GlobalSign Blog

Was ist Phishing und wie kann es verhindert werden?

Was ist Phishing und wie kann es verhindert werden?

Es gibt Hunderte verschiedener Angriffsstrategien, die von Cyberkriminellen eingesetzt werden. Eine dieser Techniken ist Phishing. Obwohl es sich um eine ältere Strategie handelt, wird sie von Cyberkriminellen mit neuen Varianten immer noch erfolgreich eingesetzt. Aber was ist Phishing genau und wie kann man es verhindern?


Was ist Phishing?
Welche Typen von Phishing gibt es?
So verhindern Sie Phishing

Was ist Phishing?

Phishing ist eine Form der Internetkriminalität, bei der sich der Angreifer einer Person gegenüber vorgibt, von einem seriösen Unternehmen zu sein. Dabei verfolgt er die Absicht, den Benutzer auszutricksen, um Zugang zu sensiblen, vertraulichen und wichtigen persönlichen und organisatorischen Daten zu erhalten oder bösartige Software wie Ransomware einzusetzen. Ihre Bankverbindung und Ihr Firmenpasswort sind die von Internetkriminellen am häufigsten gesuchten Informationen. 

Welche Typen von Phishing gibt es?

Cyberkriminelle nutzen verschiedene Arten von Phishing-Techniken, und die Liste wird ständig länger, da immer neue Wege gefundene werden, um an die gewünschten Informationen zu gelangen. Im Rahmen der Weiterentwicklung der Technologie und der Internetdienste suchen Hacker nach neuen Möglichkeiten, Schwachstellen in den Sicherheitssystemen auszunutzen und sich Zugang zu vertraulichen Informationen zu verschaffen. Das kann dazu führen, dass Benutzer auf neuere, weniger bekannte Arten von Phishing-Angriffen hereinfallen. Im Folgenden werden einige der verschiedenen Arten von Phishing-Betrug untersucht:

  • Deceptive Phishing
  • Spear Phishing
  • Whale Phishing
  • Pharming
  • Smishing
  • Google-Apps
  • Gefälschte Rechnungen

Was ist Deceptive Phishing? 

Deceptive Phishing bedeutet „täuschendes Phishing“ und wird auch als E-Mail-Phishing bezeichnet. Es ist die häufigste Art von Phishing-Angriffen und wird seit Jahrzehnten eingesetzt. Dazu wird eine betrügerische, gut ausgearbeitete und manipulative Nachricht gesendet, in der sich der Angreifer als Angehöriger einer legitimen Organisation ausgibt. In der Regel wird dabei nur Absender-E-Mail-Adresse geringfügig verändert, was von normalen Internetnutzern oft unbemerkt bleibt. Die E-Mail enthält einen Link, der zu einer gefälschten Webseite führt, oder Malware auf dem Gerät installiert. Solche Nachrichten sind gewöhnlich nicht personalisiert oder an eine bestimmte Person gerichtet und werden auch als „Massenphishing“ bezeichnet. Die Absicht ist es, Ihre Daten zu hacken und Zugriff auf Ihre vertraulichen oder geheimen persönlichen Informationen zu erhalten.

Was ist Spear Phishing?

Spear-Phishing („Speerfischen“) ist eine Strategie, die auf Personen in einem bestimmten Unternehmen oder einer bestimmten Branche abzielt, um Zugang zum eigentlichen Ziel zu erhalten: dem Unternehmen selbst. Die E-Mails sind zumindest personalisiert und verwenden in der Regel Logos und E-Mail-Signaturen. Dadurch erscheinen die E-Mails wie eine Marketingkampagne des versendenden Unternehmens und geben dem Empfänger nur wenig Grund, an der Authentizität zu zweifeln.  

Was ist Whale Phishing?

