfältig, um sicherzustellen, dass keine verdächtigen Aktivitäten stattfinden.
- Melden Sie den Vorfall: Melden Sie den Vorfall bei der betreffenden Organisation, um andere Benutzer zu warnen und möglicherweise Maßnahmen gegen den Absender zu ergreifen.
Es ist wichtig, schnell und konsequent zu handeln, um mögliche Schäden durch die Phishing-Attacke zu minimieren.
Sie haben Ihre Daten eingegeben, was nun?
Wenn Sie auf eine Phishing-E-Mail hereingefallen sind und sensible Daten wie Benutzernamen, Passwörter oder Kreditkartendaten preisgegeben haben, sollten Sie schnell handeln, um weitere Schäden zu vermeiden.
- Ändern Sie sofort das Passwort: Wenn Sie Ihre Anmeldedaten auf einer Phishing-Website eingegeben haben, ändern Sie umgehend das Passwort für den betroffenen Account und alle anderen Accounts, bei denen Sie dasselbe Passwort verwendet haben. Verwenden Sie ein sicheres und starkes Passwort und aktivieren Sie die Zwei-Faktor-Authentifizierung, wenn möglich.
- Melden Sie den Vorfall: Melden Sie den Vorfall unverzüglich dem betroffenen Unternehmen oder der Institution. Informieren Sie sie darüber, dass Sie auf eine Phishing-Website hereingefallen sind und Ihre Anmeldedaten gestohlen wurden.
- Überwachen Sie Ihre Konten: Auch hier sollten Sie betroffenen Konten sorgfältig überwachen und prüfen Sie, ob unbefugte Transaktionen oder Aktivitäten stattfinden. Melden Sie verdächtige Aktivitäten unverzüglich dem Unternehmen und Ihrer Bank.
- Schützen Sie sich in Zukunft: Bleiben Sie wachsam! Verwenden Sie Antivirus- und Anti-Malware-Software, um Ihren Computer vor Schadsoftware zu schützen, und halten Sie alle Ihre Programme auf dem neuesten Stand. Seien Sie vorsichtig und misstrauisch, wenn es um E-Mails und Online-Anfragen geht, insbesondere wenn sie um persönliche Informationen bitten.
Es ist wichtig zu beachten, dass es bei Phishing-Angriffen nicht immer offensichtlich ist, dass Ihre Daten gestohlen wurden. Wenn Sie den Verdacht haben, dass Ihre Daten gefährdet sind, sollten Sie vorsorglich handeln und alle betroffenen Konten überwachen und schützen.
So können Sie sich schützen
Phishing ist eine breitgefächerte Bedrohung, die Desktops, Laptops, Tablets und Smartphones gefährden kann. Die meisten Internetbrowser können prüfen, ob ein Link sicher ist, aber die erste Verteidigungslinie gegen Phishing ist Ihr Urteilsvermögen. Üben Sie, Phishing-Anzeichen zu erkennen und versuchen Sie, jederzeit einen sicheren Rechnerumgang zu praktizieren, wenn Sie E-Mails checken, Facebook-Posts lesen oder Ihr Lieblings-Onlinespiel spielen.
Sicherheitssoftware
Verwenden Sie Antiviren- und Anti-Malware-Sicherheitssoftware mit Browser-Überwachung, um Malware in Form von Anhängen oder Links sowie Phishing Seiten zu erkennen und zu blockieren.
- Öffnen Sie keine E-Mails von unbekannten Absendern.
- Überprüfen Sie die E-Mail-Adresse des Absenders genau, um Widersprüche zu erkennen.
- Überprüfen Sie, falls enthalten, vor dem Öffnen den Link, um Unstimmigkeiten zu erkennen. Im Zweifelsfall sollte der Link nicht angeklickt werden. Sie können den Link überprüfen, indem Sie die Maus über den Link führen oder die legitime Website-Adresse manuell in Ihren Browser eingeben.
- Wird in einer E-Mail akuter Handlungsbedarf signalisiert oder mit Konsequenzen bei Nichtbeachtung gedroht, ist Vorsicht geboten! Angreifer setzen Nutzer gerne unter Druck, damit diese unüberlegt handeln.
- Wenn Sie vermuten, dass eine E-Mail nicht legitim ist, kopieren Sie einen Namen oder Text aus der Nachricht in eine Suchmaschine, um zu prüfen, ob es bereits bekannte Phishing-Angriffe mit dieser Methode gibt.
- Geben Sie keinerlei sensible Informationen wie Konto- oder Anmeldedaten per E-Mail preis.
Webseite
- Achten Sie auf das digitale Zertifikat einer Website. Die URL sollte mit https beginnen.
- Führen Sie den Cursor der Maus über den eingebetteten Link, um zu sehen, ob er legitim ist.
- Tragen Sie keine sensiblen Informationen wie Konto- oder Anmeldedaten in Webanmeldeformulare ein.
Telefon
- Seien Sie bei Anrufen von unbekannten Nummern besonders achtsam.
- Entwickeln Sie ein gesundes Misstrauen gegenüber unerwarteten Telefonanrufen und rufen Sie den Anrufenden im Zweifelsfall über eine selbst recherchierte Telefonnummer zurück.
- Geben Sie keine sensiblen Informationen wie Konto- oder Anmeldedaten per Telefon preis.
Unternehmen
- Bieten Sie in Unternehmen umfassende Mitarbeiterschulungen zum Sicherheitsbewusstsein an, um raffinierte Betrugsmethoden zu durchschauen.
- Regelmäßige Phishing-Simulationen tragen zur Sensibilisierung der Mitarbeiter bei und schulen sie im richtigen Umgang mit Phishing-E-Mails.
Fazit
Phishing-Attacken können jederzeit auftreten. Seien Sie deshalb misstrauisch – lieber einmal zu oft als einmal zu wenig! Lassen Sie sich nicht unter Druck setzen, klicken Sie nicht leichtfertig auf Links und hinterfragen Sie die Notwendigkeit von E-Mail-Anhängen, die Sie öffnen sollen.
Und weil man es mit Hinblick auf die Angriffszahlen nicht oft genug wiederholen kann: Geben Sie keine persönlichen Daten preis, die per Mail, Anruf oder SMS bei Ihnen angefragt werden.
Niemals und unter keinen Umständen!
Sie haben Fragen oder interessieren sich für das Thema Phishing? Dann füllen Sie einfach das Kontaktformular aus und wir
melden uns bei Ihnen.