Was ist Phishing?

Phishing ist eine Art von Cybersicherheitsangriff, bei dem böswillige Akteure Nachrichten senden, die vorgeben, eine vertrauenswürdige Person oder Organisation zu sein. Phishing-Nachrichten manipulieren einen Benutzer und veranlassen ihn, Aktionen wie das Installieren einer bösartigen Datei, das Klicken auf einen bösartigen Link oder die Preisgabe vertraulicher Informationen wie Zugangsdaten auszuführen.

Phishing ist die häufigste Art von Social Engineering, ein allgemeiner Begriff, der Versuche beschreibt, Computerbenutzer zu manipulieren oder auszutricksen. Social Engineering ist ein immer häufiger auftretender Bedrohungsvektor, der bei fast allen Sicherheitsvorfällen zum Einsatz kommt. Social-Engineering-Angriffe wie Phishing werden oft mit anderen Bedrohungen wie Malware, Code-Injection und Netzwerkangriffen kombiniert.

Bericht "Forrester Wave for Email Security" Harmony Email & Collaboration

Was ist Phishing? Arten von Phishing-Angriffen

Phishing-Angriffe: Statistiken und Beispiele

Checkpoint Research hat kürzlich seinen Mid-Year Cybersicherheit Report 2023 veröffentlicht, der Daten über Phishing-Angriffe und andere große Cyberbedrohungen enthält.

Dem Bericht zufolge waren Phishing-Angriffe eine der häufigsten Methoden zur Verbreitung von Malware. Das Aufkommen generativer KI hat die Phishing-Bedrohung in letzter Zeit erhöht und dazu beigetragen, Tipp- und Grammatikfehler zu beseitigen, die bei früheren Phishing-Angriffen erkannt werden mussten.

Phishing ist auch eine gängige Technik, die von führenden Malware-Varianten verwendet wird. So ist beispielsweise Qbot, die in der ersten Hälfte des Jahres 2023 am weitesten verbreitete Malware, dafür bekannt, dass sie Phishing als Infektionsmechanismus einsetzt.

Wie Phishing funktioniert

Das Grundelement eines Phishing-Angriffs ist eine Nachricht, die per E-Mail, über soziale Medien oder über andere elektronische Kommunikationsmittel gesendet wird.

Ein Phisher kann öffentliche Ressourcen, insbesondere soziale Netzwerke, nutzen, um Hintergrundinformationen über die persönlichen und beruflichen Erfahrungen seines Opfers zu sammeln. Diese Quellen werden verwendet, um Informationen wie den Namen, die Berufsbezeichnung und die E-Mail-Adresse des potenziellen Opfers sowie seine Interessen und Aktivitäten zu sammeln. Der Phisher kann diese Informationen dann nutzen, um eine zuverlässige gefälschte Nachricht zu erstellen.

In der Regel scheinen die E-Mails, die das Opfer erhält, von einem bekannten Kontakt oder einer bekannten Organisation zu stammen. Angriffe werden über bösartige Anhänge oder Links zu bösartigen Websites durchgeführt. Angreifer richten oft gefälschte Websites ein, die scheinbar einer vertrauenswürdigen Entität wie der Bank, dem Arbeitsplatz oder der Universität des Opfers gehören. Über diese Webseiten versuchen Angreifer, private Informationen wie Benutzernamen und Passwörter oder Zahlungsinformationen zu sammeln.

Einige Phishing-E-Mails können durch schlechtes Verfassen von Texten und die unsachgemäße Verwendung von Schriftarten, Logos und Layouts identifiziert werden. Viele Cyberkriminelle werden jedoch immer raffinierter darin, authentisch aussehende Nachrichten zu erstellen, und verwenden professionelle Marketingtechniken, um die Wirksamkeit ihrer E-Mails zu testen und zu verbessern.

Gängige Phishing-Techniken

E-Mail-Phishing

Phisher verwenden eine Vielzahl von Techniken, um ihre Angriffe für ihre Ziele glaubwürdiger zu machen und ihre Ziele zu erreichen. Zu den gängigen Phishing-Techniken gehören:

