Zum Hauptinhalt springen
DriveByte +49 941 38107840

Phishing: Was es ist und wie Sie es verhindern können

Phishing: Was es ist und wie Sie es verhindern können

Autor
  • Amir Hosh
Schlagworte
  • Awareness
  • Educational
  • Phishing
Publiziert

Ein Einblick in die Welt des Phishing

Was ist „Phishing“?

Bei „Phishing“ handelt es sich um eine illegale Beschaffung von Zugangsdaten, eine Subkategorie des „Social Engineering“. Bei diesem Prozess werden nichtsahnende Mitarbeiter oder Privatpersonen dazu verleitet sensible oder private Informationen wie Benutzernamen, Kennwörter und Kreditkarteninformationen preis zu geben. Dies geschieht durch vertrauenserweckende und echt aussehende Emails, die an eine breite Empfängergruppe geschickt werden und Spam-Filter umgehen.

Es existieren verschiedene Arten von „Phishing“:

Spear-Phishing

„Spear-Phishing“, auch gezieltes „Phishing“, ist im Prinzip professionelles „Phishing“. Im klassischen „Phishing“-Szenario werden so viele Emails wie möglich verschickt. Bei „Spear-Phishing“ werden in der Regel einzelne Firmen oder sogar gezielte Mitarbeiter angegriffen. Die Angreifer betreiben einen beträchtlichen Aufwand während der Recherche nach Informationen über Ihre Ziele um die versendeten „Phishing“-Emails so echt und persönlich wie möglich aussehen zu lassen, um die Erfolgsrate des Angriffs zu erhöhen.

 

Whaling

Wie der englische Begriff schon andeutet („Whaling“= Walfischjagd), handelt es sich bei dieser Art von „Phishing“ um einen gezielten „Phishing“-Angriff wie bei „Spear-Phishing“, nur dass hier das Ziel eine wichtige und einflussreiche Person in einer Firma ist, z. B. ein C-Level-Executive oder deren Sekretariat. Durch den Angriff auf relevante und einflussreiche Personen im Unternehmen können Angreifer enormen Schaden verursachen.

 

Email/Spam

Die meistgenutzte Form des „Phishing“. Dieselbe E-Mail wird an Millionen von Empfängern geschickt mit der Bitte persönliche Informationen auszufüllen. Typischerweise strahlen solche Emails eine Art Zeitdruck aus, damit der Empfänger dazu verleitet wird schnell und unbedacht zu handeln. Klassische Szenarien beinhalten das Aktualisieren persönlicher Daten oder die Verifizierung einer Registrierung. Durch einen Link gelangen die Empfänger auf eine gefälschte Webseite, welche die Daten an den Angreifer und nicht an die gewünschte Online-Plattform weiterleitet.

 

Vishing (Voice-Phishing)

Das „Vishing“, also „Phishing“ über Telefon, ist eine nicht so weit verbreitete Art des „Phishing“, aber dafür meistens sehr gezielt und erfolgreicher als E-Mail/Spam. Der Angreifer verleitet den Empfänger unter einem falschen Vorwand dazu eine bestimmte Nummer zurückzurufen , um persönliche Informationen zu erlangen. „Vishing“-Angreifer benutzen gefälschte Rufnummer-Erkennung und erwecken beim Empfänger deswegen ein falsches Gefühl der Sicherheit und Authentizität.

 

Smishing (SMS-Phishing)

Von „Smishing“ ist so ziemlich jeder betroffen der ein Handy besitzt. Bei „Smishing“, also SMS-„Phishing“ werden gefährliche und gefälschte Links verschickt die den Empfänger dazu verleiten persönliche Informationen preis zu geben und erwecken dabei einen gewissen Zeitdruck. Da ein Benutzer höchstwahrscheinlich während der Nutzung des Handys unterwegs ist, funktioniert diese Art des „Phishing“ mit hoher Wahrscheinlichkeit.

 

Die 10 Meistgeklickten allgemeine E-Mail-Betreffzeilen: [1]

  • Password check required immediately
  • Vacation Policy Update
  • COIVD-19 Remote Work Policy Update
  •  Security Alert
  •  Failed Delivery

 

Am häufigsten Kursierende „Phishing“-Emails in 2021: [2]

  • Zoom: Important Issue
  • Mastercard: Confirmation – Your One-Time Password  
  • Facebook: Your Account has been temporarily locked   
  • Google: Take action to secure your compromised passwords 
  • Microsoft: Help us protect you – Turn on 2-step verification to protect your account

Wie kann man “Phishing” Verhindern

Verstehen Sie welchen Gefahren Sie ausgesetzt sind

Dieser trivial erscheinende Vorschlag ist mit der Wichtigste. Entscheidungsträger müssen verstehen, dass sie nicht nur ein Ziel von „Phishing“-Angriffen sind, sondern einer breit gefächerten Risikolandschaft über alle Kommunikations- und Kollaborationsplattformen, persönliche IT-Geräte von Mitarbeiter und sogar die Mitarbeiter selbst.

Entwickeln Sie passende Richtlinien

Viele Organisationen haben immer noch keine Richtlinien entwickelt und veröffentlicht, welche die akzeptable Nutzung von E-Mail, Web und anderen IT-Werkzeugen festlegt. Dabei sollten sich Richtlinien auf gesetzliche, regulatorische und andere Verpflichtungen konzentrieren, wie z. B. die Verschlüsselung von E-Mails und anderen Inhalten die vertrauliche Daten enthalten.

Halten Sie Ihre Systeme aktuell

Applikationen, Betriebssysteme und Infrastruktur-Schwachstellen erlauben es Angreifern aufgestellte Verteidigungsanlagen zu umgehen. Applikationen und Systeme sollten regelmäßig auf Schwachstellen überprüft werden und bei Bedarf die aktuellen Updates vom Hersteller installieren.

Denken, dann Klicken

Üben Sie ein gewisses Maß an Misstrauen aus, wenn es zu Links aus dubiosen E-Mails oder SMS kommt. Benutzen Sie die eingebaute Link-Vorschau Funktion, um im Vorhinein zu prüfen, ob der Link auch wirklich dahin führt, wohin er es angibt.

Geben Sie niemals persönliche Informationen Preis

Als Faustregel gilt, persönliche Informationen wie z. B. Benutzernamen, Kennwörter und Kreditkarteninformationen nicht über das Internet preisgeben. Vertrauliche Angaben sollten in der Regel nie über in E-Mails bereitgestellten Links angegeben werden. Verschicken Sie keine sensiblen Informationen über E-Mails.

 

Quelle: https://www.knowbe4.com/phishing