Phishing, Definition, die man kennen sollte, bevor man auf diese "dringende Mail" antwortet

Phishing ist eine der häufigsten Cyberbedrohungen. Eine Zahl, die das belegt: 2023 wurden weltweit 1,76 Milliarden betrügerische URLs versendet (Quelle: Stoïk Cyber Claims Report 2023).

Was sind die Merkmale dieser Art von Online-Angriffen? Wie kann man sich dagegen schützen? Was sind die besten Anti-Phishing-Tools? Wir zeigen Ihnen alle Infos, die Sie wissen müssen, um die Risiken und Auswirkungen von Phishing auf Ihr Geschäft zu minimieren.

Alle Antivirus Software ansehen

Definition von Phishing

Was ist Phishing bzw. Phishing?

Phishing ist ein Cyberangriff, der nach dem Prinzip des Social Engineering funktioniert. Konkret bedeutet dies, dass der Kern des Betrugs eher auf menschliches Versagen (übermäßiges Vertrauen, mangelnde Wachsamkeit usw.) als auf eine tatsächliche technische Schwachstelle zurückzuführen ist.

Bei einem Phishing-Versuch täuscht ein Hacker die Identität eines Ihrer vertrauenswürdigen Kontakte vor, um Ihnen eine dringende E-Mail oder Nachricht zu senden. In der Regel handelt er im Namen einer Institution (Bank, Lieferdienst, Partner, Kunde usw.), aber bei gezielteren Angriffen kann er sich auch als Kollege oder Vorgesetzter ausgeben.

Die Nachricht fordert Sie auf, Ihre Daten aufgrund eines technischen Fehlers, einer Aktualisierung usw. zu "aktualisieren" oder zu "bestätigen".

🔎 In Wirklichkeit ist es das Ziel des Hackers, an persönliche Daten oder Bankdaten zu gelangen, um sie auszuwerten.

Klassischer Ablauf eines Phishing-Angriffs

1. Vorbereitung: Auswahl der Ziele, Sammlung der für die Glaubwürdigkeit notwendigen Informationen und Wahl der Strategie.

2. Verteilung durch massiven oder gezielten Versand von betrügerischen Nachrichten unter Verwendung gekaperter Domainnamen.

3. Schaffung eines Dringlichkeitsempfindens und Ausnutzung der Autorität. Der Betrug wirkt glaubwürdig, mit einer Nachricht mit kohärentem Kontext, kopierten visuellen Elementen (Firmenlogo).

4. Datenerfassung durch Umleitung auf einen gefälschten Domainnamen oder ein Eingabeformular.

5. Verwendung der Anmeldedaten, Überweisung von Geld auf ein Konto, Weiterverkauf der Daten im Dark Web.

6. Nach der Operation, Löschen der betrügerischen Seiten, Verschleierung des Ursprungs des Angriffs.

Die verschiedenen Arten von Phishing

Es gibt verschiedene Arten von Phishing, je nachdem, welches Opfer man anvisiert und welche Medien man verwendet:

• Klassisches E-Mail-Phishing: Eine generische E-Mail, die massenhaft verschickt wird und die Identität legitimer Strukturen (Banken, Online-Dienste) vortäuscht. Das Opfer wird dann zu einem Domainnamen weitergeleitet, der die Originalseiten nachbildet. 💌

• Spear Phishing: Ein gezielter Angriff, der eine vorherige Recherche über das zukünftige Opfer mit einer personalisierten Nachricht verlangt.

• Whaling: Ein Phishing, das speziell auf "dicke Fische" (Manager, Führungskräfte usw.) abzielt, mit ausgeklügelten Botschaften und hohen finanziellen Einsätzen. 🐋

• Smishing: Eine Art des Phishings, die per SMS mit einer Kurznachricht erfolgt, die zum Anklicken eines Links auffordert. 📲

• Vishing: Phishing per Telefon oder Videokonferenz, bei dem man sich als Mitglieder einer offiziellen Organisation ausgibt.

• Quishing: Eine Phishing-Technik, bei der die QR-Code-Technologie verwendet wird.

Spam und Phishing: Wo liegen die Unterschiede?

