Phishing

Was ist Phishing?

Phishing bezeichnet den Versuch, Daten von Internetnutzern durch gefälschte Internetadressen, E-Mails oder SMS-Nachrichten zu ergattern. Das primäre Zziel besteht darin, an persönliche Informationen zu gelangen und – in den meisten Fällen – finanziellen Schaden zuzufügen. Der Begriff „Phishing“ leitet sich dabei von „fishing“ (englisch für Angeln oder Fischen) ab und bezieht sich auf die Tatsache, dass Betrüger buchstäblich nach Passwörtern fischen, indem sie unterschiedliche Köder verwenden.

Geschichte des Phishing

Der Begriff „Phishing“ entstand in den 1990er Jahren, als Hacker betrügerische E-Mails nutzten, um Informationen zu stehlen. Diese Angriffe zielten auf ahnungslose Nutzer ab. In den 2000er Jahren verlagerte sich das Ziel auf Bankkonten, wobei gefälschte E-Mails auf schädliche Websites leiteten, die wie legitime Bankseiten aussahen. Die gestohlenen Zugangsdaten wurden auch für Attacken bei anderen Diensten genutzt.

Mit der Zeit wurden Phishing-Angriffe immer ausgeklügelter. Die Täter nutzten Social Engineering-Techniken, um die Opfer zu täuschen, und die gefälschten E-Mails und Websites wurden immer schwerer von den echten zu unterscheiden.

Im Laufe der Jahre gab es zahlreiche gut bekannte Phishing-Angriffe. Einer der bekanntesten war der “PayPal-Phish” aus dem Jahr 2003, bei dem Tausende von gefälschten E-Mails im Namen von PayPal verschickt wurden. Ein weiterer bekannter Angriff war der “Bank of America-Phish” aus dem Jahr 2004.

Nicht nur Privatpersonen, sondern auch Regierungen und Unternehmen wurden immer häufiger Opfer von Phishing-Attacken. Als Folge wurde aktiver an der Bekämpfung dieser Angriffe gearbeitet. Es wurden Gesetze erlassen, um Phisher strafrechtlich zu verfolgen, beziehungsweise gab es auch verstärkte Bemühungen, die Öffentlichkeit über die Gefahren des Phishing aufzuklären. Unternehmen entwickelten zudem Technologien wie Spamfilter und Phishing-Warnungen, um Nutzer effektiv zu schützen.

Noch heute wird die Optimierung von Gegenmaßnahmen gefördert, da sich auch Phishing-Techniken ständig weiterenwickeln. Neben E-Mails werden auch andere Kommunikationsmittel wie SMS und Soziale Medien für Phishing-Attacken genutzt.

Somit bleibt Phishing eine ernsthafte Bedrohung für die Cyber Sicherheit. Die Täter passen ihre Techniken ständig an, um die Aufmerksamkeit der Opfer zu erregen und persönliche Informationen zu stehlen. Es ist daher wichtig, wachsam zu sein, verdächtige Nachrichten zu melden und sich über Phishing-Betrug auf dem Laufenden zu halten.

Welche Arten von Phishing gibt es?

Hacker nutzen unterschiedliche Herangehensweisen, um an (persönliche) Informationen zu gelangen. Gemeinsam haben diese Angriffe jedoch, dass betrügerische Täuschungen angewandt werden.

Spear-Phishing

Spear-Phishing zielt im Vergleich zu Phishing Massen-E-Mails auf bestimmte Personen oder Organisationen ab, um mit maßgeschneiderten Inhalten zu überzeugen. Die Angreifer recherchieren vorher sehr genau und erstellen so personalisierte E-Mails. Zum Beispiel kann ein Betrüger eine gefälschte E-Mail von einem Vorgesetzten senden, die eine Zahlung zum Ziel hat. Dies ist eine ernsthafte Bedrohung, die hohen finanziellen Schaden verursachen kann.

Clone-Phishing

Bei diesem Angriff erstellen Kriminelle gefälschte Kopien legitimer E-Mails mit Links oder Anhängen. Sie ersetzen die echten Links/Anhänge durch schädliche Imitationen. Ahnungslose Benutzer klicken darauf, was dem Angreifer die Kontrolle über ihr System ermöglicht. Infolgedessen kann sich der Angreifer als vertrauenswürdiger Absender ausgeben, um weitere Personen im Unternehmen zu täuschen.

