Phishing: Wie Sie es erkennen und Ihr Unternehmen schützen

Phishing ist eine der gängigsten Cyberattacken auf Unternehmen. Und doch konnten laut „State of the Phish Report 2023“ weniger als ein Drittel der befragten Personen den Begriff korrekt definieren. Wir erklären, was Phishing ist, und warum Ihnen auch Smishing und Vishing bekannt sein sollten.

Was ist Phishing?

Phishing ist ein Sammelbegriff für verschiedene Arten der Kontaktaufnahme mit betrügerischer Absicht. Ziel von Phishing ist es, Menschen zu bestimmten Handlungen zu bewegen. Das kann z. B. die Weitergabe von vertraulichen Informationen oder die Installation von Schadsoftware sein.

Meist setzen Kriminelle dazu sogenannte Phishing-E-Mails ein. Diese sollen die Empfänger dazu bringen, auf einen Link in der Nachricht zu klicken, der auf eine Phishing-Website führt. In der Regel werden sie unter Vortäuschung dringender Notwendigkeit aufgefordert, vertrauliche Daten wie etwa Passwörter oder Kontodaten anzugeben. Diese Websites sehen denen vertrauenswürdiger Institutionen oft zum Verwechseln ähnlich. Geben Sie dort Ihre Daten ein, übermitteln Sie damit den Betrügern diese sensiblen Informationen. Auf diese Weise gelangen Kriminelle immer wieder in den Besitz geheimer Geschäftsdaten.

Um ihre Ziele zu erreichen, wenden die Betrüger Methoden des sogenannten Social Engineerings an. Im Unterschied zum klassischen Hacking zielt diese Strategie auf die Menschen in Ihrem Unternehmen – nicht auf Schwachstellen in der IT-Infrastruktur. Dabei werden Mitarbeiterinnen und Mitarbeiter getäuscht, unter Druck gesetzt oder anderweitig manipuliert, um die Vorkehrungen für Datensicherheit zu umgehen.

Ursprung des Ausdrucks

Der Ausdruck Phishing taucht erstmals 1996 in einer Newsgroup des Usenets (ein Vorläufer des World Wide Web) auf. Die ersten Hacker nannten sich auch Freaks und wählten dafür die Schreibweise „Phreaks“. Analog dazu prägte die Szene später den Kunstbegriff Phishing – eine Verschmelzung der Begriffe „Password-Harvesting“ („Passworternte“) und „Fishing“ („Angeln“).

Über 80 Prozent der Unternehmen waren bereits Ziel

Laut „State oft the Phish Report2023“ – einer Erhebung im Auftrag des IT-Sicherheitsunternehmens Proofpoint – waren im Jahr 2022 84 % der Unternehmen in 15 Ländern von mindestens einem erfolgreichen Cyberangriff per E-Mail betroffen. Die Summe der finanziellen Schäden stieg dem Bericht zufolge im Vergleich zum Vorjahr um 76 %.

Ähnlich entwickelte sich die Zahl der Phishing-Websites: Wie die Anti-Phishing Working Group (APWG) – eine internationale Koalition zur Bekämpfung von Cyberkriminalität – herausfand, überschritt die Anzahl solcher Seiten im Dezember 2022 die Marke von 450.000. Seit 2019 sei demnach die Zahl der Phishing-Angriffe um mehr als 150 % pro Jahr gestiegen.

Diese Statistik bildet die Anzahl der entdeckten Phishing-Webseiten von Januar 2015 bis Dezember 2022 ab. Laut der Quelle wurden im Dezember 2022 rund 459.139 Phishing-Webseiten weltweit entdeckt.

Anzahl weltweit entdeckter Phishing-Webseiten von Januar 2015 bis Dezember 2022.

Daran erkennen Sie Phishing-E-Mails

Die Phishing-Methoden werden immer ausgefeilter. Die wichtigsten Warnsignale sollten Sie daher auf jeden Fall kennen:

Ungewöhnliche Absenderadressen: Viele Phishing-Mails werden von vermeintlich vertrauten E-Mail-Adressen versandt. Diese können aus bekannten Namen von Banken oder Firmen bestehen, die aber mit seltsamen Zusätzen versehen sind (z. B. „Ihre-Bank123xy“).

Bekannt wirkende Absender mit ungewöhnlichen Anliegen: Phishing-Mails können wirken, als stammten sie von einer Ihnen bekannten Person oder Organisation. In solchen Fällen liefern ungewöhnlich wirkende Anliegen Hinweise darauf, dass die Absenderadresse gefälscht oder imitiert worden ist und Sie es in Wirklichkeit mit Trickbetrügern zu tun haben. 

Rechtschreib- und Grammatikfehler: Offensichtliche Fehler sollten Sie ebenso stutzig werden lassen wie Nachrichten, in denen ohne erkennbaren Grund zwischen verschiedenen Sprachen gewechselt wird.

