Was ist Phishing: Arten von Angriffen und Tipps zur Vorbeugung
Phishing ist ein raffinierter Cyberangriff, der zum Ziel hat, den Opfern sensible Daten wie Passwörter, Kreditkartendaten und ähnliches zu entlocken. Cyberkriminelle tun dies, indem sie den Anschein erwecken, jemand anderes zu sein und bei ihren Forderungen Druck ausüben.
Wie funktioniert Phishing?
Phishing ist eine gefährliche und effektive Hacker-Methode. Für den Angriff schicken Cyberkriminelle Nachrichten an Personen oder Unternehmen, die mit Schadsoftware infizierte Anhänge oder Links zu schädlichen Webseiten enthalten. Ihr Ziel ist es, dass ihre Opfer die Links oder Anhänge anklicken, wodurch Schadsoftware heruntergeladen wird oder sie auf gefälschte Webseiten geleitet werden, wo man die persönlichen Daten der Opfer stiehlt. Phishing-Angriffe können auf verschiedenen Wegen durchgeführt werden und die Angriffsart hängt davon ab, welche Daten die Angreifer abgreifen wollen.
Im Laufe der Jahre ist Phishing immer ausgeklügelter geworden. Laut Schätzungen gehen rund 32 % aller Datenpannen auf Phishing-Angriffe zurück und rund 64 % der Unternehmen melden mindestens einmal in ihrer Firmengeschichte einen versuchten Phishing-Angriff.
Das Schwierige an Phishing-Angriffen sind die immer ausgefeilteren Methoden, die schwer zu erkennen sind. Insbesondere seit dem Auftreten von KI hat sich das Problem noch verschärft. Vielleicht haben Sie schon einmal eine Phishing-E-Mail geöffnet, es jedoch gar nicht bemerkt. Cyberkriminelle verlassen sich immer mehr auf Social Engineering, um ahnungslose Opfer dazu zu bringen, verdächtige Anhänge zu öffnen.
Übliche Phishing-Techniken
Social Engineering
Bei einem Social-Engineering-Angriff wird das Opfer mit gefälschten Informationen zu schnellen Aktionen gedrängt. Ein Beispiel ist eine angebliche Mahnung vom Finanzamt, die bei Nichtbeachtung strafrechtliche Folgen nach sich zieht. Diese Art von Phishing tritt am häufigsten in dem Zeitraum auf, wenn die Leute ihre Steuerunterlagen einreichen müssen. Eine Nachricht mit einem dringenden Aufruf zum Handeln („Handeln Sie jetzt, um eine Geldstrafe vom Finanzamt zu vermeiden“) führt das Opfer dann zu einer bösartigen Website oder Telefonnummer, über die Cyberkriminelle vertrauliche Daten erlangen können.
Andere anspruchsvollere Beispiele sind eine gefälschte Nachricht von einem Kollegen/Vorgesetzten oder eine gefälschte Bestätigung eines Empfängers. All diese Beispiele können dazu führen, dass eine Vielzahl von Daten kompromittiert wird.
Link-Nachahmung
Die Nachahmung von Links wird oft in Verbindung mit Social Engineering verwendet. Das kann man wieder am Beispiel des Finanzamts verdeutlichen: Einem Opfer wird vorgegaukelt, dass es dem Finanzamt Geld schuldet. Daraufhin klickt es auf den bereitgestellten Link. Auf den ersten Blick erscheint der Link legitim. Vielleicht wird sogar die "richtige" URL für die Website des Finanzamts angezeigt. Nach dem Anklicken wird der Benutzer jedoch auf eine fiktive Website weitergeleitet, auf der seine Daten abgefragt werden. Diese Daten können Cyberkriminelle dann für andere, schädliche Zwecke benutzen.
Was passiert, wenn Sie auf einen Phishing-Link klicken?
Ein Phishing-Link kann das Opfer entweder auf eine fiktive, gefälschte Website leiten, einen Anhang herunterladen oder Schadsoftware/Viren auf dem Gerät oder Netzwerk installieren.
Ein Phishing-Angriff kann das gesamte Netzwerk eines Unternehmens lahmlegen. Es kann gekapert werden oder es können Informationen gestohlen werden. Im Falle eines Angriffs kann ein Unternehmen gezwungen sein, seine Online-Dienste auf unbestimmte Zeit einzustellen, was zu erheblichen Umsatzeinbußen und weiteren Schäden durch die Schadsoftware führt. Darüber hinaus gibt es behördliche Bußgelder, mit denen Unternehmen rechnen müssen, und Auswirkungen auf den Ruf des Unternehmens, falls es zu einer Datenpanne kommt.
Ein Phishing-Angriff ist auch für Otto Normalverbraucher gefährlich, verursacht Schäden oder führt zu Identitätsdiebstahl.
E-Mail-Phishing
Phishing-Angriffe über E-Mails gehören zu den häufigsten und vielseitigsten Phishing-Angriffen und oft auch zu den effektivsten. Derlei Angriffe hängen oft von Social Engineering ab, um Benutzer dazu zu bringen, auf bösartige Links zu klicken oder Schadsoftware herunterzuladen.
Arten von E-Mail-Phishing
Spear Phishing
Ein Spear-Phishing-Angriff kann enormen Schaden anrichten. Um einen derartigen Angriff ausführen zu können, müssen bereits persönliche Daten vorliegen. Der Angreifer kennt bereits die Telefonnummer, die Adresse, den vollständigen Namen und sogar die Ausweisnummer des Opfers und nutzt diese Daten, um Phishing-Anhänge oder -Links legitimer erscheinen zu lassen.
