Was Ist Phishing Und Wie Man Es Verhindert

Sara Ismar
By: Sara Ismar IT-Sicherheit | 7 Februar

Definition von Phishing 

Phishing ist eine Art von Cyberangriff, bei dem Cyberkriminelle betrügerische E-Mails verwenden, um Sie dazu zu verleiten, sensible Informationen preiszugeben. Diese Informationen werden dann verwendet, um auf wichtige Konten zuzugreifen, was zu Identitätsdiebstahl und großen finanziellen Verlusten führen kann. Da Phishing-Angriffe immer häufiger und raffinierter werden, stellen sie eines der größten Sicherheitsrisiken für Unternehmen dar.Table of Content

 

Inhaltsverzeichnis

Phishing-Angriffe nehmen zu

Es gibt kein Anzeichen dafür, dass Phishing-Angriffe abnehmen. In 2020 war Phishing die am häufigsten vorkommende Cyberkriminalität, und die Häufigkeit hat sich seit dem vorherigen Jahr fast verdoppelt. Auf einer globalen Skala haben 75% aller Unternehmen auf der Welt eine Form von Phishing-Angriff erfahren.  

Es besteht kein Zweifel, dass die Pandemie die Landschaft für Unternehmen verändert hat, indem sie für Unsicherheit gesorgt und neue Arbeitsgewohnheiten wie die Fernarbeit gefördert hat. Dies in Kombination mit der Verfügbarkeit von Phishing-Kits macht es Cyberkriminellen leichter denn je, Angriffe zu starten, und macht Unternehmen zu einem perfekten Ziel. 

In diesem Blogbeitrag wird erläutert, was Phishing ist, welche Merkmale ein Angriff hat und welche Arten von Phishing Sie kennen müssen. Anschließend gehen wir darauf ein, was Sie unternehmen können, damit Ihr Unternehmen nicht zu einer Phishing-Statistik wird. 

Gemeinsame Merkmale von Phishing-E-Mails 

Die meisten Menschen wissen, dass es sich bei E-Mails vom nigerianischen Prinzen, in denen Ihnen eine große Geldsumme angeboten wird, um einen Phishing-Angriff handelt. Wenn Cyberkriminelle jedoch Taktiken anwenden, mit denen sie Vertrauen auszunutzen und Gefühle der Beunruhigung hervorrufen, werden selbst die cleversten Menschen Opfer von Phishing-Angriffen. Werfen wir einen Blick auf die typischen Merkmale einer Phishing-E-Mail: 

  • Die E-Mail enthält schlechte Grammatik und Rechtschreibfehler. Das offensichtlichste Anzeichen für eine Phishing-E-Mail ist die fehlerhafte Verwendung von Grammatik und schlechter Rechtschreibung. Die meisten Unternehmen verwenden Autokorrektur- und Rechtschreibprüfungsprogramme für ausgehende E-Mails. Es ist also Vorsicht geboten, wenn Sie eine E-Mail voller Fehlern erhalten. 

  • Die E-Mail wirkt sehr ungewöhnlich. Wenn die Anfrage in der E-Mail sehr ungewöhnlich wirkt und nicht den Normen Ihres Unternehmens entspricht, sollten Sie skeptisch sein. Ein Beispiel wäre jemand aus der IT-Abteilung, der Ihnen eine E-Mail wegen der Installation eines Programms schickt, obwohl solche Angelegenheiten üblicherweise anders geregelt werden.  

  • Die E-Mail fordert zu dringendem Handeln auf. Phishing-E-Mails enthalten oft Drohungen oder vermitteln ein Gefühl der Dringlichkeit, das Sie dazu veranlasst, schnell zu reagieren, bevor Sie vernünftig nachdenken. Die fünf häufigsten Betreffzeilen für Phishing-Angriffe im Jahr 2019 enthielten die Wörter dringend, Anfrage, wichtig, Zahlung oder Achtung 

  • Die E-Mail enthält verdächtige Anhänge. Phishing-E-Mails enthalten in der Regel bösartige Anhänge oder Hyperlinks zu bösartigen Websites. Ein unüberlegter Klick später ist Ihr Gerät infiziert, oder Sie haben dem Cyberkriminellen persönliche Daten, Kreditkarteninformationen oder Passwörter übergeben.

