Phishing is a type of cybersecurity attack during which malicious actors send messages pretending to be a trusted person or entity. Phishing messages manipulate a user, causing them to perform actions like installing a malicious file, clicking a malicious link, or divulging sensitive information such as access credentials.
Phishing is the most common type of social engineering, which is a general term describing attempts to manipulate or trick computer users. Social engineering is an increasingly common threat vector used in almost all security incidents. Social engineering attacks, like phishing, are often combined with other threats, such as malware, code injection, and network attacks.
Forrester Wave for Email Security report Harmony Email & Collaboration
Checkpoint Research recently released its 2023 Mid-Year Cyber Security Report, which provides data about phishing attacks and other major cyber threats.
According to the report, phishing attack was one of the most common methods for spreading malware. The rise of generative AI has recently elevated the phishing threat, helping to eliminate the typos and grammatical errors that made past phishing attacks earlier to detect.
Phishing is also a common technique used by leading malware variants. For example, Qbot, the most common malware in the first half of 2023, is known for its use of phishing as an infection mechanism.
The basic element of a phishing attack is a message sent by email, social media, or other electronic communication means.
Ein Phisher kann öffentliche Ressourcen, insbesondere soziale Netzwerke, nutzen, um Hintergrundinformationen über die persönlichen und beruflichen Erfahrungen seines Opfers zu sammeln. Diese Quellen werden verwendet, um Informationen wie den Namen, die Berufsbezeichnung und die E-Mail-Adresse des potenziellen Opfers sowie seine Interessen und Aktivitäten zu sammeln. Der Phisher kann diese Informationen dann nutzen, um eine zuverlässige gefälschte Nachricht zu erstellen.
Typically, the emails the victim receives appear to come from a known contact or organization. Attacks are carried out through malicious attachments or links to malicious websites. Attackers often set up fake websites, which appear to be owned by a trusted entity like the victim’s bank, workplace, or university. Via these websites, attackers attempt to collect private information like usernames and passwords or payment information.
Some phishing emails can be identified due to poor copywriting and improper use of fonts, logos, and layouts. However, many cybercriminals are becoming more sophisticated at creating authentic-looking messages and are using professional marketing techniques to test and improve the effectiveness of their emails.
Phishers use a variety of techniques to make their attacks look more believable to their targets and to achieve their goals. Some common phishing techniques include:
Die meisten Phishing-Angriffe erfolgen per E-Mail. Angreifer registrieren in der Regel gefälschte Domänennamen, die echte Organisationen nachahmen, und senden Tausende häufiger Anfragen an die Opfer.
For fake domains, attackers may add or replace characters (e.g., my-bank.com instead of mybank.com), use subdomains (e.g., mybank.host.com), or use the trusted organization’s name as the email username (e.g., mybank@host.com).
Many phishing emails use a sense of urgency or a threat to cause a user to comply quickly without checking the source or authenticity of the email.
E-Mail-Phishing-Nachrichten verfolgen eines der folgenden Ziele:
Spear phishing includes malicious emails sent to specific people. The attacker typically already has some or all of the following information about the victim:
Diese Informationen tragen dazu bei, die Effektivität von Phishing-E-Mails zu erhöhen und Opfer dazu zu manipulieren, Aufgaben und Aktivitäten auszuführen, beispielsweise Geld zu überweisen.
Whaling attacks target senior management and other highly privileged roles. The ultimate goal of whaling is the same as other types of phishing attacks, but the technique is often very subtle. Senior employees commonly have a lot of information in the public domain, and attackers can use this information to craft highly effective attacks.
Typically, these attacks do not use tricks like malicious URLs and fake links. Instead, they leverage highly personalized messages using information they discover in their research about the victim. For example, whaling attackers commonly use bogus tax returns to discover sensitive data about the victim and use it to craft their attack.
This is a phishing attack that uses a phone instead of written communication. Smishing involves sending fraudulent SMS messages, while vishing involves phone conversations.
Bei einem typischen Voice-Phishing-Betrug gibt sich ein Angreifer als Betrugsermittler eines Kreditkartenunternehmens oder einer Bank aus und informiert das Opfer darüber, dass sein Konto gehackt wurde. Kriminelle fordern das Opfer dann auf, Zahlungskarteninformationen anzugeben, angeblich um seine Identität zu überprüfen oder Geld auf ein sicheres Konto zu überweisen (das in Wirklichkeit das Konto des Angreifers ist).
Vishing scams may also involve automated phone calls pretending to be from a trusted entity, asking the victim to type personal details using their phone keypad.
These attacks use fake social media accounts belonging to well-known organizations. The attacker uses an account handle that mimics a legitimate organization (e.g., “@pizzahutcustomercare”) and uses the same profile picture as the real company account.
Angreifer nutzen die Tendenz der Verbraucher aus, über Social-Media-Kanäle Beschwerden einzureichen und Marken um Hilfe zu bitten. Anstatt jedoch die echte Marke zu kontaktieren, kontaktiert der Verbraucher das gefälschte soziale Konto des Angreifers.
Wenn Angreifer eine solche Anfrage erhalten, bitten sie den Kunden möglicherweise um die Angabe persönlicher Informationen, damit er das Problem identifizieren und angemessen reagieren kann. In anderen Fällen stellt der Angreifer einen Link zu einer gefälschten Kundensupportseite bereit, bei der es sich in Wirklichkeit um eine bösartige Website handelt.
