Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Amos Kingatua in Datenschutz  |  Zuletzt aktualisiert: 27. Januar 2023
Teilen:

Phishing-Angriff 101: So schützen Sie Ihr Unternehmen

Phishing-Angriff 101
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Phishing ist eine Technik, mit der Kriminelle Benutzer dazu verleiten, Anmeldeinformationen, Kreditkartendetails und andere private Daten preiszugeben.

In der Regel treten Angreifer so auf, als kämen sie von bekannten und vertrauenswürdigen Organisationen. Auf diese Weise können sie die Benutzer dazu verleiten, einen kompromittierten Website-Link, schädliche E-Mails, Anhänge oder echte Nachrichten zu öffnen.

YouTube-Video

Ein Link könnte ein Server sein, der installiert wird Malware die sensible Informationen wie Anmeldedaten und andere private Daten vom Opfer stiehlt. Normalerweise stellen Angreifer böswillige Kommunikation so dar, als käme sie von einer vertrauenswürdigen Stelle wie einer Telefongesellschaft oder einem anderen Dienstanbieter. 

How Dangerous are Phishing Attacks?

Ein Phishing-Angriff ist ein großes Sicherheitsrisiko, unabhängig davon, ob er auf eine Einzelperson oder eine Organisation abzielt. Sobald sie ein Netzwerk bilden, können sie Malware installieren, alle Computer infizieren und diese dann verwenden, um interne und externe Angriffe zu starten. Darüber hinaus können die Angreifer auf vertrauliche private Unternehmensdaten zugreifen, die sie verwenden könnten, um die Organisation zu erpressen oder an Wettbewerber zu verkaufen.

Phishing-Angriff-Cloudflare
Quelle: cloudflare.com

Im Erfolgsfall verwenden die Betrüger oft gestohlene Zugangsdaten, Kreditkartendetails oder andere private Informationen, um auf andere Dienste im Netzwerk des Opfers zuzugreifen, nicht autorisierte Einkäufe zu tätigen und vieles mehr.

Im Allgemeinen kann ein Phishing-Angriff zu Reputations- und finanziellen Verlusten für ein Unternehmen oder eine Einzelperson führen. Außerdem könnten die Angreifer das Netzwerk lahmlegen – was zu Ausfällen und enormen finanziellen Verlusten führen könnte. Eine weitere Gefahr besteht darin, die Glaubwürdigkeit und das Vertrauen der Kunden zu verlieren, die dann möglicherweise zu einem Wettbewerber wechseln.

Examples of Recent Phishing Attacks

Im Folgenden sind einige der jüngsten Phishing-Angriffe aufgeführt:

# 1. Zahlungen auf gefälschte Rechnungen von Google und Facebook

Zwischen 2013 und 2015 erbeutete ein litauischer Betrüger über 100 Millionen US-Dollar von Google und Facebook durch eine Reihe gefälschter Rechnungen, die von einem großen asiatischen Hersteller getarnt waren. Innerhalb von zwei Jahren schickte der Betrüger mehrere gefälschte Rechnungen in Millionenhöhe, die denen des Lieferanten ähnelten.

Dazu gehörten gefälschte Verträge und Briefe, die angeblich von Google- und Facebook-Vertretern unterzeichnet wurden. Als sie den Betrug entdeckten, hatten die beiden über 100 Millionen Dollar bezahlt. 

#2. Phishing-Angriff auf die koloniale Pipeline

A Ransomware Angriff legte fast den gesamten Betrieb der Colonial Pipeline in den USA lahm. Der Angriff von 2021 beeinträchtigte die Abrechnungssysteme und das Unternehmensnetzwerk und zwang das Unternehmen, die meisten seiner Operationen einzustellen. 

Nachdem die Angreifer das Passwort eines Mitarbeiters durch Phishing erhalten hatten, installierten sie bösartige Ransomware-Software im Netzwerk des Unternehmens. Dies ermöglichte es ihnen, die Systeme zu kompromittieren und ein Lösegeld zu fordern, das das Unternehmen zahlte, um weitere Schäden und Unterbrechungen der Dienste zu vermeiden.

