Wissenswertes zu...
Phishing
Unterschiedliche Arten von E-Mail Phishing
Phishing (engl. Neologismus hergeleitet von "fishing" – angeln) handelt es sich um einen der meistverbreiteten Aspekte von Cyberkriminalität. Dabei wird auf verschiedenste Wege, wie E-Mails, trügerische Websites, Pop-Ups, Textnachrichten auf jeglichen Plattformen, SMS und Desweiteren versucht, Malware (Viren, Trojaner etc.) zu verbreiten oder Privatinformationen (Sozialversicherungsnummer, Bankdaten, Firmendokumente) von Nutzern abzufangen.
Erfolgreiche Phishingangriffe haben schwerwiegende und weitreichende Folgen wie Identitätsdiebstahl, Kreditkartenbetrug und eine breite Reihe an Datenschutzverletzungen. Diese sind mit sehr hohen finanziellen Kosten verbunden.
Eine wichtige Möglichkeit, Phishing vorzubeugen ist und bleibt die Sensibilisierung von Mitarbeitern, mithilfe von sogenanntem Phishing-Awareness-Trainings, die wir für Sie und Ihr Unternehmen kostengünstig anbieten. Dadurch werden Mitarbeiter geschult, solche Angriffsmuster zu erkennen und erfolgreich zu umgehen.
Massen-Phishing-E-Mails
Die weiterhin häufigste Methode des Phishing. Hier versendet der Angreifer Millionen an E-Mails, die eine Reaktion beim Nutzer auslösen und dazu verleiten versuchen, auf Links zu klicken oder Daten preiszugeben.
Beispiele:
-
"Sie haben 500,000€ gewonnen! Uns fehlen nur noch Ihre Bankkontodaten"
-
"Hallo, ich bin ein Nigerianischer Prinz brauche Ihre Hilfe! Öffnen Sie bitte diesen Anhang und ich verspreche Ihnen als Dank sagenhafte Reichtümer"
-
"Helfen Sie Flüchtlichen aus [momentan politisch relevantes Land]! Die Kinder haben starken Hunger und können das ganze Jahr mit nur einer kleinen Spende ernährt werden! Bitte klicken sie auf diesen Link [mit langer und suspekter URL]"
-
"Es gab ein Problem mit Ihrer Bestellung / Ihre Lieferung ist angekommen / Bitte stimmen sie unseren neuen Nutzungsbedingungen zu"
Es gibt sowohl alte und etablierte als auch neue Betrugsmuster, daher ist es wichtig, auch fortlaufend zu sensibilisieren.
Spear Phishing
Bei dieser Art von Phishing wird es auf eine bestimmte Person abgezielt, wie etwa den Geschäftsführer mit in der Regel privilegiertem Zugang zu Unternehmensdaten. Spear-Phisher können sich beispielsweise Informationen aus sozialen Medien bedienen, um sich bei der gezielten Person als jemand Vertrauliches auszugeben, wie etwa ein Mitarbeiter, ein Geschäftspartner, jemand der auf derselben Feier war etc.
Mit diesen Informationen kann die Person glaubwürdig um bestimmte Daten gefragt werden, oder etwa um das Zahlen einer Rechnung.
Business E-Mail Compromise (BEC) – Kompromittierung von Geschäfts-E-Mails
Oft wird Spear Phishing dazu verwendet, um sich Zugang zum E-Mail Postfach einer ranghohen Person des Unternehmens zu verschaffen. Dies kann missbraucht werden, um innerhalb des Unternehmens im Anschluss massives und flächendeckendes Phishing glaubwürdig durchzuführen. So können sehr hohe Geldbeträge und sensitive Daten verloren gehen. Durch das Postfach der Person kann auch Malware verbreitet werden und damit ebenfalls hohen Schaden verursachen.
Alternative Formen von Phishing
SMS-Phishing oder Smishing
Phishing über SMS. Häufig als Dankeschön oder die Bitte, irgendwelche Dienste wie Streamingservices zu aktualisieren und dazu die Kontodaten preiszugeben.
Voice Phishing oder Vishing
Phishing über Telefon. Hier können Personen dazu verleitet werden, am Telefon Kontodaten oder Computerzugriff an Betrüger weiterzugeben. Mit fortschreitender künstlichen Intelligenz werden solche automatisierten Stimmen in Zukunft womöglich wesentlich glaubwürdiger.
Social Media Phishing
Soziale Nachrichtenfunktionen wie Facebook Messenger, LinkedIn, Instagram, Twitter DMs, oder Dating sites werden ebenfalls häufig für Phishing missbraucht. Beispielsweise mit der Aufforderung, das Nutzungskonto zu aktualisieren. Häufig werden dieselben Passwörter über mehrere Plattformen verwendet. Dies machen sich Betrüger zunutze.
Was ist der Unterschied zwischen Spam und Phishing?
Bei Spam handelt es sich in der Regel um E-Mails, die mit kommerziellen Nachrichten wie Werbung oder andere unerwünschte Nachrichten enthält und weltweit massiv Postfächer verstopft. Spam kann nur schwer herausgefiltert werden, verlangsamt E-Mail-Server und beinhaltet oft bösartige Links, die ebenfalls Malware wie Trojaner runterladen können. Daher ist es auch zu einem gewaltigen Problem für den Datenschutz geworden.
Wie unterscheidet sich Spam von Phishing?
Phishing wird oft als Unterkategorie von Spam angesehen, da beide unerwünscht massenweise versandt werden können.
Bei Spam handelt es sich allerdings allgemein eher um ungezielte kommerziele Nachrichten, wie zum Beispiel Gewinnspiele, oder Produktwerbung. Diese Produkte können tatsächlich existieren, oder sich als Betrug aufweisen. Die Sprache ist in der Regel eher informal, und die Sendeaddresse unbekannt oder zufällig. Hier wird ebenfalls häufig durch trügerische Verlinkung versucht, schädliche software an den Nutzer weiterzugeben.
Phishing zielt konkreter darauf hinaus, durch ähnliche Methoden Zugang zu privaten Informationen des Nutzers zu erlangen, wie das Bankkonto, Addresse, Passwörter, und Weiteres. Dafür ist der Ton einer Phishing-E-Mail in der Regel formaler und dringender, um zu schnellem Handeln zu motivieren. Zusätzlich wird häufig die Sendeaddresse gefälscht um den Eindruck einer vertrauenswürdigen Quelle zu erwecken. Der enstandene Schaden durch Phishing ist daher generell weitaus höher.
Wie erkenne ich Phishing E-Mails?
-
Sie werden in der Nachricht gebeten oder aufgefordert, Handlungen auszuführen, die Privatdaten benötigen, wie eine Passwortprüfung oder Prüfung ihres Bankkontos, indem sie auf einen Link klicken
-
Die E-Mail stammt von einer unbekannten Domain
-
Sie enthält seltsame Formulierungen oder Fehler (oft sind diese aus anderen Sprachen übersetzt)
-
Die Firmen- oder Produktlogos beinhalten Fehler oder Ungereimtheiten
-
Dringlichkeit wird betont (zum Beispiel dass das Bankkonto ohne sofortige Prüfung gesperrt werden kann)
Was ist bei Verdacht einer Phishing-E-Mail zu tun?
Klicken Sie auf keinen Fall irgendwelche Links und antworten Sie nicht auf die E-Mail. Melden Sie die Mail an Ihre IT-Abteilung und folgen Sie deren Anweisungen. Anschließend sollten Sie sie löschen.