Phishing erkennen und verhindern: So gelingt wirksamer Schutz vor Cyber-Kriminalität

Phishing ist nicht erst seit der vermehrten Nutzung privater Geräte im beruflichen Umfeld zum Problem geworden. Für Unternehmen war es schon immer eine Herausforderung, alle Cyber-Security-Systeme auf dem neuesten Stand zu halten. Doch nicht nur bei großen Firmen besteht im Hinblick auf Cybersicherheit akuter Handlungsbedarf: 43 Prozent der Cyber-Attacken zielen auf Kleinunternehmen an, doch nur 14 Prozent sind darauf auch vorbereitet. Diebe und Betrüger passen sich schließlich schnell an und überwinden teils selbst neue Schutzmethoden innerhalb kurzer Zeit. Eine besonders beliebte Variante der Cyberkriminalität ist das „Angeln” nach Passwörtern und beispielsweise Kreditkartendaten: das sogenannte „Phishing”.

Immer mehr Menschen arbeiten im Homeoffice und verwenden dafür auch ihre privaten Geräte, was zu mehr (erfolgreichen) Phishing-Angriffen geführt hat. Tatsächlich zeigt sich gerade bezüglich mobiler Phishing-Angriffe laut dem US-amerikanischen Sicherheitslösungs-Anbieter Lookout ein Anstieg von 32 Prozent zwischen dem letzten Quartal 2019 und dem ersten Quartal in 2020. Umso wichtiger ist es daher, Ihre Angestellten in Zeiten mobiler Erreichbarkeit, Flexwork und Homeoffice über die möglichen Bedrohungen zu informieren, damit diese einen möglichen Angriff auch als solchen erkennen.

 

Phishing – das steckt hinter dem Begriff

Von den betrügerischen Machenschaften im Internet ist Phishing eine der gefährlichsten und dabei gängigsten Bedrohungen, da sie auf menschliche Gutgläubigkeit und fehlende IT-Kenntnisse abzielt. Das Wort leitet sich vom englischen Wort für „angeln” („fishing”) und der Abkürzung „ph” für „password harvesting” ab. Es wird sozusagen vor allem nach Zugangsdaten und Passwörtern „geangelt”, indem geeignete „Köder” ausgelegt werden.

Cyber-Kriminelle senden dazu automatisierte E-Mails oder Nachrichten beispielsweise in Messenger-Systemen an eine große Anzahl von Empfängern und tarnen sich als:

  • eine vertrauenswürdige Person oder Institution,
  • ein Kollege, der nach sensiblen Informationen wie Kreditkartendaten, Personalausweisnummer und Passwörtern fragt oder
  • ein scheinbar vertrauenswürdiger Link.

Durch Anklicken des Links können Cyber-Kriminelle nun gezielt nach Informationen auf Ihrem Gerät zu suchen, die dann zum Diebstahl von Geld oder zur Erpressung der Person verwendet werden. Sogenannte „Spear-Phishing”-Nachrichten sind dabei noch präziser und personalisierter als allgemeine Phishing-Versuche, da der Cyber-Kriminelle sich als naher Verwandter, Freund oder Partner ausgibt. Normalerweise werden diese Nachrichten per E-Mail, über die sozialen Medien oder auch innerhalb von Dating-Seiten übermittelt.

 

Mobile Phishing als Sonderform

Schon seit langem können wir uns von fast überall auf der Arbeit einloggen – sei es von Ihrem Zuhause, dem Café um die Ecke oder der Poolanlage im Urlaub aus.

Vor allem Messenger-Dienste wie Slack, Teams und Co. werden verstärkt von unterwegs aus genutzt. Aber auch der E-Mail-Abruf klappt auf dem Smartphone oder Laptop auf Reisen im Grunde genauso komfortabel wie sonst am betrieblichen Arbeitsplatz.

Nicht nur gestresste Manager, die auch nach Geschäftsschluss nur mal kurz nachsehen wollen, was es Neues gibt, kennen das. Vielen fällt es aus unterschiedlichen Gründen schwer, einfach mal abzuschalten und der eigenen Müdigkeit und Unkonzentriertheit nach einem langen Arbeitstag Rechnung zu tragen – genau das machen sich Angreifer dann beim „Mobile Phishing” zunutze.