Sowohl Spam als auch Phishing gehören in die Kategorie der unerwünschten Nachrichten. Spam ist eine unerbetene E-Mail, die in Massen verschickt wird, um für ein Produkt oder eine Dienstleistung zu werben. Sie ist invasiv, beinhaltet aber keine Betrugsdimension. Es handelt sich nicht um Identitätsdiebstahl oder Informationsdiebstahl, sondern lediglich um eine aggressive Art der Werbung.

Wie erkennt man einen Phishing-Angriff?

Wie erkennen Sie einen Phishing-Angriff? Hier sind die verschiedenen Anzeichen dafür, dass Sie möglicherweise Opfer eines Phishing-Angriffs geworden sind.

Indiz Nr. 1: Eine verdächtige Absenderadresse.

Bei einem Phishing-Angriff gibt der Hacker eine Absenderadresse an, die von der einer Institution kopiert wurde, sich aber leicht unterscheidet. Achten Sie auf ".", "-", Zahlen und die Reihenfolge der Wörter, aus denen sich die Adresse zusammensetzt.

Beispiel: amazon-service@gmail.com statt service@amazon.com.

Tipp 2: Achten Sie auf visuelle Details.

Achten Sie besonders auf Logos, Kopfzeilen und das allgemeine Layout der E-Mails. Phishing-Versuche verwenden oft leicht veränderte Versionen der offiziellen visuellen Identitäten: Logos von schlechter Qualität, leicht unterschiedliche Farben, unpassende Schriftarten. Diese kleinen Unterschiede helfen Ihnen dabei, die Fälschung zu erkennen!

Hinweis Nr. 3: Rechtschreib- und Grammatikfehler.

Bei Massenphishing ist es nicht ungewöhnlich, viele Rechtschreibfehler in den versendeten E-Mails zu finden. Natürlich enthält die E-Mail umso weniger Fehler, je ausgefeilter der Versuch ist. Dennoch können Sie immer wieder Formulierungen ausmachen, die nicht den üblichen Kommunikationsregeln Ihrer Organisation entsprechen.

Beachten Sie: Mit der Demokratisierung der Nutzung von künstlicher Intelligenz werden auch Hacker immer subtiler in ihrer Kommunikation.

Tipp 4: Generische Anredeformen

Massen-Phishing kann mit Individualisierung nichts anfangen. Seien Sie also sehr misstrauisch bei E-Mails, die mit "Lieber Kunde", "Lieber Kollege" beginnen und keinerlei Elemente der Personalisierung enthalten.

☝️ Aber seien Sie trotzdem vorsichtig, denn Fälle von Spear Phishing oder Whaling können trotzdem gezielte Informationen über Sie und die Person, die Sie für den Absender halten, enthalten.

Indiz Nr. 5: Der Eindruck übermäßiger Dringlichkeit.

Es kommt sehr selten vor, dass Unternehmen, Institutionen und Dienstleister ohne vorherige Anzeichen beschließen, Ihr Konto zu schließen. Wenn Sie eine solche Drohung mit sehr kurzen Fristen erhalten, sind Sie mit Sicherheit Opfer eines Phishing-Angriffs.

✅ Ihr erster Impuls sollte sein, die betreffende Organisation zu kontaktieren (auf einem anderen Weg als über den angebotenen Link), um die Informationen zu überprüfen.

Hinweis Nr. 6: Anfragen nach sensiblen Informationen.

Es ist sehr wichtig, dass Sie Ihr Team für folgenden Gedanken sensibilisieren:

Keine legitime Organisation wird Sie jemals per E-Mail oder Nachricht nach Ihren vertraulichen Informationen fragen.

Wenn Ihre Mitarbeiter diesen Gedanken im Kopf haben, ist es nahezu unmöglich, Opfer von Phishing zu werden.

Anfragen nach vollständigen Passwörtern, Kreditkartennummern mit Sicherheitscode oder Kopien von Ausweisdokumenten sollten sofortige Alarmsignale sein.

Welche Risiken sind mit Phishing verbunden?

Um die mit Phishing verbundenen Risiken richtig zu verstehen, gibt es nichts Besseres als einige Beispiele.

❌ Von 2013 bis 2015 erbeutete ein Betrüger über 100 Millionen Dollar von Facebook und Google, indem er sich als das Unternehmen Quanta ausgab. Er stellte gefälschte Rechnungen von diesem ehemaligen Partner der beiden Giganten aus. Wie Sie sehen, sind selbst die großen Namen im Internet nicht vor Phishing gefeit.

