Was ist Phishing?
Phishing: Definition
Phishing ist eine Form von Cyberkriminalität. Dabei versuchen Betrüger, sich per E-Mail oder über andere Kommunikationskanäle Informationen zu erschleichen, um Geld zu erhalten, daraus Nutzen zu schlagen oder Änderungen an Systemen vorzunehmen. Phishing ist heutzutage weit verbreitet und wird für zwei Drittel aller Sicherheitsverletzungen jährlich verantwortlich gemacht – ein nicht zu unterschätzendes Problem. Niemand ist vor dem Erhalt von Phishing-Mails gefeit: ob Privatpersonen oder Angestellte von KMU oder großen Konzernen.
Häufig verwendete Methoden bei einem Phishing-Angriff
Cyberkriminelle versenden oft E-Mails, SMS oder andere Nachrichten, um ihre ahnungslosen Opfer dazu zu bringen, finanzielle oder persönliche Informationen preiszugeben. Die Empfänger glauben dabei, die Nachricht stamme von einer vertrauenswürdigen Quelle, einer Autoritätsperson oder einer Person in Schwierigkeiten, oder antworten einfach nur aus Neugierde.
Bei einem Phishing-Scam vertrauen die Betrüger häufig darauf, dass ihre Opfer leichtgläubig oder unaufmerksam sind, oder wollen eine emotionale Reaktion hervorrufen. Auch fehlendes Wissen zum Thema Phishing nutzen sie aus.
Beispiele für Phishing-Scams
Die Liste schwerwiegender Sicherheitsverletzungen, die auf einen Phishing-Angriff zurückzuführen sind, ist lang.
- Infolge der 2009 vom FBI durchgeführten Operation Phish Phry wurden 100 Personen wegen Internetkriminalität angeklagt. Das FBI hatte Hinweise bekommen, dass Kunden offiziell aussehende E-Mails erhielten, die angeblich von ihrer Bank stammten, und daraufhin ihre Kontodaten und Passwörter auf einer betrügerischen Website eingaben. Sowohl die Kunden als auch die Finanzinstitute erlitten dadurch schwere finanzielle Verluste.
- Der Target-/FMS-Scam 2013 war ein Phishing-Scam, bei dem sich Hacker Zugriff auf die Kreditkartendaten von 40 Millionen Kunden der US-Einzelhandelskette Target verschafften. Dabei wurden 70 Millionen Kundendatensätze kompromittiert. Die Phishing-Mail, über die die Cyberkriminellen Malware auf den POS-Terminals des Einzelhändlers installieren konnten, wurde an Angestellte eines von Target beauftragten Kälteanlagenbauers gesendet. Wahrscheinlich lud ein ahnungsloser Mitarbeiter, der Zugriff auf die Target-Server hatte, die Schadsoftware aus der Phishing-Mail herunter.
- 2016 wurde der österreichische Luftfahrtzulieferer FACC, der international renommierte Kunden wie Boeing und Airbus beliefert, Opfer eines Phishing-Angriffs. Dabei gaben sich die Betrüger als Walter Stephan aus, der CEO des Unternehmens, und wiesen eine Mitarbeiterin an, 54 Millionen Euro an ein Bankkonto in China zu überweisen. Nach Bekanntwerden des Falls wurden sowohl der CEO als auch der CFO des Unternehmens entlassen und auf Schadenersatz verklagt, da sie ihre Sorgfaltspflichten verletzt und nicht die korrekten Sicherheitsmaßnahmen eingeführt hatten. Die Auswirkungen dieses Phishing-Scams waren signifikant.
Wie kann ein Phishing-Angriff aussehen?
Überblick über verschiedene Phishing-Methoden
Es gibt verschiedene Arten von Phishing-Angriffen; am häufigsten ist Phishing per E-Mail. Betrugsversuche können auch per SMS, über Social Media oder telefonisch erfolgen, wobei es dafür andere Bezeichnungen wie Smishing gibt. Die meisten Phishing-Scams wollen möglichst viele Adressaten erreichen und werfen für die Betrüger keine großen Summen ab. Manche Phishing-Angriffe sind jedoch viel ausgeklügelter und können für das gezielt ausgewählte Opfer – ob Einzelpersonen oder Unternehmen – weitreichende Schäden verursachen. Beispiele für Phishing-Methoden sind Spear-Phishing, Clone-Phishing und Whaling.
