Anderes Thema?
Semerad IT Consulting, gegründet 2001, ist Ihr Experte für Cyber Security und IT Services. Mit einem erfahrenen 7-köpfigen Team betreuen wir europaweite Kunden und realisieren maßgeschneiderte Netzwerkprojekte. Vertrauen Sie unserer Expertise für umfassende Cyber-Sicherheitslösungen.
Kostenlos von Semerad IT
Phishing
Was ist Phishing?
Phishing bezeichnet den Versuch, Daten von Internetnutzern durch gefälschte Internetadressen, E-Mails oder SMS-Nachrichten zu ergattern. Das primäre Ziel besteht darin, an persönliche Informationen zu gelangen und – in den meisten Fällen – finanziellen Schaden zuzufügen. Der Begriff „Phishing“ leitet sich dabei von „fishing“ (englisch für Angeln oder Fischen) ab und bezieht sich auf die Tatsache, dass Betrüger buchstäblich nach Passwörtern fischen, indem sie unterschiedliche Köder verwenden.
Geschichte des Phishing
Der Begriff „Phishing“ entstand in den 1990er Jahren, als Hacker betrügerische E-Mails nutzten, um Informationen zu stehlen. Diese Angriffe zielten auf ahnungslose Nutzer ab. In den 2000er Jahren verlagerte sich das Ziel auf Bankkonten, wobei gefälschte E-Mails auf schädliche Websites leiteten, die wie legitime Bankseiten aussahen. Die gestohlenen Zugangsdaten wurden auch für Attacken bei anderen Diensten genutzt.
Mit der Zeit wurden Phishing-Angriffe immer ausgeklügelter. Die Täter nutzten Social Engineering-Techniken, um die Opfer zu täuschen, und die gefälschten E-Mails und Websites wurden immer schwerer von den echten zu unterscheiden.
Im Laufe der Jahre gab es zahlreiche gut bekannte Phishing-Angriffe. Einer der bekanntesten war der “PayPal-Phish” aus dem Jahr 2003, bei dem Tausende von gefälschten E-Mails im Namen von PayPal verschickt wurden. Ein weiterer bekannter Angriff war der “Bank of America-Phish” aus dem Jahr 2004.
Nicht nur Privatpersonen, sondern auch Regierungen und Unternehmen wurden immer häufiger Opfer von Phishing-Attacken. Als Folge wurde aktiver an der Bekämpfung dieser Angriffe gearbeitet. Es wurden Gesetze erlassen, um Phisher strafrechtlich zu verfolgen, beziehungsweise gab es auch verstärkte Bemühungen, die Öffentlichkeit über die Gefahren des Phishing aufzuklären. Unternehmen entwickelten zudem Technologien wie Spamfilter und Phishing-Warnungen, um Nutzer effektiv zu schützen.
Noch heute wird die Optimierung von Gegenmaßnahmen gefördert, da sich auch Phishing-Techniken ständig weiterentwickeln. Neben E-Mails werden auch andere Kommunikationsmittel wie SMS und Soziale Medien für Phishing-Attacken genutzt.
Somit bleibt Phishing eine ernsthafte Bedrohung für die Cyber Sicherheit. Die Täter passen ihre Techniken ständig an, um die Aufmerksamkeit der Opfer zu erregen und persönliche Informationen zu stehlen. Es ist daher wichtig, wachsam zu sein, verdächtige Nachrichten zu melden und sich über Phishing-Betrug auf dem Laufenden zu halten.
Welche Arten von Phishing gibt es?
Hacker nutzen unterschiedliche Herangehensweisen, um an (persönliche) Informationen zu gelangen. Gemeinsam haben diese Angriffe jedoch, dass betrügerische Täuschungen angewandt werden.
Wir haben für Sie ein paar Varianten hier aufgelistet:
E-Mail-Phishing
Betrüger senden gefälschte E-Mails, die wie Nachrichten von vertrauenswürdigen Unternehmen aussehen (z. B. Banken, Online-Shops). Ziel ist es, den Empfänger dazu zu bringen, auf Links zu klicken oder persönliche Daten preiszugeben.
Spear-Phishing
Spear-Phishing zielt im Vergleich zu Phishing Massen-E-Mails auf bestimmte Personen oder Organisationen ab, um mit maßgeschneiderten Inhalten zu überzeugen. Die Angreifer recherchieren vorher sehr genau und erstellen so personalisierte E-Mails. Zum Beispiel kann ein Betrüger eine gefälschte E-Mail von einem Vorgesetzten senden, die eine Zahlung zum Ziel hat. Dies ist eine ernsthafte Bedrohung, die hohen finanziellen Schaden verursachen kann.