❌ 2015 konnten Hacker durch Spear-Phishing Malware in die Kontrollsysteme ukrainischer Kraftwerke einschleusen. Als Ergebnis kam es zu Stromausfällen von landesweitem Ausmaß.

❌ Letztes Beispiel. Im Jahr 2016 wurde die österreichische Luftfahrtfirma FACC Opfer eines Whaling-Angriffs. Die Finanzabteilung des Unternehmens schickte fast 42 Millionen Euro an Hacker, die sich als CEO des Unternehmens ausgaben.

Das größte Risiko für Organisationen ist finanzieller Natur. Doch die Folgen gehen noch weiter. Das Unternehmen, das Opfer von Phishing geworden ist, sieht viele seiner wichtigen Daten verschwinden und verliert an Ansehen bei Kunden und Partnern.

Wie kann man sich vor Phishing schützen?

Um Ihre Struktur vor Phishing-Angriffen zu schützen, müssen Sie einen menschlichen und einen technischen Ansatz kombinieren. Integrieren Sie gute digitale Praktiken für alle Ihre Mitarbeiter und bauen Sie Ihr Arsenal an Cyberverteidigungsmaßnahmen aus.

Die Grundregel: Geben Sie niemals persönliche Informationen weiter.

Legen Sie strenge Prozesse für die Weitergabe sensibler Informationen fest. Es sollten keine vertraulichen Daten (Benutzerkennungen, Passwörter, Bankdaten usw.) per E-Mail oder Telefon weitergegeben werden. Diese Regel muss 100 % der Zeit eingehalten werden.

Auch wenn die Anfrage scheinbar von der Geschäftsleitung kommt, darf sie unter keinen Umständen bestätigt werden. Im Gegenteil, sie muss noch mehr Wachsamkeit erfordern.

Unser Rat: Führen Sie für diese Art von Anfragen ein Meldeprotokoll ein, das von allen Mitarbeitern befolgt werden muss, da sonst Sanktionen drohen.

Schulen und sensibilisieren Sie Ihre Teams für die Risiken des Phishing.

Die Schulungen sollten auf die spezifischen Risiken der einzelnen Abteilungen zugeschnitten sein. Finanzteams, die häufig mit "Präsidentenbetrug" konfrontiert sind, sollten sich auf diese Art von Bedrohung konzentrieren.

Die Mitglieder der Geschäftsleitung sollten vor allem für "Whaling" sensibilisiert werden, das sie direkt betrifft. Führen Sie regelmäßige Schulungen mit Beispielen durch. Wir empfehlen Ihnen außerdem, die Wachsamkeit Ihrer Teams mit simulierten Angriffen zu testen.

Setzen Sie einen effektiven Spam-Filter ein.

Investieren Sie in eine mehrschichtige Filterlösung, um Ihren Schutz vor Phishing zu verstärken. Wählen Sie dazu ein Tool, das mehrere Erkennungsansätze kombiniert:

• Heuristische und verhaltensbasierte Analyse.

• Abgleich mit einer Datenbank bösartiger Absender.

• Künstliche Intelligenztechnologien zur Identifizierung von Zero-Day-Bedrohungen.

Installieren und aktualisieren Sie einen effektiven Malware-Schutz.

Integrieren Sie Ihren Anti-Phishing-Schutz in eine umfassende IT-Sicherheitsstrategie. Denn trotz aller Vorsichtsmaßnahmen der Welt kann der Phishing-Autor sein Ziel erreichen und einen Ihrer Mitarbeiter täuschen. In diesem Fall kommen Sie um eine umfassende Anti-Malware-Lösung nicht herum. Sie stellt Ihre letzte Verteidigungslinie dar und muss auf allen Computern in Ihrem Unternehmen eingesetzt werden.

💡 Achten Sie bei der Auswahl auf die folgenden Funktionen:

• Echtzeitschutz,
• Verhaltensanalyse,
• Überprüfung von URLs,
• Blockieren von bösartigen Websites
• und Überwachung von Dateiänderungen (Ransomware).

Achten Sie auch darauf, dass die Software leicht zu erlernen ist, insbesondere wenn Sie keine Abteilung für Cybersicherheit haben.

Wie reagieren Sie auf einen erfolgreichen Angriff?