Whale Phishing (Walfischen) ist ein sehr gezielter Phishing-Angriff, der auf die „großen Tiere“ eines Unternehmens abzielt, d. h. auf leitende Angestellte wie Geschäftsinhaber, Direktoren und Schlüsselpersonal. Die Angreifer führen im Vorfeld intensive Recherchen durch. Und um seriös zu wirken, sind die E-Mails personalisiert und erwähnen die wichtigsten Details des Unternehmens. Der Absender verwendet eine E-Mail-Adresse, die der der Steuerbehörde oder einer anderen Behörde ähnelt und bittet häufig um einige wichtige Informationen oder eine Überweisung. Der Gesamteindruck der E-Mail ist sehr professionell, aber da sie sich an das ranghohe intelligente Personal richtet, ist ihre Erfolgsquote recht niedrig

Was ist Pharming?

Pharming ist eine weitere Phishing-Strategie, bei der betrügerische E-Mails von authentischen Quellen wie Banken und Social-Media-Sites gesendet werden. In diesen E-Mails werden Sie aufgefordert, eine dringende Aktion in Ihrem Konto auszuführen. Dies kann alles Mögliche sein, von der Änderung des Passworts bis hin zur Durchführung von Sicherheitsmaßnahmen. Sie werden dazu manipulativ zu einer gefälschten Webseite umgeleitet. Beim Pharming handelt es sich nicht nur um betrügerische E-Mails, sondern es wird auch das DNS-Cache geändert. Es verwendet dieselbe Webadresse wie die Quelle und scheint genau wie die ursprüngliche Site zu sein. Es fragt nach Ihren Anmeldedaten und hackt Ihre Konten.

Was ist Smishing?

Smishing ist eine Art von Phishing-Angriff, für den SMS eingesetzt werden. Das Opfer erhält gefälschte Textnachrichten, die entweder eine direkte Antwort verlangen oder einen Link zu einer Phishing-Website enthalten, die oft einer Ihnen bekannten Website ähnelt. 

Sind Angriffe durch Google-Apps wie „Docs“ möglich?

Zahlreiche Internetnutzer sind auf Google-Apps angewiesen, vom Play Store bis zu GMail. Mit einem GMail-Konto können Sie auf eine Reihe von Google-Diensten zugreifen und diese nutzen. Die meisten Menschen verwenden Google Docs, Sheets, Drive und andere Google-Apps zum Speichern von Dokumenten und Fotos, da dies sehr praktisch und sicher erscheint. Dies ist der Grund, warum das Hacken von Google-Passwörtern eines der Hauptziele der Betrüger ist. Sie erstellen E-Mails und senden sie an Google Mail-Nutzer, die sie zu ihrer Google-Anmeldeseite weiterleiten. Wenn Sie das Passwort eingeben, sind Ihr Konto und alle darin gespeicherten Dateien für den Betrüger zugänglich.

Darüber hinaus gibt es Berichte von Anfang 2022 dazu, dass die Kommentarfunktion in Google Docs & Tabellen ausgenutzt wurde, um scheinbar legitime E-Mails zu versenden und die Zielpersonen zum Klicken auf bösartige Links zu verleiten. Der Angreifer erstellt dazu ein Google Docs-Dokument und fügt einen Kommentar hinzu, der den bösartigen Link enthält. Das Opfer wird über die „@“-Funktion hinzugefügt, wodurch eine E-Mail mit einem Link zu der Google Docs-Datei ausgelöst wird. In der E-Mail wird der vollständige Kommentar angezeigt, einschließlich der vom Angreifer hinzugefügten falschen Links und anderen Texten.

Kann ich mit Hilfe einer Rechnung betrogen werden?

Ja, auch gefälschte Rechnungen sind eine Art von Phishing-Betrug. Dabei wird eine Rechnung an ein Unternehmen oder eine Privatperson geschickt, um die Bezahlung von Waren oder Dienstleistungen zu verlangen. Dabei kann es sich um eine Zahlungsaufforderung, Hinweise auf das Überschreiten des Fälligkeitsdatums der Zahlung oder eine Mitteilung über eine Änderung von Zahlungsdaten handeln.

So verhindern Sie Phishing

Phishing-Angriffe sind für Unternehmen ein zunehmendes Problem. Einem aktuellen Bericht von IBM zufolge ist Phishing zwar „nur“ die zweithäufigste Ursache für Datenschutzverletzungen, aber sie ist die teuerste und kostet die Unternehmen durchschnittlich 4,91 Millionen Dollar. Aber mit welchen Maßnahmen kann Ihr Unternehmen Phishing-Angriffe verhindern?  