Clone-Phishing
Bei diesem Angriff erstellen Kriminelle gefälschte Kopien legitimer E-Mails mit Links oder Anhängen. Sie ersetzen die echten Links/Anhänge durch schädliche Imitationen. Ahnungslose Benutzer klicken darauf, was dem Angreifer die Kontrolle über ihr System ermöglicht. Infolgedessen kann sich der Angreifer als vertrauenswürdiger Absender ausgeben, um weitere Personen im Unternehmen zu täuschen.
Telefon-Phishing
Telefon-Phishing, auch als “Vishing” bekannt, ist eine Betrugsmethode, bei der Angreifer Opfer per Telefon kontaktieren und sich als vertrauenswürdige Personen oder Institutionen, z.B. Polizei oder Bank, ausgeben. Sie schildern erst ein Problem, um dann mit der passenden Lösung aufzuwarten. So gelangen diese an persönliche Informationen wie Passwörter oder Kreditkartendaten.
Wie erkenne ich Phishing-E-Mails?
Als erste Maßnahme ist es wichtig, Phishing-E-Mails als solche differenzieren zu können, um das Risiko von Attacken signifikant zu senken. Das Erkennen dieser E-Mails erfordert Achtsamkeit und die Beachtung bestimmter Warnzeichen. Im Folgenden stellen wir Ihnen einige Tipps vor, die Ihnen dabei helfen, Phishing-E-Mails zu erkennen:
1. Überprüfen Sie den Absender
Die E-Mail Adresse des Absenders gibt meist Auskunft über die Seriosität der E-Mail. Bei Rechtschreibfehlern und Abweichungen der eigentlichen Domain sollten bereits die Alarmglocken läuten. Zudem verwenden Phisher oft leicht abgeänderte Adressen (z. B. “service@amzon-support.com“), um echte E-Mails nachzuahmen.
2. Kam die E-Mail unerwartet?
Sie haben bei einem Gewinnspiel gewonnen, ohne in letzter Zeit eine Teilnahme bestätigt zu haben? Ein Paket konnte nicht zugestellt werden, aber Sie erwarten aktuell gar keine Bestellung? Ihre „Bank“ informiert Sie darüber, dass eine Zahlung nicht erfolgreich durchgeführt werden konnte, Sie können sich jedoch gar nicht an besagte Überweisung erinnern?
In diesen Momenten ist Ihre Skepsis berechtigt. Sobald dringende Maßnahmen erforderlich sind oder persönliche Informationen benötigt werden, sollten Sie besser nicht reagieren.
3. Grammatik & Rechtschreibung
Phishing-E-Mails weisen sehr häufig Fehler in Grammatik und Rechtschreibung auf. Dies ist keinesfalls ein Resultat von Inkompetenz. Fake E-Mails verfolgen die Absicht, unseriös zu erscheinen. So können unerfahrene Nutzer noch leichter ausgenutzt werden, da diese oftmals nicht vertraut sind mit derlei Praktiken.
Wenn eine Nachricht also viele Fehler enthält, ist sie mit hoher Wahrscheinlichkeit nicht von einem seriösen Absender.
Wie schütze ich mich vor Phishing-Angriffen?
Um sich vor Phishing-Angriffen zu schützen, sollten Sie eine Reihe von bewährten Sicherheitspraktiken befolgen. Phishing-Angriffe können per E-Mail, SMS, Sozialen Medien oder sogar über gefälschte Websites erfolgen.
1. Vorsicht bei Anhängen & Links
Bei Anhängen oder Links in E-Mails ist Vorsicht geboten. Stellen Sie zuerst sicher, dass es sich dabei um legitime Aufforderungen handelt und Sie auch mit einer solchen rechnen. Die URL muss stets zu einer offiziellen Website führen. Dies können Sie überprüfen, indem Sie – bevor Seite auf den Link klicken – zuerst darüber hovern und so die URL in der Vorschau genauer inspizieren können.
2. Phishing-Filter nutzen
Sie haben die Möglichkeit, in Ihrem E-Mail-Client oder Browser den Phishing-Filter zu aktivieren, um bekannte Phishing-Websites zu blockieren. Dies erweist sich in der Regel als äußerst nützliche Präventiv-Maßnahme. Nichtsdestotrotz sollten Sie aktiv auf suspekte Anzeichen achten.
3. Vorsicht bei persönlichen Informationen
Keine Informationen preisgeben:
Seriöse Organisationen fragen nie per E-Mail oder Telefon nach sensiblen Daten wie Passwörtern.