Trotz eines umfassenden menschlichen und technologischen Schutzes gibt es kein Nullrisiko. Im Folgenden erfahren Sie, wie Sie auf einen erfolgreichen Phishing-Angriff eines Cyberkriminellen reagieren sollten.

Reagieren Sie schnell und melden Sie den Vorfall.

Im Falle eines Angriffs sollte Ihr erster Gedanke sein, das infizierte Gerät sofort vom Internet und Ihrem internen Netzwerk zu trennen. Ändern Sie von einem anderen sicheren Gerät aus die Passwörter der potenziell kompromittierten Konten.

Melden Sie den Vorfall anschließend sofort Ihrem IT-Sicherheitsbeauftragten.

Sobald dieser erste Schritt validiert ist, wenden Sie sich an andere betroffene Organisationen :

• Kontaktieren Sie Ihre Bank, falls Ihre Kontoinformationen weitergegeben wurden.

• Melden Sie den Betrug der Polizeidienststelle und anderen zuständigen Behörden.

• Informieren Sie die Organisation, deren Identität missbraucht wurde.

Beurteilen Sie das Ausmaß des Schadens

Identifizieren Sie genau, welche Informationen und Daten kompromittiert wurden. Denken Sie daran, Ihr System mit einem Anti-Malware-Programm zu scannen, um mögliche Malware auf Ihrem Arbeitsplatzrechner zu entdecken. Für den Fall, dass Malware gefunden wird, befolgen Sie die von Ihrem Tool empfohlene Vorgehensweise.

Setzen Sie einen Wiederherstellungsplan um.

Wenn Sie glauben, dass die Integrität des Arbeitsplatzes kompromittiert wurde, installieren Sie das Betriebssystem des Geräts vollständig neu. Wir empfehlen Ihnen außerdem, ein Sicherungssystem einzurichten, um eine Version vor dem Angriff wiederherstellen zu können.

Lernen Sie aus dem Angriff und optimieren Sie Ihre Sicherheit.

Analysieren Sie den Angriff im Detail, um Sicherheitslücken zu erkennen und zu beheben. Bilden Sie nach dieser Analyse Ihre Teams entsprechend aus und verbessern Sie Ihre IT-Sicherheitsverfahren.

Anti-Phishing-Software: unsere Top 4

Sie suchen nach einem Tool, um Ihre Systeme vor Phishing zu schützen? Hier ist unsere Auswahl der besten Software auf dem Markt:

1. Altospam: Die Nr. 1-Lösung für den Schutz der Mailboxen von Unternehmen. Dank seiner Mailsafe-Software profitieren Sie von einer heuristischen Analyse, die falsch positive Ergebnisse auf weniger als 0,01 % reduziert. Die Lösung lässt sich nahtlos in Google Workplace und Microsoft 365 integrieren.

2. Barracuda Email Protection: Umfassender Schutz vor Phishing, Ransomware und Malware, der neben KI-Technologie auch fortschrittliche verhaltensbasierte und heuristische Analysetechniken nutzt.

3. Phished: Ein auf die Schulung von Mitarbeitern ausgerichteter Ansatz mit Ergebnissen, die für sich sprechen: eine Senkung der Phishing-Rate von 40,5 % auf unter 5 % bei ihren Kunden.

4. Cofense: Eine Kombination aus simulierten Angriffen und einem globalen Meldenetzwerk, um den Innovationen der Hacker immer einen Schritt voraus zu sein.

Alle Antivirus Software ansehen

Definition von Phishing: Was ist zu beachten?

Phishing ist ein IT-Risiko, das alle Organisationen unabhängig von ihrer Branche oder Größe betrifft. Trotz der Fokussierung auf das Thema durch Fachleute für Cyberverteidigung und Behörden blüht Phishing wie nie zuvor. Der Grund dafür? Mit der KI entwickeln sich die Techniken weiter.

Die Suche nach Infos erfolgt schneller und die Phishing-Techniken werden noch besser. Ein Beispiel sind Videokonferenzen mit lebensechten Deepfakes.

Phishing erinnert uns an eine grundlegende Wahrheit: Technologie allein reicht in der Cybersicherheit nicht aus. Die Kultur des methodischen Zweifels, die Einhaltung von Verfahren und persönliche Wachsamkeit sind ebenfalls von entscheidender Bedeutung.