Dringende Handlungsaufforderungen: Die Mail fordert Sie z. B. mit äußerster Dringlichkeit dazu auf, Rechnungen zu begleichen, Anmeldedaten bzw. Zahlungsinformationen zu aktualisieren oder eine App auf Ihrem Gerät zu installieren. 

Drohszenarien: In der Regel sind dringende Handlungsaufforderungen mit extrem negativen Szenarien verknüpft, die bei Nichtbefolgen des Aufrufs vermeintlich drohen. Das kann z. B. die Sperrung oder Löschung von Konten sein.

Abfrage vertraulicher Daten: E-Mails, die Sie dazu auffordern, Passwörter, Nummern von Bankkonten und Kreditkarten oder andere vertrauliche Informationen preiszugeben, sollten Sie unbedingt ignorieren. 

Links oder Formulare: Viele Phishing-E-Mails zielen darauf ab, dass Empfängerinnen und Empfänger auf einen bestimmten Link klicken oder Angaben in einem Formular machen. 

Vorsicht: Rechtschreibfehler oder unrealistische Versprechen in Phishing-Mails werden zunehmend selten und die Nachrichten lassen sich immer schwerer von legitimen Mails unterscheiden. Daher sollten Sie dafür Sorge tragen, dass Ihre Mitarbeiterinnen und Mitarbeiter über das Thema Bescheid wissen. Regelmäßige Schulungen helfen dabei.

Beispiele für Phishing-Angriffe

Das Spektrum von Phishing-Attacken ist breitgefächert. Die Initiatoren bedienen sich unterschiedlicher Methoden und Kommunikationskanäle. Diese häufigen Phishing-Beispiele sollten Sie kennen:

Phishing-Mails sind eine besonders weitverbreitete Methode, bei der Betrüger ihre Opfer in E-Mails dazu auffordern, auf einen darin enthaltenen Link zu klicken. Dieser leitet auf eine betrügerische Zielseite. Hier sollen Sie persönliche oder betriebliche Informationen eingeben. Bisweilen können Ihre Geräte durch den Klick auf einen solchen Link auch mit Ransomware oder anderer Schadsoftware infiziert werden.

Per E-Mail können Betrüger viele potenzielle Opfer erreichen und erheblichen Schaden anrichten. Rüsten Sie sich für entsprechende Angriffe und sorgen Sie für ausreichenden Schutz Ihrer Endgeräte. Geeignete Apps beispielsweise können potenziell bedrohliche E-Mails bereits vor der Zustellung herausfiltern und so einen wertvollen Beitrag zur Datensicherheit in Ihrem Unternehmen leisten. Zudem empfiehlt es sich, Ihre Belegschaft für das Thema zu sensibilisieren.

Smishing bezeichnet eine Form des Phishings, bei der eine betrügerische SMS-Nachricht an Mobiltelefone gesendet wird. Genau wie eine Phishing-Mail enthält auch die Phishing-SMS Links zu gefälschten Websites oder fordert Sie dazu auf, vertrauliche Informationen preiszugeben. Smishing hat im Rahmen des Phishings einen wachsenden Stellenwert, da immer mehr Menschen ihre Mobiltelefone für Transaktionen und die berufliche Kommunikation nutzen. Das macht Firmenhandys und andere Mobilgeräte zu attraktiven Angriffszielen für Cyberkriminelle.

Beim Voice-Phishing – dem Vishing – kontaktieren Betrüger ihre potenziellen Opfer mit einer gefälschten Telefonnummer per Anruf. Für sogenannte Technical Support Scams beispielsweise, geben Anrufende sich als Service-Mitarbeiter namhafter Unternehmen aus, die per Internet bei der Lösung angeblicher technischer Probleme helfen.

Ziel der Phishing-Anrufe ist es in der Regel, die Angerufenen zur Installation von Software auf ihrem Gerät zu bewegen. Dadurch können die Betrüger anschließend vertrauliche Informationen wie etwa Bankdaten oder Firmengeheimnisse ausspähen.

Beim Spear-Phishing werden betrügerische E-Mails oder Nachrichten, die öffentlich zugängliche persönliche Informationen enthalten, gezielt an bestimmte Personen oder Gruppen gesendet. Die Angreifer geben sich dabei oft als vertrauenswürdige Personen oder Organisationen aus, die das Opfer kennen.

Ein Beispiel: Ein Teammitglied hat in einem sozialen Netzwerk mit einer Organisation interagiert und einen Kommentar verfasst. Dieser ist öffentlich einsehbar – die enthaltenen Informationen können von Spear-Phishern genutzt werden. In einer zielgerichteten Phishing-Mail, die vermeintlich von dieser Organisation stammt, nehmen die Betrüger Bezug auf den abgefassten Kommentar und fordern dazu auf, einem Link zu folgen und dort Daten zu hinterlegen.