Smart CTA_phishingcase DE

Phishing-E-Mails sind häufig an Mitarbeiter*innen gerichtet 

Cyberkriminelle haben es in der Regel auf das "schwächste Glied" im Unternehmen abgesehen, und ohne angemessene Cybersicherheitsschulung sind dies Ihre Mitarbeiter*innen. Im Folgenden finden Sie ein Beispiel für eine Phishing-E-Mail, die darauf ausgelegt ist, das Vertrauen und den Respekt Ihrer Mitarbeiter*innen vor Autoritäten auszunutzen. Die E-Mail informiert die Mitarbeiter*innen über einen neuen Evakuierungsplan aufgrund geänderter staatlicher Regelungen. Dabei wird der Person eine knappe Frist gesetzt, den Plan zu lesen und zu unterschreiben, indem sie auf den eingebetteten Hyperlink klickt. 

Was ist ein Phishing-Kit? 

Einer der Gründe für die Zunahme von Phishing-Angriffen ist die Verfügbarkeit von Phishing-Kits. Ein Phishing-Kit ist eine Sammlung von Software-Tools, die es Cyberkriminellen unabhängig von ihren technischen Kenntnissen leicht machen, Phishing-Kampagnen zu starten. Dies liegt daran, dass die Kits in der Regel E-Mail-Vorlagen, Grafiken und Skripte enthalten, mit denen sich überzeugende Imitationen von legitimen Websites erstellen lassen. Wenn Phishing-Kits im Darkweb verfügbar sind, wird es Phishing-Angriffe sehr wahrscheinlich weiterhin geben. 

Bekannte Phishing-Angriffe 

Manche Phishing-Angriffe sorgen für Schlagzeilen. Die folgenden Beispiele zeigen, dass selbst die technisch versiertesten Unternehmen Opfer von Phishing-E-Mails werden. Noch wichtiger ist jedoch, dass die Angriffe hätten verhindert werden können, wenn die Unternehmen proaktiver in Hinblick auf die Sensibilisierung für Phishing gewesen wären.  

Vor einigen Jahren wurden Facebook und Google Opfer eines Phishing-Angriffs, der sie mehr als 100 Millionen Dollar kostete. Ein Cyberkrimineller richtete eine fiktive Firma ein, die sich als Lieferant von Computerteilen ausgab. Die Firma war angeblich mit den Tech-Giganten verbunden, und schickte Phishing-E-Mails an bestimmte Mitarbeiter*innen, in denen sie ihnen Waren und Dienstleistungen in Rechnung stellte.  

Ein weiteres Beispiel ist Sony Pictures, wo Mitarbeiter*innen Phishing-E-Mails erhielten, die angeblich von Apple stammten. Die Opfer wurden aufgefordert, ihre Apple-ID in ein gefälschtes Formular einzugeben, in dem die Angreifer ihre Anmeldedaten für das Sony-Netzwerk ausfindig machen konnten. Der Angriff kostete das Unternehmen mehr als 100 Terabyte an Unternehmensdaten, darunter Finanzunterlagen und Kundendaten. 

Consequences of phishing - Infographic

Phishing-Arten 

Spear-Phishing, Vishing, Smishing … die Liste geht weiter. Phishing hat sich in viele Arten entwickelt. Diese unterscheiden sich in der Regel nach dem Ziel des Angriffs und der Methode, mit der der Angriff durchgeführt wird. Alle haben jedoch das gemeinsame Ziel, an vertrauliche Informationen des Opfers zu gelangen. Schauen wir uns die verschiedenen Arten von Phishing-Angriffen einmal genauer an: 

  • Smishing  

  • Vishing 

  • CEO fraud 

  • Spear-phishing 

  • Whaling 

  • Barrel-phishing  

  • Pharming

  • Quishing

Smishing: Phishing durch Textnachrichten  

Smishing oder SMS-Phishing ist quasi Phishing durch Textnachrichten. Ähnlich wie bei Phishing wird in der Nachricht ein Gefühl der Dringlichkeit vermittelt und kommt scheinbar von einem vertrauenswürdigen Absender. Sie enthält einen URL-Link, der Sie zu einem Phishing-Tool weiterleitet, in dem Sie private Informationen preisgeben sollen. Hier ist ein Beispiel eines Smishing-Angriffs, der es auf VISA-Kreditkarten abgesehen hat.

Vishing: Voice-Phishing durch Anrufe  

Haben Sie schon einmal einen Anruf von jemandem erhalten, der sich als Microsoft ausgibt? Dann waren Sie bereits Opfer von Vishing oder Voice Phishing. Sie denken sich vielleicht: „Welcher vernünftige Mensch würde auf so etwas hereinfallen?", aber mit einer gefälschten Anrufer-ID und etwas Überredungskunst werden Sie überrascht sein, wie viele Menschen davon überzeugt werden, Software zu installieren, die in Wirklichkeit Malware ist. Schauen Sie sich hier Beispiele für gängige Vishing-Angriffe an.