Ursprünglich zahlte die Pipeline 4.4 Millionen Dollar für den Entschlüsselungsschlüssel. Das Unternehmen verlor jedoch mehr aufgrund des einwöchigen Stillstands, der zur Nichtlieferung von Öl im Wert von 2.86 Milliarden US-Dollar führte. 

# 3. Spear-Phishing-Angriff von Sony Picture

Im Fall von Sony Picture schickten die Angreifer Spear-Phishing-E-Mails an die Mitarbeiter, nachdem sie ihre Informationen wie Namen und Titel von LinkedIn erhalten hatten.

Dann schickten die Angreifer, als Kollegen getarnt, bösartige E-Mail-Nachrichten mit Malware an die ahnungslosen Mitarbeiter. Der Angriff führte zu einer Sicherheitslücke, die über 100 TB an Daten betraf, was das Unternehmen über 100 Millionen US-Dollar kostete, um es zu beheben.

Types of Phishing Attacks

Betrüger verwenden eine Vielzahl von Techniken, um Zielbenutzer auszutricksen. Der Ansatz variiert je nach Ziel, und im Folgenden sind einige gängige Phishing-Typen aufgeführt.

Speer-Phishing 

Speerfischen ist ein Angriff, der auf eine bestimmte Organisation oder Person statt auf zufällige Benutzer abzielt. Als solches erfordert es einige Kenntnisse der Zielorganisation oder des Benutzers. Der Angreifer muss tiefer graben und Insider-Informationen wie die Machtstruktur, das Privatleben, die Hobbys oder alles, was er verwenden kann, um die Phishing-Nachricht anzupassen, erhalten.

Speer-Phishing

Der Angreifer passt dann die Nachricht an und sendet sie an das Opfer, das sich als Kunde, Lieferant oder Chef ausgibt und eine Änderung der Rechnungsdetails oder eine Überweisung von Geld auf ein bestimmtes Konto verlangt. In den meisten Fällen ist es schwierig, einen Spear-Angriff zu erkennen, da die Angreifer ein Opfer mit genauen Informationen über den Benutzer oder die Organisation austricksen.

Walfang-Phishing

Walfang-Phishing ist ein Spear-Phishing-ähnlicher Angriff, der jedoch auf die Führungskräfte des Unternehmens abzielt. Diese Phishing-E-Mails, manchmal gefolgt von einem Telefonanruf, führen oft dazu, dass die Führungskräfte dazu verleitet werden, Zahlungen an die von Betrügern kontrollierten Konten zu autorisieren.

Alternativ können die Walfang-Phisher die Führungskräfte dazu verleiten, ihre Anmeldeinformationen preiszugeben. Sobald dies erfolgreich ist, können die Täter einen CEO-Betrug durchführen, bei dem sie das kompromittierte Konto einer Führungskraft verwenden, um in betrügerischer Weise Zahlungen auf ihre Konten zu autorisieren. 

Vishing

Vishing ist eine Technik, bei der Täter Telefone verwenden, um ahnungslose Benutzer zu betrügen. Die Angreifer geben sich als Vertreter seriöser Organisationen wie Banken, Telefongesellschaften etc.

Vishing

Während des Anrufs können sie Sie dazu verleiten, vertrauliche Informationen wie die PIN der Mobiltelefonleitung preiszugeben. Sie könnten auch verlangen, dass Sie etwas Geld auf ein bestimmtes Konto überweisen. 

Einige Kriminelle verwenden möglicherweise einen hybriden Ansatz. In diesem Fall senden sie zuerst eine Betrugs-E-Mail und folgen ihr mit einem Telefon- oder Vishing-Anruf, damit sie echter aussieht.