  • Soziales Engineering: Social Engineering nutzt die Psychologie, um die Ziele von Phishing-Angriffen zu manipulieren. Ein Phisher kann Täuschung, Nötigung, Bestechung oder andere Techniken anwenden, um sein Ziel zu erreichen.
  • Typosquatting: Phisher können Domains und URLs verwenden, die denen einer legitimen, vertrauenswürdigen Domain sehr ähnlich sehen. Wenn das Ziel nicht ausreichend aufpasst, glaubt es möglicherweise, dass der Link legitim ist.
  • E-Mail-Spoofing: Eine gefälschte E-Mail ist so konzipiert, dass der Anzeigename der E-Mail zu einer Person gehört, der der E-Mail-Empfänger vertraut. Das Absenderfeld in einer E-Mail besteht nur aus Daten und steht unter der Kontrolle des Absenders. Phisher nutzen diese Tatsache aus, um den Anschein zu erwecken, dass E-Mails von vertrauenswürdigen E-Mail-Konten stammen.
  • URL-Kürzung: Link-Shortener wie bit.ly verbergen das Zielziel einer URL. Phisher nutzen dies, um ein Ziel dazu zu verleiten, auf einen Link zu einer Phishing-Seite zu klicken.
  • Böswillige Weiterleitungen: Weiterleitungen dienen dazu, einen Browser auf eine andere Seite zu leiten, wenn die ursprüngliche URL nicht verfügbar, falsch oder veraltet ist. Bösartige Weiterleitungen können verwendet werden, um einen Benutzer auf eine Phishing-Seite anstelle einer legitimen Seite zu leiten.
  • Versteckte Links: Links können in scheinbar harmlosen Texten oder Bildern versteckt sein. Wenn ein Benutzer versehentlich auf den versteckten Link klickt, wird er auf eine Phishing-Seite weitergeleitet.

5 Arten von Phishing-Angriffen

#1. E-Mail-Phishing

Die meisten Phishing-Angriffe erfolgen per E-Mail. Angreifer registrieren in der Regel gefälschte Domänennamen, die echte Organisationen nachahmen, und senden Tausende häufiger Anfragen an die Opfer.

Bei gefälschten Domains können Angreifer Zeichen hinzufügen oder ersetzen (z. B. my-bank.com anstelle von mybank.com), Subdomains (z. B. mybank.host.com) zu verwenden, oder verwenden Sie den Namen der vertrauenswürdigen Organisation als E-Mail-Benutzernamen (z. B. mybank@host.com).

Viele Phishing-E-Mails nutzen ein Gefühl der Dringlichkeit oder eine Drohung, um einen Benutzer dazu zu bringen, schnell nachzukommen, ohne die Quelle oder Authentizität der E-Mail zu überprüfen.

E-Mail-Phishing-Nachrichten verfolgen eines der folgenden Ziele:

  • Veranlassen Sie den Benutzer, auf einen Link zu einer bösartigen Website zu klicken, um Malware auf seinem Gerät zu installieren.
  • Veranlassen Sie den Benutzer, eine infizierte Datei herunterzuladen und sie zum Bereitstellen von Malware zu verwenden.
  • Den Benutzer dazu veranlassen, auf einen Link zu einer gefälschten Website zu klicken und persönliche Daten anzugeben.
  • Veranlassen Sie den Benutzer, zu antworten und personenbezogene Daten anzugeben.

#2. Spear-Phishing

Zu Spear-Phishing gehören bösartige E-Mails, die an bestimmte Personen gesendet werden. Der Angreifer verfügt in der Regel bereits über einige oder alle der folgenden Informationen über das Opfer:

  • Name
  • Arbeitsplatz
  • Berufsbezeichnung
  • E-Mail-Adresse
  • Spezifische Informationen zu ihrer beruflichen Rolle
  • Vertrauenswürdige Kollegen, Familienmitglieder oder andere Kontakte sowie Beispiele ihrer Texte

Diese Informationen tragen dazu bei, die Effektivität von Phishing-E-Mails zu erhöhen und Opfer dazu zu manipulieren, Aufgaben und Aktivitäten auszuführen, beispielsweise Geld zu überweisen.

#3. Walfang

Whaling-Angriffe zielen auf die Geschäftsleitung und andere stark privilegierte Funktionen ab. Das ultimative Ziel von Whaling ist das gleiche wie bei anderen Arten von Phishing-Angriffen, aber die Technik ist oft sehr subtil. Leitende Mitarbeiter haben in der Regel viele Informationen öffentlich zugänglich, und Angreifer können diese Informationen nutzen, um hocheffektive Angriffe zu entwickeln.

In der Regel verwenden diese Angriffe keine Tricks wie bösartige URLs und gefälschte Links. Stattdessen nutzen sie hochgradig personalisierte Nachrichten mit Informationen, die sie bei ihren Recherchen über das Opfer entdecken. Zum Beispiel verwenden Whaling-Angreifer häufig gefälschte Steuererklärungen, um sensible Daten über das Opfer zu ermitteln und sie für ihren Angriff zu verwenden.

#4. Smishing und Vishing

Dabei handelt es sich um einen Phishing-Angriff, bei dem ein Telefon anstelle einer schriftlichen Kommunikation verwendet wird. Beim Smishing geht es um das Versenden betrügerischer SMS-Nachrichten, während beim Vishing Telefongespräche geführt werden.