CEO Fraud: Vorgeben, die Unternehmensführung zu sein 

CEO Fraud, auch bekannt als Executive Phishing, ist eine Form der Cyberkriminalität, bei der sich der Angreifer per E-Mail als CEO, CFO oder eine andere Führungskraft des Unternehmens ausgibt. Die Masche funktioniert, weil sie Ihr Vertrauen in die Autorität ausnutzt und Sie dazu veranlasst, der Aufforderung nachzukommen, ohne noch einmal darüber nachzudenken.

Spear-Phishing: Gezielte Angriffe auf bestimmte Mitarbeiter*innen 

Spear-Phishing ist eine gezielte Form des Phishings. Anstatt allgemeine E-Mails in Massen zu versenden, erstellt der Angreifer nach ausgiebiger Recherche betrügerische Nachrichten, die sich an eine bestimmte Person oder Gruppe innerhalb eines Unternehmens richten. Dies erfordert zwar mehr Arbeit für den Cyberkriminellen, führt aber zu höheren Erfolgsquoten, da die Leute unvorsichtig werden, wenn die E-Mail von jemandem zu kommen scheint, der sie kennt.

Whaling: Angriffe auf leitende Angestellte 

Whaling oder Whale-Phishing ist eine Form des Spear-Phishings, das auf große Fische wie CEOs oder andere hochrangige Personen abzielt. Der Cyberkriminelle nutzt die öffentlich zugänglichen Informationen über diese Personen, um die Phishing-E-Mail anzupassen. So könnte in einer Whaling-E-Mail beispielsweise angegeben werden, dass das Unternehmen mit rechtlichen Schritten konfrontiert ist oder dass der Ruf des Unternehmens aufgrund eines kürzlich bekannt gewordenen Ereignisses oder einer Aktion der Führungskraft geschädigt wurde. Praxisbeispiele für Whaling finden Sie in diesem Blog. 

Barrel-Phishing: Vor der Phishing-E-Mail wird eine „unschuldige” E-Mail gesendet  

Bei dieser auch als Double-Barreling bezeichneten Taktik werden zwei getrennte E-Mails versendet, wobei die erste den Köder darstellt und die zweite die E-Mail mit dem bösartigen Anhang. Die erste E-Mail könnte den Anschein erwecken, dass sie von Ihrem Kollegen stammt und lautet: Hallo, bist du im Büro? Ich wollte dich um einen schnellen Gefallen bitten. Der Zweck dieser harmlosen E-Mail ist es, Vertrauen und Glaubwürdigkeit aufzubauen, so dass Sie unvorsichtig werden. Dann kommt die zweite Folge-E-Mail, die etwa so klingt: Hallo noch einmal, könntest du diesen Bericht bitte so schnell wie möglich überprüfen. Diese E-Mail enthält einen bösartigen Link, der Sie auf eine gefälschte Website führt. 

Pharming 

Beim Pharming leitet der Cyberkriminelle Ihre Website-Anfrage unwissentlich auf eine Website um, die wie die echte aussieht, z. B. die Website Ihrer Bank. Auf diese Weise kann der Cyberkriminelle Ihre Anmeldedaten abfangen und sich damit Zugang zu Ihrem Konto verschaffen. Im Gegensatz zum Phishing, bei dem der Angriff über elektronische Kommunikation erfolgt, findet Pharming direkt im Browser statt. Wie funktioniert das? Einfach erklärt manipuliert der Cyberkriminelle das Domain Name System (DNS), also das System, das Webbrowser mit Websites verbindet. Aus diesem Grund ist diese Form des Angriffs äußerst raffiniert und schwer zu erkennen.

Quishing 

Quishing ist Phishing durch QR-Codes. Anstelle von Links in E-Mails verwenden die Kriminellen QR-Codes, um Daten und Anmeldeinformationen von ihren Opfern zu erhalten oder um Malware zu installieren. 

Quishing-Angriffe sind schwer zu erkennen, da alle QR-Codes irgendwie gleich aussehen, bis man mit dem Scanner darüber fährt.

Wie Sie Phishing verhindern 

Wie kann man also verhindern, auf Phishing-Angriffe hereinzufallen? Zwei spezifische Maßnahmen, die Ihr Unternehmen vor Phishing-Angriffen schützen können, sind Sandboxing und Pen-Tests mit Simulationen. Die Realität sieht jedoch so aus, dass Phishing-Versuche auf Menschen abzielen, und daher muss der Mensch die wichtigste Abwehrmaßnahme sein! Aus diesem Grund ist das Awareness-Training für Phishing und die Einführung einer guten Sicherheitskultur in Ihrem Unternehmen der erste Schritt, um Phishing-Angriffe zu verhindern. 