Telefon-Phishing

Telefon-Phishing, auch als “Vishing” bekannt, ist eine Betrugsmethode, bei der Angreifer Opfer per Telefon kontaktieren und sich als vertrauenswürdige Personen oder Institutionen, z.B. Polizei oder Bank, ausgeben. Sie schildern erst ein Problem, um dann mit der passenden Lösung aufzuwarten. So gelangen diese an persönliche Informationen wie Passwörter oder Kreditkartendaten.

Wie erkenne ich Phishing-E-Mails?

Als erste Maßnahme ist es wichtig, Phishing-E-Mails als solche differenzieren zu können, um das Risiko von Attacken signifikant zu senken. Das Erkennen dieser E-Mails erfordert Achtsamkeit und die Beachtung bestimmter Warnzeichen. Im Folgenden stellen wir Ihnen einige Tipps vor, die Ihnen dabei helfen, Phishing-E-Mails zu erkennen:

1. Überprüfen Sie den Absender

Die E-Mail Adresse des Absenders gibt meist Auskunft über die Seriosität der E-Mail. Bei Rechtschreibfehlern und Abweichungen der eigentlichen Domain sollten bereits die Alarmglocken läuten. Zudem verwenden Phisher oft leicht abgeänderte Adressen, um echte E-Mails nachzuahmen.

2. Kam die E-Mail unerwartet?

Sie haben bei einem Gewinnspiel gewonnen, ohne in letzter Zeit eine Teilnahme bestätigt zu haben? Ein Paket konnte nicht zugestellt werden, aber Sie erwarten aktuell gar keine Bestellung? Ihre „Bank“ informiert Sie darüber, dass eine Zahlung nicht erfolgreich durchgeführt werden konnte, Sie können sich jedoch gar nicht an besagte Überweisung erinnern?

In diesen Momenten ist Ihre Skepsis berechtigt. Sobald dringende Maßnahmen erforderlich sind oder persönliche Informationen benötigt werden, sollten Sie besser nicht reagieren.

3. Grammatik & Rechtschreibung

Phishing-E-Mails weisen sehr häufig Fehler in Grammatik und Rechtschreibung auf. Dies ist keinesfalls ein Resultat von Inkompetenz. Fake E-Mails verfolgen die Absicht, unseriös zu erscheinen. So können unerfahrene Nutzer noch leichter ausgenutzt werden, da diese oftmals nicht vertraut sind mit derlei Praktiken.

Wenn eine Nachricht also viele Fehler enthält, ist sie mit hoher Wahrscheinlichkeit nicht von einem seriösen Absender.

Wie schütze ich mich vor Phishing-Angriffen?

Um sich vor Phishing-Angriffen zu schützen, sollten Sie eine Reihe von bewährten Sicherheitspraktiken befolgen. Phishing-Angriffe können per E-Mail, SMS, Sozialen Medien oder sogar über gefälschte Websites erfolgen.

1. Vorsicht bei Anhängen & Links

Bei Anhängen oder Links in E-Mails ist Vorsicht geboten. Stellen Sie zuerst sicher, dass es sich dabei um legitime Aufforderungen handelt und Sie auch mit einer solchen rechnen. Die URL muss stets zu einer offiziellen Website führen. Dies können Sie überprüfen, indem Sie – bevor Seite auf den Link klicken – zuerst darüber hovern und so die URL in der Vorschau genauer inspizieren können.

2. Phishing-Filter nutzen

Sie haben die Möglichkeit, in Ihrem E-Mail-Client oder Browser den Phishing-Filter zu aktivieren, um bekannte Phishing-Websites zu blockieren. Dies erweist sich in der Regel als äußerst nützliche Präventiv-Maßnahme. Nichtsdestotrotz sollten Sie aktiv auf suspekte Anzeichen achten.

3. Regelmäßig Updates durchführen

Auf dem neuesten Stand zu bleiben, ist vor allem im Bereich der Cyber Security absolut notwendig. Halten Sie daher Ihr Betriebssystem, Ihren Browser und Ihre Sicherheitssoftware immer up-to-date, um Sicherheitslücken zu schließen.

4. Multi-Faktor-Authentifizierung (MFA) umsetzen

Um zusätzliche Sicherheitsmaßnahmen zu nutzen, sollten Sie unbedingt eine Multi-Faktor-Authentifizierung einrichten. Damit schützen Sie vor allem Online-Konten, die jedes Mal eine Anmeldung verlangen. Mehr zum Thema MFA erfahren Sie in unserem Blogartikel „Die Multifaktor Authentifizierung (MFA) – Was sie ist und wie sie funktioniert“, der sich ausführlich mit der Theorie sowie der Implementierung im Unternehmen beschäftigt.