Authentizität direkt überprüfen
Kontaktieren Sie den Anbieter über offizielle Kanäle (z. B. Website oder Telefon), um sicherzustellen, dass die Anfrage legitim ist.
4. Multi-Faktor-Authentifizierung (MFA) umsetzen
Um zusätzliche Sicherheitsmaßnahmen zu nutzen, sollten Sie unbedingt eine Multi-Faktor-Authentifizierung einrichten. Damit schützen Sie vor allem Online-Konten, die jedes Mal eine Anmeldung verlangen. Mehr zum Thema MFA erfahren Sie in unserem Blogartikel „Die Multifaktor Authentifizierung (MFA) – Was sie ist und wie sie funktioniert“, der sich ausführlich mit der Theorie sowie der Implementierung im Unternehmen beschäftigt.
5. Schulungen und Sensibilisierung
Schulungen für Mitarbeiter oder Familie:
- Sensibilisieren Sie Ihr Umfeld für die Gefahren von Phishing-Angriffen und wie man sie erkennt.
Testen Sie Ihr Wissen:
- Nutzen Sie Phishing-Simulationen, um Ihre Fähigkeiten zur Erkennung solcher Angriffe zu verbessern.
Was sind die Folgen von Phishing?
Phishing-Attacken werden immer häufiger durchgeführt und können schwerwiegende Folgen für Einzelpersonen, Unternehmen und Organisationen haben.
Identitätsdiebstahl: Phishing-Angriffe haben zum Ziel, sensible Informationen wie Benutzernamen, Passwörter, Sozialversicherungsnummern und Kreditkartendaten zu stehlen. Mithilfe dieser Informationen können Kriminelle Identitätsdiebstahl begehen und im Namen von Privatpersonen (auch Mitarbeitern) betrügerische Aktivitäten ausführen.
Finanzieller Schaden: Wenn Phisher Zugriff auf finanzielle Konten erhalten, können sie Geld abheben, unberechtigte Einkäufe tätigen und Bankkonten leeren. Dies kann zu erheblichen finanziellen Verlusten führen. Dies ist auch nicht selten im Unternehmenskontext der Fall. Daher müssen Mitarbeiter im Vorfeld gebriefed und über mögliche Risiken aufgeklärt werden.
Rufschädigung: Eine Phishing-Attacke kann selten verschleiert werden. Sind erst Stakeholder oder gar die Öffentlichkeit über den Angriff informiert, geht meist eine gravierende Schädigung des Unternehmensimage einher. Diese Reputation bleibt auch meist über eine lange Zeit im Gedächtnis aller Beteiligten bzw. Informierten. Schlimmstenfalls leidet das Unternehmen dadurch weitere finanzielle Verluste.
Betriebsunterbrechungen: Für Unternehmen und Organisationen führen Phishing-Angriffe nicht selten zu Betriebsunterbrechungen, insbesondere wenn Malware in Unternehmensnetzwerke eindringt. Ein Stopp in der Produktion bedeutet zumeist auch Umsatzeinbußen. Wie lange es dauert bis dieser Schaden wieder kompensiert wird bzw. der Betrieb wieder am Laufen ist, ist zudem in den meisten Fällen schwer prognostizierbar.
Wie kann ich mein Unternehmen vor Phishing schützen?
Mit den vorangegangenen Tipps können Sie bereits sehr gute Schutzmaßnahmen ergreifen. Wenn Sie unsicher sind bezüglich Ihrer aktuellen IT Infrastruktur und potenziellen Risiken, sollten Sie unbedingt auf einen externen Profi wie Semerad IT vertrauen, der Ihre Systeme unter die Lupe nimmt.
Bei Semerad IT sind Sie an der richtigen Adresse, wenn es um die Sicherheit Ihrer IT Infrastruktur geht. Bei uns erwartet Sie ein direkter Ansprechpartner, der mit Ihnen gemeinsam an effektiven Lösungen arbeitet und für eine maximales Sicherheitslevel in Ihrem Unternehmen sorgt. Kontaktieren Sie uns gleich, um Ihre Systeme vom Experten zum Thema Cyber Security analysieren zu lassen!
Weblinks
- Phishing Prof. (FH) Mag. Dr. Helmut Siller, MSc abgerufen am 23.10.2023
- Alles über Phishing Malwarebytes.com abgerufen am 23.10.2023
- Auswirkungen erfolgreicher Phishing-Mails Sonja Epple abgerufen am 23.10.2023