  • Überprüfen Sie Inhalte sorgfältig
  • Überprüfen Sie alle Links sorgfältig
  • Sichern Sie Ihre Identität
  • Signieren Sie E-Mails digital

 

Überprüfen Sie Inhalte sorgfältig

Die meisten betrügerischen E-Mails haben viele Schwachstellen in ihrem Inhalt. Die meisten Phishing-E-Mails wenden sich direkt an Sie und verwenden persönliche Informationen, um Sie zu täuschen. Sie enthalten aber nicht die vollständigen Informationen. Wenn Sie den Betreff und den Inhalt dieser E-Mails sorgfältig prüfen, können Sie sich ein Bild von ihrer Echtheit machen. 

  • Seien Sie misstrauisch bei Anhängen – erwarten Sie sie (z. B. Rechnungen oder Dateidownloads)?
  • Seien Sie vorsichtig bei der Angabe sensibler Informationen wie Anmeldedaten, Kreditkartendetails, Telefonnummern oder Bankdaten.
  • Achten Sie auf Grammatik- und Rechtschreibfehler.

Für weitere Tipps, worauf Sie beim Erkennen bösartiger E-Mails achten sollten, klicken Sie hier.

Der Haupttrick der Betrüger besteht darin, dass sie mit ihren Phishing-E-Mails ein Gefühl der Dringlichkeit erzeugen. Sie gehen nur in die Falle, wenn Sie vorschnell handeln. Daher ist es wichtig, ruhig zu bleiben und erst nachzudenken und dann zu klicken.

Überprüfen Sie alle Links sorgfältig

Um Phishing zu vermeiden, sollten Sie E-Mail-Adressen und Links zu Websites genau überprüfen, bevor Sie auf einen Link klicken. Die gefälschten Adressen sind fast identisch mit den Originaladressen, aber sie sind nicht gleich. Oft gibt es geringfügige Änderungen bei der Schreibweise oder der Zeichenverwendung. 

  • Wenn ein Link nach Anmeldedaten fragt, gehen Sie direkt zu der Website und nicht über den Link in E-Mails.
  • Wenn Sie ein Desktop-Gerät nutzen, können Sie vor dem Anklicken mit dem Mauszeiger über einen Link fahren, um sicherzustellen, dass es sich um einen vertrauenswürdigen Link handelt.
  • Achten Sie auf HTTP-sichere Websites mit der Vertrauenssignatur für Websites mit einem TLS-Zertifikat.

Sichern Sie Ihre Identität

Ein VPN oder Virtuelles privates Netzwerk bietet einen verschlüsselten Tunnel für alle Ihre Online-Aktivitäten. Es verschleiert Ihre wahre Identität und Ihren echten Standort und ermöglicht es Ihnen, über gesicherte Remote-Server eine Verbindung mit der Welt herzustellen. Auf diese Weise wird die Möglichkeit zum Ausspähen und -schnüffeln beseitigt und Cyberkriminelle können nicht auf Ihre Informationen und Ihre Identität zugreifen. Ein starkes VPN schützt Ihre Verbindung auch vor angreifender Malware und macht Ihre Online-Existenz sicher und geschützt. VPN ist eine sichere Barriere für Phishing-E-Mails auf dem Weg zu Ihrem Gerät.

Digital signierte E-Mails

Wehren Sie Phishing-Angriffe durch digital signierte E-Mails ab und stärken Sie die E-Mail-Sicherheit Ihres Unternehmens durch S/MIME-Zertifikate. Durch die Nutzung von zwei kryptographischen Methoden kann S/MIME die Herkunft von E-Mails und die Identität des Absenders verifizieren und die E-Mail-Kommunikation während der Übertragung auf Mailservern durch Verschlüsselung schützen. Bei Nutzung des S/MIME-Protokolls ist es unmöglich, die digitale Signatur einer E-Mail abzufangen und zu entfernen – und digital signierte E-Mails sind garantiert gültig und legitim.

 

Share this Post

Ähnliche Blogs