5. Passwortrichtlinie einführen

In einem Unternehmen jeglicher Größe gehört die Nutzung von Passwörtern zum Arbeitsalltag der Mitarbeiter. Daher ist es wichtig, dass eine korrekte Passwortrichtlinie eingeführt wird. Diese empfiehlt unter anderem starke, eindeutige Passwörter für Online-Konten zu nutzen und diese regelmäßig zu ändern.

In unserem Blogartikel „Die Passwortrichtlinie: Warum Unternehmen sichere Passwörter benötigen“ widmen wir uns dieser Thematik im Detail.

Was sind die Folgen von Phishing?

Phishing-Attacken werden immer häufiger durchgeführt und können schwerwiegende Folgen für Einzelpersonen, Unternehmen und Organisationen haben.

Identitätsdiebstahl: Phishing-Angriffe haben zum Ziel, sensible Informationen wie Benutzernamen, Passwörter, Sozialversicherungsnummern und Kreditkartendaten zu stehlen. Mithilfe dieser Informationen können Kriminelle Identitätsdiebstahl begehen und im Namen von Privatpersonen (auch Mitarbeitern) betrügerische Aktivitäten ausführen.

Finanzieller Schaden: Wenn Phisher Zugriff auf finanzielle Konten erhalten, können sie Geld abheben, unberechtigte Einkäufe tätigen und Bankkonten leeren. Dies kann zu erheblichen finanziellen Verlusten führen. Dies ist auch nicht selten im Unternehmenskontext der Fall. Daher müssen Mitarbeiter im Vorfeld gebriefed und über mögliche Risiken aufgeklärt werden.

Rufschädigung: Eine Phishing-Attacke kann selten verschleiert werden. Sind erst Stakeholder oder gar die Öffentlichkeit über den Angriff informiert, geht meist eine gravierende Schädigung des Unternehmensimage einher. Diese Reputation bleibt auch meist über eine lange Zeit im Gedächtnis aller Beteiligten bzw. Informierten. Schlimmstenfalls leidet das Unternehmen dadurch weitere finanzielle Verluste.

Betriebsunterbrechungen: Für Unternehmen und Organisationen führen Phishing-Angriffe nicht selten zu Betriebsunterbrechungen, insbesondere wenn Malware in Unternehmensnetzwerke eindringt. Ein Stopp in der Produktion bedeutet zumeist auch Umsatzeinbußen. Wie lange es dauert bis dieser Schaden wieder kompensiert wird bzw. der Betrieb wieder am Laufen ist, ist zudem in den meisten Fällen schwer prognostizierbar.

Wie kann ich mich vor Phishing schützen?

Mit den vorangegangenen Tipps können Sie bereits sehr gute Schutzmaßnahmen ergreifen. Wenn Sie unsicher sind bezüglich Ihrer aktuellen IT Infrastruktur und potenziellen Risiken, sollten Sie unbedingt auf einen externen Profi vertrauen, der Ihre Systeme unter die Lupe nimmt.

Cyber Security Audit

Bevor durch eine beratende Firma Optimierungen umgesetzt werden, sollte ein sogenanntes Cyber Security Audit durchgeführt werden. Dies bezeichnet die systematische Prüfung und Überprüfung der Sicherheitsmaßnahmen, -prozesse und -richtlinien in Bezug auf die digitale Infrastruktur Ihrer Organisation.

Das primäre Ziel eines solchen Audits besteht darin, die Wirksamkeit der Sicherheitsmaßnahmen zu bewerten und mögliche Schwachstellen oder Risiken zu identifizieren, welche die Organisation anfällig für Cyber-Angriffe machen könnten.

Bei Semerad IT sind Sie an der richtigen Adresse, wenn es um die Sicherheit Ihrer IT Infrastruktur geht. Bei uns erwartet Sie ein direkter Ansprechpartner, der mit Ihnen gemeinsam an effektiven Lösungen arbeitet und für eine maximales Sicherheitslevel in Ihrem Unternehmen sorgt. Kontaktieren Sie uns gleich, um Ihre Systeme vom Experten zum Thema Cyber Security analysieren zu lassen!