Bei einem typischen Voice-Phishing-Betrug gibt sich ein Angreifer als Betrugsermittler eines Kreditkartenunternehmens oder einer Bank aus und informiert das Opfer darüber, dass sein Konto gehackt wurde. Kriminelle fordern das Opfer dann auf, Zahlungskarteninformationen anzugeben, angeblich um seine Identität zu überprüfen oder Geld auf ein sicheres Konto zu überweisen (das in Wirklichkeit das Konto des Angreifers ist).

Vishing-Betrug kann auch automatisierte Telefonanrufe beinhalten, die vorgeben, von einer vertrauenswürdigen Stelle zu stammen, und das Opfer auffordern, persönliche Daten über die Tastatur seines Telefons einzugeben.

#5. Angler-Phishing

Bei diesen Angriffen werden gefälschte Social-Media-Konten verwendet, die bekannten Organisationen gehören. Der Angreifer verwendet ein Konto-Handle, das eine legitime Organisation nachahmt (z. B. "@pizzahutcustomercare") und dasselbe Profilbild wie das echte Unternehmenskonto verwendet.

Angreifer nutzen die Tendenz der Verbraucher aus, über Social-Media-Kanäle Beschwerden einzureichen und Marken um Hilfe zu bitten. Anstatt jedoch die echte Marke zu kontaktieren, kontaktiert der Verbraucher das gefälschte soziale Konto des Angreifers.

Wenn Angreifer eine solche Anfrage erhalten, bitten sie den Kunden möglicherweise um die Angabe persönlicher Informationen, damit er das Problem identifizieren und angemessen reagieren kann. In anderen Fällen stellt der Angreifer einen Link zu einer gefälschten Kundensupportseite bereit, bei der es sich in Wirklichkeit um eine bösartige Website handelt.

Was sind die Anzeichen von Phishing?

 

Drohungen oder ein Gefühl der Dringlichkeit

E-Mails, die mit negativen Konsequenzen drohen, sollten stets mit Skepsis betrachtet werden. Eine andere Strategie besteht darin, die Dringlichkeit zu nutzen, um sofortiges Handeln zu fördern oder zu fordern. Phisher hoffen, dass sie durch das schnelle Lesen der E-Mail den Inhalt nicht gründlich prüfen und keine Inkonsistenzen entdecken.

Nachrichtenstil

Ein unmittelbares Anzeichen für Phishing ist, dass eine Nachricht in unangemessener Sprache oder Ton verfasst ist. Wenn zum Beispiel ein Kollege aus der Arbeit übertrieben lässig klingt oder ein enger Freund eine förmliche Sprache verwendet, sollte das Verdacht erregen. Empfänger der Nachricht sollten nach weiteren Hinweisen suchen, die auf eine Phishing-Nachricht hinweisen könnten.

Ungewöhnliche Anfragen

Wenn Sie in einer E-Mail nicht standardmäßige Aktionen ausführen müssen, könnte dies ein Hinweis darauf sein, dass die E-Mail bösartig ist. Wenn beispielsweise eine E-Mail vorgibt, von einem bestimmten IT-Team zu stammen und die Installation von Software anfordert, diese Aktivitäten jedoch normalerweise zentral von der IT-Abteilung verwaltet werden, ist die E-Mail wahrscheinlich bösartig.

Sprachliche Fehler

Rechtschreibfehler und grammatikalischer Missbrauch sind ein weiteres Zeichen für Phishing-E-Mails. Die meisten Unternehmen haben in ihren E-Mail-Clients eine Rechtschreibprüfung für ausgehende E-Mails eingerichtet. Daher sollten E-Mails mit Rechtschreib- oder Grammatikfehlern Verdacht erregen, da sie möglicherweise nicht von der angegebenen Quelle stammen.

Inkonsistenzen in Webadressen

Eine weitere einfache Möglichkeit, potenzielle Phishing-Angriffe zu erkennen, besteht darin, nach nicht übereinstimmenden E-Mail-Adressen, Links und Domänennamen zu suchen. Es ist beispielsweise eine gute Idee, eine frühere Kommunikation zu überprüfen, die mit der E-Mail-Adresse des Absenders übereinstimmt.

Empfänger sollten immer mit der Maus über einen Link in einer E-Mail fahren, bevor sie darauf klicken, um das tatsächliche Linkziel zu sehen. Wenn angenommen wird, dass die E-Mail von der Bank of America gesendet wurde, die Domain der E-Mail-Adresse jedoch nicht "bankofamerica.com" enthält, Das ist ein Zeichen für eine Phishing-E-Mail.