Ziel ist, das Vertrauen des Teammitglieds zu gewinnen und so an Informationen wie

Passwörter

Geschäftsgeheimnisse

Finanzdaten

zu gelangen. Spear-Phishing ist besonders gefährlich, da es sehr personalisierte Angriffe ermöglicht und eine höhere Erfolgsquote aufweist als allgemeinere Phishing-Angriffe.

Das sogenannte Whaling ist eine besonders anspruchsvolle Unterform des Spear-Phishings. Sie konzentriert sich auf hochrangige Führungskräfte und Entscheidungsträger in Unternehmen, die Zugang zu sensiblen Informationen haben.

Ein bekanntes Beispiel für diese Form des Phishings ereignete sich 2014. Hochrangige Führungskräfte des Filmverleihs Sony Pictures Entertainment erhielten damals Phishing-Mails, die zur Verifizierung Ihrer Anmeldedaten aufriefen. Die Angreifer erlangten dadurch Zugriff auf bis zu 100 TB interne Daten – u. a. Geschäftsgeheimnisse wie Gehaltslisten, Zugangsdaten zu Servern und persönliche Informationen von Hollywoodstars.

Beim Website-Phishing – oft kombiniert mit E-Mail-Phishing – locken Betrüger ihre Opfer auf eigens erstellte Websites, die denen renommierter Unternehmen ähneln. Dort fordert man sie dazu auf, persönliche Informationen einzugeben. Diese werden dann von den Angreifern gestohlen und z. B. für Identitätsdiebstahl missbraucht.

Ebenfalls im Jahr 2014 wurde das Online-Auktionshaus eBay gehackt und dabei mehr als 140 Millionen Kundendatensätze gestohlen. Daraufhin erhielten zahlreiche Nutzerinnen und Nutzer E-Mails, die angeblich von eBay stammten. Die enthaltenen Links führten zu gefälschten Websites, auf denen die Angeschriebenen ihre Kontoinformationen angeben sollten.

So schützen Sie sich vor Phishing

Mit grundsätzlichen Sicherheitsmaßnahmen wie ausreichender Passwortsicherheit und zusätzlicher zwei Faktor-Authentifizierung können Sie dafür sorgen, dass Phisher im Falle eines erfolgreichen Angriffs keinen Zugriff auf Online-Konten oder andere sensible Inhalte erlangen. Am besten ist es natürlich, wenn der Angriff von vornherein scheitert. Folgende Hinweise sollten Sie beherzigen, um sich vor Phishing-Angriffen zu schützen, die per E-Mail geführt werden:

Öffnen Sie grundsätzlich keine E-Mails von Absendern, die Sie nicht kennen.

Überprüfen Sie die genaue Adresse der Absender-E-Mail (je nach Mail-Client. Z. B., indem Sie mit der Maus über dem Absendernamen haltmachen).

Fahren Sie zunächst mit der Maus über Links und Anhänge, um zu prüfen, ob diese legitim sind.

Achten auf Sie auf digitale Zertifikate wie SSL – die meisten legitimen Websites verwenden solche Zertifikate, entsprechende URLs beginnen mit „https“ statt mit „http“. 

Klicken Sie nur dann auf Links in E-Mails, wenn Sie sicher wissen, von wem die Nachricht stammt und wohin man Sie leitet.

Klicken Sie niemals auf verdächtige Links. Steuern Sie stattdessen die legitime URL des vermeintlich absendenden Unternehmens manuell über den Browser an.

Kopieren Sie Namen und Textbestandteile verdächtiger E-Mails und suchen Sie per Google nach Hinweisen auf bereits bekannte Phishing-Angriffe mit dieser Methode. 

Schulen Sie Ihre Belegschaft regelmäßig, um das Bewusstsein und die Sensibilität gegenüber Phishing zu stärken.

Achten Sie bei der Auswahl einer Sicherheits-Software darauf, dass diese einen technischen Schutz vor Phishing-Attacken enthält.

Phishing im Überblick

Phishing ist eine Form der Cyberattacke, die auf menschliche, statt auf technische Schwachstellen abzielt. 

Betrugsversuche durch Phishing haben in den vergangenen Jahren deutlich zugenommen.

Die Mehrzahl von Unternehmen ist bereits Opfer erfolgreicher Phishing-Angriffe per E-Mail geworden. 

Um Schaden abzuwenden, müssen Belegschaften sich der unterschiedlichen Phishing-Methoden bewusst sein, um diese möglichst früh als solche zu erkennen und abzuwehren. 

Quelle:

https://www.o2business.de/magazin/phishing/#accordion-dc7404214d-item-1005c63e69