E-Mails, die mit negativen Konsequenzen drohen, sollten stets mit Skepsis betrachtet werden. Eine andere Strategie besteht darin, die Dringlichkeit zu nutzen, um sofortiges Handeln zu fördern oder zu fordern. Phisher hoffen, dass sie durch das schnelle Lesen der E-Mail den Inhalt nicht gründlich prüfen und keine Inkonsistenzen entdecken.
An immediate indication of phishing is that a message is written with inappropriate language or tone. If, for example, a colleague from work sounds overly casual or a close friend uses formal language, this should trigger suspicion. Recipients of the message should check for anything else that could indicate a phishing message.
Wenn Sie in einer E-Mail nicht standardmäßige Aktionen ausführen müssen, könnte dies ein Hinweis darauf sein, dass die E-Mail bösartig ist. Wenn beispielsweise eine E-Mail vorgibt, von einem bestimmten IT-Team zu stammen und die Installation von Software anfordert, diese Aktivitäten jedoch normalerweise zentral von der IT-Abteilung verwaltet werden, ist die E-Mail wahrscheinlich bösartig.
Misspellings and grammatical misuse are another sign of phishing emails. Most companies have set up spell-checking in their email clients for outgoing emails. Therefore, emails with spelling or grammatical errors should raise suspicion, as they may not originate from the claimed source.
Eine weitere einfache Möglichkeit, potenzielle Phishing-Angriffe zu erkennen, besteht darin, nach nicht übereinstimmenden E-Mail-Adressen, Links und Domänennamen zu suchen. Es ist beispielsweise eine gute Idee, eine frühere Kommunikation zu überprüfen, die mit der E-Mail-Adresse des Absenders übereinstimmt.
Recipients should always hover over a link in an email before clicking it to see the actual link destination. If the email is believed to be sent by Bank of America, but the domain of the email address does not contain “bankofamerica.com”, that is a sign of a phishing email.
In vielen Phishing-E-Mails erstellen Angreifer gefälschte Anmeldeseiten, die auf scheinbar offizielle E-Mails verweisen. Die gefälschte Anmeldeseite enthält normalerweise ein Anmeldefeld oder eine Anfrage nach Finanzkontoinformationen. Wenn die E-Mail unerwartet ist, sollte der Empfänger keine Anmeldeinformationen eingeben oder auf den Link klicken. Als Vorsichtsmaßnahme sollten Empfänger direkt die Website besuchen, von der sie glauben, dass sie von der E-Mail-Quelle stammt.
Hier sind einige Möglichkeiten, wie Ihr Unternehmen das Risiko von Phishing-Angriffen reduzieren kann.
Es ist von größter Bedeutung, die Mitarbeiter darin zu schulen, Phishing-Strategien zu verstehen, Anzeichen von Phishing zu erkennen und verdächtige Vorfälle dem Sicherheitsteam zu melden.
Similarly, organizations should encourage employees to look for trust badges or stickers from well-known cyber security or antivirus companies before interacting with a website. This shows that the website is serious about security and is probably not fake or malicious.
Moderne E-Mail-Filterlösungen können vor Malware und anderen schädlichen Nutzlasten in E-Mail-Nachrichten schützen. Lösungen können E-Mails erkennen, die schädliche Links, Anhänge, Spam-Inhalte und Sprache enthalten, die auf einen Phishing-Angriff hinweisen könnten.
E-Mail-Sicherheitslösungen blockieren und isolieren verdächtige E-Mails automatisch und nutzen Sandboxing-Technologie, um E-Mails zu „detonieren“, um zu überprüfen, ob sie bösartigen Code enthalten.
Durch die zunehmende Nutzung von Cloud-Diensten und persönlichen Geräten am Arbeitsplatz sind viele neue Endgeräte entstanden, die möglicherweise nicht vollständig geschützt sind. Sicherheitsteams müssen davon ausgehen, dass einige Endgeräte durch Endgerät-Angriffe angegriffen werden. Es ist wichtig, das Endgerät auf Sicherheitsbedrohungen zu überwachen und bei gefährdeten Geräten eine schnelle Abhilfe und Reaktion zu implementieren.
Simulated phishing attack testing can help security teams evaluate the effectiveness of security awareness training programs and help end users better understand attacks. Even if your employees are good at finding suspicious messages, they should be tested regularly to mimic real phishing attacks. The threat landscape continues to evolve, and cyberattack simulations must also evolve.
Die meisten Phishing-Methoden zielen darauf ab, menschliche Betreiber auszutricksen, und privilegierte Benutzerkonten sind attraktive Ziele für Cyberkriminelle. Die Beschränkung des Zugriffs auf Systeme und Daten kann dazu beitragen, sensible Daten vor dem Verlust zu schützen. Nutzen Sie das Prinzip der geringsten Rechte und gewähren Sie nur Benutzern Zugriff, die ihn unbedingt benötigen.
Check Point Harmony Email and Collaboration provides robust anti-phishing defense, effectively countering phishing attacks. Recognized as a Leader in the 2023 Forrester Wave for Enterprise Email Security, it offers advanced protection for your organization. To learn more about how Harmony Email and Collaboration can safeguard your organization from the newest phishing threats, request a free demo today.