Anforderung von Anmeldeinformationen, Zahlungsinformationen oder anderen persönlichen Daten

In vielen Phishing-E-Mails erstellen Angreifer gefälschte Anmeldeseiten, die auf scheinbar offizielle E-Mails verweisen. Die gefälschte Anmeldeseite enthält normalerweise ein Anmeldefeld oder eine Anfrage nach Finanzkontoinformationen. Wenn die E-Mail unerwartet ist, sollte der Empfänger keine Anmeldeinformationen eingeben oder auf den Link klicken. Als Vorsichtsmaßnahme sollten Empfänger direkt die Website besuchen, von der sie glauben, dass sie von der E-Mail-Quelle stammt.

5 Möglichkeiten, Ihr Unternehmen vor Phishing-Angriffen zu schützen

Hier sind einige Möglichkeiten, wie Ihr Unternehmen das Risiko von Phishing-Angriffen reduzieren kann.

#1. Schulung zur Sensibilisierung der Mitarbeiter

Es ist von größter Bedeutung, die Mitarbeiter darin zu schulen, Phishing-Strategien zu verstehen, Anzeichen von Phishing zu erkennen und verdächtige Vorfälle dem Sicherheitsteam zu melden.

In ähnlicher Weise sollten Unternehmen ihre Mitarbeiter dazu ermutigen, vor der Interaktion mit einer Website nach Vertrauensabzeichen oder Aufklebern von bekannten Cybersicherheits - oder Antivirenunternehmen zu suchen. Dies zeigt, dass die Website es mit der Sicherheit ernst meint und wahrscheinlich nicht gefälscht oder bösartig ist.

#2. Bereitstellen von E-Mail-Sicherheitslösungen

Moderne E-Mail-Filterlösungen können vor Malware und anderen schädlichen Nutzlasten in E-Mail-Nachrichten schützen. Lösungen können E-Mails erkennen, die schädliche Links, Anhänge, Spam-Inhalte und Sprache enthalten, die auf einen Phishing-Angriff hinweisen könnten.

E-Mail-Sicherheitslösungen blockieren und isolieren verdächtige E-Mails automatisch und nutzen Sandboxing-Technologie, um E-Mails zu „detonieren“, um zu überprüfen, ob sie bösartigen Code enthalten.

#3. Nutzen Sie Endgerät Monitoring und Schutz

Durch die zunehmende Nutzung von Cloud-Diensten und persönlichen Geräten am Arbeitsplatz sind viele neue Endgeräte entstanden, die möglicherweise nicht vollständig geschützt sind. Sicherheitsteams müssen davon ausgehen, dass einige Endgeräte durch Endgerät-Angriffe angegriffen werden. Es ist wichtig, das Endgerät auf Sicherheitsbedrohungen zu überwachen und bei gefährdeten Geräten eine schnelle Abhilfe und Reaktion zu implementieren.

#4. Durchführung von Tests zu Phishing-Angriffen

Simulierte Tests von Phishing-Angriffen können Sicherheitsteams dabei helfen, die Wirksamkeit von Schulungsprogrammen zum Sicherheitsbewusstsein zu bewerten und Endbenutzern dabei zu helfen, Angriffe besser zu verstehen. Auch wenn Ihre Mitarbeiter gut darin sind, verdächtige Nachrichten zu finden, sollten sie regelmäßig getestet werden, um echte Phishing-Angriffe nachzuahmen. Die Bedrohungslandschaft entwickelt sich weiter, und auch die Simulationen von Cyberangriffen müssen sich weiterentwickeln.

#5. Beschränken Sie den Benutzerzugriff auf hochwertige Systeme und Daten

Die meisten Phishing-Methoden zielen darauf ab, menschliche Betreiber auszutricksen, und privilegierte Benutzerkonten sind attraktive Ziele für Cyberkriminelle. Die Beschränkung des Zugriffs auf Systeme und Daten kann dazu beitragen, sensible Daten vor dem Verlust zu schützen. Nutzen Sie das Prinzip der geringsten Rechte und gewähren Sie nur Benutzern Zugriff, die ihn unbedingt benötigen.

Phishing-Schutz und -Prävention mit Check Point

Check Point Harmony Email and Collaboration bietet eine robuste Anti-Phishing-Abwehr und wehrt Phishing-Angriffe effektiv ab. Das Unternehmen wurde in der Forrester Wave for Enterprise Email Security 2023 als führend eingestuft und bietet Ihrem Unternehmen erweiterten Schutz. Um mehr darüber zu erfahren, wie Harmony Email and Collaboration Ihr Unternehmen vor den neuesten Phishing-Bedrohungen schützen kann, fordern Sie noch heute eine kostenlose Demo an .

×
  Feedback
Diese Website verwendet Cookies für ihre Funktionalität sowie für Analyse- und Marketingzwecke. Mit der weiteren Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen finden Sie in unserem Cookies Hinweis.
OK