Was ist Spear-Phishing?
Beim Spear-Phishing nehmen die Betrüger spezifische Personen ins Visier, anstatt ein weites Netz auszuwerfen. Der Angriff beginnt damit, dass sie sich Zugang zum internen E-Mail-System eines Unternehmens verschaffen, häufig durch einen gewöhnlichen Phishing-Angriff oder über eine Schwachstelle. Dann holen sie Informationen zu ihrer Zielperson ein und erstellen einen Plan, um sich z. B. als Kollege oder Vorgesetzter auszugeben. Über realistisch aussehende E-Mails oder emotionale Appelle soll das Opfer dazu gebracht werden, eine bestimmte Aufgabe auszuführen. Diese E-Mails können geringfügig von den gewohnten E-Mails abweichen, aber da der Empfänger neugierig ist oder auf emotionaler Ebene angesprochen wird, fällt ihm das häufig nicht auf. Es ist daher wichtig, ungewöhnliche Bitten oder Anfragen immer zu überprüfen.
Was ist Clone-Phishing?
Beim Clone-Phishing setzen die Betrüger gewöhnliche Phishing-Methoden ein, um sich Zugriff auf echte E-Mails eines Unternehmens einschließlich Anhängen zu verschaffen, von denen sie dann eine Kopie erstellen. So können sie Anhänge versenden, die wie das Original aussehen, aber Malware enthalten, über die sensible Daten gestohlen werden können. Häufig werden diese „geklonten“ E-Mails als dringlich deklariert, damit das Opfer den angeblich aktualisierten Anhang öffnet. Im Gegensatz zum Spear-Phishing, das auf einzelne Unternehmen oder Personen abzielt, werden beim Clone-Phishing in der Regel legitime E-Mails auf glaubwürdige Weise imitiert oder dupliziert.
Wie kann ich Phishing-Mails erkennen?
Gemeinsamkeiten vieler Phishing-Mails
Phishing-Mails sind oft an Grammatikfehlern, ungewöhnlichen oder unbekannten Absenderadressen oder Hyperlinks sowie verdächtigen Downloads zu erkennen. Viele Unternehmen erfordern von ihren Mitarbeitern, dass sie eine Schulung zum Thema Cybersecurity absolvieren, um Phishing-Mails leichter zu erkennen.
So erkennen Sie verdächtige Inhalte
Wenn Sie in einer E-Mail nach vertraulichen Informationen gefragt werden, sollten Sie diese Informationen nur über offiziell genehmigte und sichere Kanäle weitergeben – und nur dann, wenn es tatsächlich angebracht und sicher ist. Überprüfen Sie ungewöhnliche Anfragen immer. Wenn Sie von einer E-Mail auf eine Website weitergeleitet werden, sollten Sie vor dem Eingeben persönlicher Informationen die URL in der Adresszeile kontrollieren. Behandeln Sie E-Mails, die Ihnen vom Inhalt, der Wortwahl oder dem Tonfall her ungewöhnlich vorkommen, als verdächtig, selbst wenn Sie den Absender kennen. Selbiges gilt für E-Mails, die eine dringende Handlungsaufforderung, stark emotionale Aussagen oder Bedrohungen enthalten. E-Mails, die Sie nicht erwartet haben, sollten Sie auch auf der Stelle als verdächtig einstufen.
Tipps zur Abwehr von Phishing-Scams
Sie können einige einfache Maßnahmen ergreifen, um nicht Opfer eines Phishing-Angriffs zu werden.
- Informieren Sie sich, wie Phishing funktioniert.
- Nehmen Sie an einer Schulung teil oder fragen Sie das Cybersecurity- oder IT-Team Ihres Unternehmens.
- Halten Sie sich über bekannte Phishing-Scams und andere Neuigkeiten zum Thema Cybersicherheit auf dem Laufenden. Dies kann Ihnen dabei helfen, Phishing-Angriffe zu erkennen.
- Halten Sie die empfohlenen Sicherheitsmaßnahmen ein und folgen Sie den Sicherheitsprotokollen und ‑kontrollmechanismen Ihres Unternehmens.
Sehen Sie sich erhaltene E-Mails, SMS oder Social-Media-Nachrichten genau an, um zu ermitteln, von wem sie stammen und ob Sie gefahrlos antworten und/oder der Bitte nachkommen können. Selbiges gilt auch für Anrufe.