 

How to prevent Phishing - Infographic

Sandboxing für eingehende E-Mails nutzen 

Sandboxing" ist eine proaktive Abwehrtechnik, die Ihre IT-Sicherheitsabteilung einsetzen kann. Dabei werden verdächtige E-Mails, URLs oder Anhänge in einer isolierten Testumgebung auf ihre Sicherheit geprüft, bevor sie Ihr Netzwerk oder Ihren E-Mail-Server erreichen. Diese Technik bietet eine zusätzliche Schutzschicht zu den herkömmlichen Filtern, die eingehende E-Mails scannen. 

Pentesting mit Phishing-Simulationen 

Penetrationstests oder Pentests sind eine Übung zur Sicherheitsschulung, bei der getestet wird, wie gut Ihr Unternehmen auf Phishing vorbereitet ist. Eine Möglichkeit dafür ist die Simulation von Phishing-Angriffe, bei denen sich Ihre Mitarbeiter*innen darin üben können, falsche E-Mails zu erkennen. Je nachdem, was Ihre Ziele sind, können Sie diese Übung selbst durchführen oder mit einem externen Schulungspartner (wie uns) zusammenarbeiten. Anhand der Ergebnisse kannst du Schwachstellen erkennen und Strategien zur weiteren Schulung Ihrer Mitarbeiter*innen entwickeln. 

Sensibilisierung für Phishing 

Sie können sich und Ihr Unternehmen besser vor Angriffen schützen, wenn Sie lernen, Anzeichen von Phishing zu erkennen. Aus diesem Grund ist das Awareness-Training für Phishing der Schlüssel zur Prävention. Jedoch ist ein einmaliger Crashkurs nicht ausreichend. Da sich Phishing-Angriffe ständig weiterentwickeln, ist eine kontinuierliche Schulung unerlässlich, um ein aufmerksames Team zu schaffen. Tatsächlich können Sie Ihr Team durch die Kombination von Simulationen mit fortlaufendem Awareness-Training zu einer starken ersten Verteidigungslinie machen. Das Awareness-Training kann durch digitales E-Learning, physischen Unterricht oder eine Mischung aus beidem erfolgen.

 

Unsere Forschungen haben ergeben, dass nach kontinuierlichem Awareness-Training und Phishing-Tests, unsere Nutzer*innen eine Abnahme in Fehlern von 50% bei simulierten Phishing-Angriffen feststellen konnten. 

Schaffen Sie eine gute Sicherheitskultur 

Zu guter Letzt sollten Sie eine Kultur der Cybersicherheit schaffen, die sicheres Verhalten fördert und die Mitarbeiter*innen befähigt, sich zu melden, wenn etwas verdächtig riecht. Stellen Sie beispielsweise sicher, dass Sie über ein Verfahren für den Fall eines Cyberangriffs verfügen und dass Ihr Team weiß, an wen es sich wenden muss. Die Einrichtung dieses Prozesses und die Festlegung von Rollen und Erwartungen ist einer der vielen Vorteile einer Phishing-Simulation.  

Ermutigen Sie Team außerdem dazu, im Zweifelsfall immer um Hilfe zu bitten und keine Angst vor Fehlern zu haben. Auf diese Weise fühlen sich die Teammitglieder dabei „sicher“, von einer Phishing-E-Mail zu berichten, wenn der Schaden bereits eingetreten und diese angeklickt wurde. Dadurch können geeignete Maßnahmen schneller ergriffen und der Schaden erheblich reduziert werden.  

Schlussendlich sollten Sie Teammitglieder belohnen, die Phishing-E-Mails melden, z. B., indem Sie einen „Fang des Tages“ präsentieren. Außerdem können Sie unsere kostenlosen Cybersicherheitsposter herunterladen und in Ihrem Büro aufhängen, um Ihr Team dabei zu unterstützen, gute digitale Gewohnheiten zu praktizieren und auf der Hut zu sein! 

Letzte Worte 

In diesem Blogbeitrag haben wir erläutert, was Phishing ist und warum es eine der größten Sicherheitsbedrohungen ist, denen Unternehmen heute ausgesetzt sind. Wir haben gelernt, dass Phishing in allen Formen und Größen auftritt und dass jeder im Unternehmen Ziel von Phishing-Angriffen sein kann. Aus diesem Grund war es noch nie so wichtig wie heute, das Bewusstsein für Phishing durch Schulungen zur Cybersicherheit zu schärfen. Mit einer Absicherung auf der menschlichen Ebene verringern Sie die Wahrscheinlichkeit, dass Ihr Unternehmen zum neuesten Fang des Phishers wird erheblich!