Es gibt fünf gängige Arten von mobilen Phishing-Angriffen:

  1. URL-Padding: Das eigentliche Ziel der Website wird von Bindestrichen verdeckt und nur die scheinbar echte Website ist zu sehen.
  2. Short-URLs sind gekürzte Links, die den Nutzer zu schädlichen Inhalten führen. Sie können auch via SMS versendet werden.
  3. Bildschirm-Überlagerungen bilden die Login-Seite einer echten mobilen App nach, um an Benutzernamen und Passwörter einer Person heranzukommen. Es handelt sich hierbei um eine sehr effektive Methode, die normalerweise auf Mobile-Banking und Zahlungs-Apps abzielt.
  4. Eine Verifizierung per Handy kann dem Angreifer dabei helfen, zu überprüfen, ob es sich beim Ziel um ein mobiles Endgerät handelt. Ist dies der Fall, kann der Angreifer spezifische Angriffe darauf senden.
  5. Beim „SMS Spoofing” wird der Nutzer dazu verleitet, einen Link anzuklicken, der eine Benachrichtigung für eine Systemaktualisierung vortäuscht. Klickt der Nutzer auf den Link, fängt dieser E-Mails, sensible Daten oder Website-Traffic zum und vom Gerät ab.

 

„Bei uns kommen immer wieder Phishing-Mails an, die dann scheinbar von mir, dem CEO stammen sollen. Das macht es aber besonders gefährlich, weswegen unsere Mitarbeiter diesbezüglich besonders sensibilisiert werden.”

– Hendrik Gottschalk, CEO von getbaff

 

Mobil arbeiten, sicher bleiben: Mit Lookout

Durch die Corona-Pandemie sind flexible Arbeitsmodelle immer wichtiger geworden. Nicht nur arbeiten immer mehr Mitarbeitende im Homeoffice – auch das Arbeiten von überall aus gewinnt immer mehr an Bedeutung. Um das sogenannte Remote Working möglichst unkompliziert und flexibel zu organisieren, werden immer mehr Inhalte und Aufgaben „in die Cloud” verlegt. Im Rahmen einer Verizon-Untersuchung aus dem Jahr 2020 gaben 84 Prozent der befragten Fachkräfte an, dass deren Abhängigkeit von Cloud-Daten zunimmt.

Viele Smartphones und Tablets verfügen schon länger über Leistungsdaten wie so mancher Laptop. Deren große Displays und die jederzeitige Konnektivität verführen leicht zu spontanen Arbeiten. Geschehen diese dann unter Zeitdruck, ohne VPN-Verbindung oder beispielsweise im offenen Flughafen-WLAN, sind die Sicherheitsrisiken nicht unerheblich.

Doch nicht nur Unkonzentriertheit, Hektik oder fehlende Verschlüsselung können zum Problem werden: Laut Recherche des Sicherheits-Lösungsanbieters Lookout klicken Nutzer auf einem mobilen Endgerät dreimal so häufig auf einen Phishing-Link, da die Phishing-Versuche auf einem kleinen Bildschirm viel schlechter zu erkennen sind.

Künstliche Intelligenz kann dabei helfen, Phishing-Angriffe auf diesen Applikationen zu erkennen und zu blockieren sowie Angestellte daran zu hindern, Phishing-Seiten überhaupt erst aufzurufen. Mit über 4,5 Milliarden analysierten Webseiten, mehr als 160 Millionen untersuchten Apps und über 200 Millionen geprüften Endgeräten hat Lookout mehr als 500 Millionen Phishing-Seiten und mehr als 10.000 schädliche Apps im Visier – und das auf täglicher Basis.

Derartige Attacken betrafen 2020 immerhin etwa 20 Prozent der mobilen Endgeräte in Deutschland – und sowohl iOS- als auch Android-Geräte sind gefährdet. Ist eine Schadsoftware erst einmal installiert, läuft sie häufig unbemerkt im Hintergrund mit und spioniert wichtige Daten aus. Der eigentliche Schaden passiert dann an anderen Stellen, ohne dass Sie es zunächst mitbekommen, oder die Ursache kennen.

Was also tun? Integrierte Virenscanner wie bei Windows oder auf dem Mac sind auf den meisten mobilen Endgeräten eher Fehlanzeige. Daher ist es durchaus sinnvoll, sowohl Dienst- als auch Privathandys und -tablets mit der Lookout-Security-Lösung zu schützen.

Das Lookout-System wird über eine zentrale Verwaltungskonsole gesteuert und ist sofort einsatzbereit. Die Inhalte von E-Mails, der Browserverlauf oder persönliche und private Nachrichten werden dabei weder mitgelesen noch irgendwo gespeichert. Die Gerätelaufzeit wird ebenfalls nicht beeinträchtigt.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/phishing-erkennen-und-verhindern-so-gelingt-wirksamer-schutz-vor-cyber-kriminalitaet/