Ging die Unterhaltung von Ihnen oder von der anderen Person aus? Was ist der Zweck der Nachricht? Kommt Ihnen irgendetwas an der Nachricht eigenartig vor, werden Sie zum Handeln gedrängt oder emotional bedrängt? Gibt es Grammatikfehler oder verdächtige Links oder Anweisungen? Ist der Tonfall ungewöhnlich? All dies kann auf einen Phishing-Angriff hindeuten.
Die Nutzung eines Passwort-Managers wie LastPass ist eine weitere einfache Maßnahme, um zu verhindern, dass Hacker Zugriff auf Ihre E-Mails erhalten und Sie dazu bringen, Formulare auf betrügerischen Websites auszufüllen.
Wie kann ich mich vor einem Phishing-Angriff schützen?
Best Practices zum Schutz vor Phishing-Scams
Es gibt eine Reihe von Best Practices, die Sie befolgen können, um Phishing-Angriffe zu verhindern. Zunächst einmal gilt: Gehen Sie es langsamer an. Lesen Sie Ihre E-Mails aufmerksam durch, überprüfen Sie vor dem Antworten, ob der Absender und die Adresse übereinstimmen, und halten Sie nach verdächtigen Aktivitäten Ausschau.
Für jedes Konto ein anderes starkes Passwort verwenden
Die Multifaktor-Authentifizierung (MFA) und sichere Passwörter können dazu beitragen, Ihre Daten zu schützen und Hackerangriffe zu verhindern. Wenn Sie Ihre Passwörter regelmäßig ändern oder einen Passwort-Manager nutzen, können sich Cyberkriminelle schwerer Zugriff verschaffen.
Die Rolle von Passwort-Managern wie LastPass zum Schutz vor Phishing
Passwort-Manager wie LastPass verringern den Passwortfrust unter Benutzern und ermöglichen eine akkurate und sichere Kommunikation. LastPass kann betrügerische Websites erkennen und gibt persönliche Daten nicht in gefälschte Formulare ein.
Wo kann ich einen Phishing-Angriff melden? Wie soll ich darauf reagieren?
Maßnahmen bei Erhalt einer Phishing-Mail
Wenn Sie eine Phishing-Mail erhalten haben, sollten Sie Vorsicht walten lassen und den Vorfall melden.
Klicken Sie auf keine Links und laden Sie keine Anhänge herunter. Fragen Sie beim Absender nach, bevor Sie seiner Bitte nachkommen, und folgen Sie den Richtlinien Ihres Unternehmens zum Melden von Phishing-Mails.
Melden von Phishing-Scams
Wenn Sie Phishing-Angriffe melden, können Sie dazu beitragen, zukünftige Betrugsversuche zu verhindern und bekannte Scammer zu identifizieren. Folgen Sie den Richtlinien Ihres Unternehmens, um einen Phishing-Versuch zu melden, und fragen Sie Ihr IT- oder Cybersecurity-Team um Rat. Phishing-Angriffe können auch Organisationen wie Google, der Anti-Phishing Working Group oder der Polizei gemeldet werden.
Ich wurde Opfer eines Phishing-Scams. Was soll ich tun?
Wenn Sie denken, Opfer eines Phishing-Angriffs geworden zu sein, sollten Sie Ihr Gerät sofort vom Internet trennen, einen Virenscan durchführen und Ihre E-Mails und Online-Konten auf verdächtige Transaktionen überprüfen. Wenn der Phishing-Vorfall in einem Firmennetzwerk oder auf einem Firmengerät stattfand, sollten Sie ihn Ihrem Arbeitgeber melden und den standardmäßigen Sicherheitsrichtlinien folgen.
Phishing ist eine ernstzunehmende Bedrohung. Wir können sie nur bekämpfen, indem wir wachsam bleiben und uns informieren. Einzelpersonen und Unternehmen können sich vor Phishing-Angriffen schützen, indem sie sich über häufige Phishing-Methoden informieren, nach verdächtigen E-Mails Ausschau halten und Best-Practice-Empfehlungen folgen.
Einer der einfachsten ersten Schritte? Die Nutzung eines Passwort-Managers. Testen Sie LastPass jetzt, um sich und Ihr Unternehmen vor Phishing-Angriffen zu schützen.