Whaling-Phishing
Ein Whaling-Angriff ähnelt einem Spear-Phishing-Angriff, mit der Ausnahme, dass das Ziel ein "Wal" bzw. ein hochkarätiges Ziel ist und nicht der kleine Mann oder das Netzwerk eines kleinen Unternehmens. Das Ziel besteht darin, Zugang zu extrem wichtigen Daten oder Informationen zu erhalten, die der Geheimhaltung unterliegen.
Clone Phishing
Bei eine Clone-Phishing-Angriff klonen Cyberkriminelle legitime E-Mails und verschicken sie erneut, die nun aber Schadsoftware oder Links zu schädlichen Webseiten enthalten, und versuchen, die Empfänger dazu zu bringen, diese anzuklicken.
Weitere Typen von Phishing-Angriffen
Smishing
Smishing ist dasselbe wie E-Mail-Phishing, außer dass die Angriffe über SMS ausgeführt werden. Ein Opfer erhält in einer SMS eine ähnliche Nachricht wie eine Phishing-E-Mail, d. h. mit einem Link zum Anklicken oder einem Anhang zum Herunterladen.
Vishing
Vishing ist eine ausgeklügeltere und manchmal effektivere Methode des Phishings, da eine tatsächliche Person am anderen Ende des Telefons spricht. Das Ziel ist häufig, sensible Daten wie Kreditkarteninformationen zu erhalten, um sie für finanzielle Transaktionen zu nutzen. Besonders ältere Menschen sind sehr stark gefährdet durch solche Angriffe.
Social Phishing bzw. Angler Phishing
Beim Angler Phishing gibt sich der Angreifer als legitimer Kundendienstmitarbeiter aus und überzeugt die Opfer, persönliche Daten preiszugeben.
Malvertising
Beim Malvertising bezahlen Cyberkriminelle legitime Werbeanbieter dafür, Werbung für ihre Webseiten oder Kanäle in sozialen Medien zu zeigen. Wenn Nutzer auf so eine schädliche Werbung klicken, werden sie zu einer Webseite weitergeleitet, die Schadsoftware auf dem Gerät installiert.
So schützen Sie sich gegen Phishing-Angriffe
Nutzen Sie einen Passwortmanager
Verwenden Sie einen Passwortmanager, um Passwörter sicher zu speichern und zu verwalten. Passwortmanager wie Keeper bieten eine integrierte Warnung vor Phishing-Websites. Wenn Ihre gespeicherten Zugangsdaten auf der von Ihnen besuchten Website nicht angezeigt werden, befinden Sie sich wahrscheinlich auf der falschen Website. Der integrierte Passwortgenerator hilft Ihnen, starke, zufällige Passwörter zu erstellen, um kompromittierte Passwörter zu ersetzen und die Gefahr von Credential Stuffing zu minimieren.
Klicken Sie keine Links an, die Sie nicht erwartet haben
Erhalten Sie in E-Mails, Textnachrichten oder über Messenger ungefragt Links oder Anhänge, klicken Sie sie nicht an. Diese Links oder Anhänge könnten Schadsoftware enthalten, um Ihre vertraulichen Daten zu stehlen oder um sie auszuspionieren.
Sind Sie sich mal nicht sicher, ob ein Link sicher ist, fahren Sie mit der Maus darüber und überprüfen Sie die angezeigte vollständige Webseitenadresse. Anwendungen wie der Google Transparency Report helfen Ihnen dabei ebenfalls.
E-Mail-Scanner nutzen
Ein E-Mail-Scanner ist eine Anwendung, die E-Mail-Anhänge auf potenzielle Schadsoftware überprüft. Mit so einer Anwendung können Sie sich besser vor Phishing-Angriffen schützen.
So schützen Sie Ihr Unternehmen vor Phishing-Angriffen
Mitarbeiterschulung
Informieren Sie Ihre Mitarbeiter über die Gefahren von Phishing, die verschiedenen Arten von Phishing und wie man einen Angriff verhindert. Sie können auch zufällige Phishing-Tests durchführen, damit Ihr Team wachsam bleibt.
Einsatz eines Passwortmanagers für Unternehmen
Eine Passwort-Management-Plattform für Ihr Unternehmen gewährleistet, dass die Passwörter Ihres Unternehmens sicher gespeichert werden und nur den richtigen Personen zur Verfügung stehen. Keeper bietet beispielsweise spezielle rollenspezifische Zugriffsfunktionen und Freigabeordner, um einzuschränken, wer Zugangsdaten und Datensätze einsehen darf. Zu unseren robusten Funktionen für Unternehmen gehören auch die Passwortüberprüfung und Berichte, die hilfreiche Updates zum Team-Passwortverhalten liefern und die Durchsetzung von Passwortrichtlinien erleichtern.
Verwenden Sie eine Antivirus-Software
Antivirensoftware kann häufig Schadsoftware erkennen und isolieren oder löschen, die auf Mitarbeitergeräte heruntergeladen wurde. Sie kann auch E-Mails, bestimmte Dateien oder Pfade auf Geräten auf Schadsoftware und andere Viren scannen. Es gibt viele kostenlose Antivirenprogramme für Unternehmen, die online verfügbar sind.