E-Mail-Phishing

E-Mail-Phishing ist, wenn ein Betrüger Tausende von allgemeinen Nachrichten an verschiedene Benutzer sendet, in der Hoffnung, dass einige davon zum Opfer fallen und Zahlungen an den Angreifer leisten. In den meisten Fällen entwerfen sie Phishing-Nachrichten, die legitime E-Mails von einem vertrauenswürdigen Unternehmen imitieren.

E-Mail-Phishing

Diese Nachrichten haben dieselben Vorlagen, Logos, Signaturen, Formulierungen und andere Merkmale, die sie legitim erscheinen lassen. Abgesehen von den Nachrichten erstellen sie eine Domäne, die der eines legitimen Unternehmens sehr ähnlich ist, was es schwierig macht, irgendetwas zu vermuten, es sei denn nach einer genauen Prüfung.

Die Betrüger werden auch ein Gefühl der Dringlichkeit und Drohungen erzeugen, wie z. B. ein Konto, das bald abläuft, es sei denn, der Benutzer ergreift Maßnahmen, wie z. B. das Zurücksetzen des Passworts oder das Bezahlen von etwas Geld. 

Betrügerisches Phishing

Betrügerisches Phishing betrifft Täter, die sich als bekannter und vertrauter E-Mail-Absender ausgeben. Betrüger verwenden oft einige legitime Links und Kontakte in böswilligen E-Mails. Daher können die E-Mail-Filter die Nachrichten nicht blockieren oder als Spam kennzeichnen.

Da die E-Mail echt aussieht, kann der Angreifer den Benutzer dazu bringen, vertrauliche Informationen wie Bankinformationen, Anmeldeinformationen oder einige vertrauliche Unternehmensdaten preiszugeben.

Kriminelle täuschen Benutzer, indem sie sie auffordern, Passwörter zu ändern, ein Konto zu verifizieren, Zahlungen zu leisten usw.

Klonen von Phishing-Angriffen

Beim Klon-Phishing erstellen die Betrüger eine E-Mail-Adresse, die der legitimen ähnlich ist. Sie senden dann eine E-Mail an einen Benutzer, der sensible Informationen mit den Kriminellen teilen kann, wenn er nicht aufpasst.

Klonen von Phishing-Angriffen
Quelle: norton.com

Beispielsweise kann ein Angreifer eine Nachricht senden, die aussieht, als käme sie von Ihrem Chef, und Sie auffordert, die Anmeldeinformationen für ein bestimmtes Konto zu teilen. Sie könnten sich auch als Verkäufer ausgeben und einige Zahlungsdetails anfordern.

Angler-Phishing

Angler-Phishing ist ein Angriff, der auf Benutzer über geklonte Websites, gefälschte private Nachrichten oder soziale Medien abzielt. Bei diesem Phishing sucht der Täter über soziale Medien nach seinen Zielopfern. Sie identifizieren dann die Personen, die sich häufig über eine seriöse Bank, einen Dienstleister oder eine andere bekannte Organisation beschweren.

Der Betrüger gibt sich dann als Mitarbeiter des Kundendienstes der Organisation aus und bietet dem Beschwerdeführer seine Hilfe an. An diesem Punkt bringt der Angreifer das Opfer dazu, Anmeldeinformationen oder andere sensible Daten zu teilen. 

How to Identify Phishing Attempts

Eine der effektivsten Methoden zur Identifizierung von Spear- und anderen Phishing-Versuchen ist die SPEAR, wie unten erläutert.

  • SGeben Sie den Absender der E-Mail oder Nachricht ein
  • PVerwenden Sie das Thema nicht und vergewissern Sie sich, dass es für das, was Sie tun, relevant ist und dass es sich nicht anders oder ungewöhnlich anhört als das, was Sie normalerweise erhalten
  • EUntersuchen Sie die Anhänge und Links in der Nachricht. Bewegen Sie den Mauszeiger über die Links, um zu sehen, ob sie relevant sind und mit dem Thema oder der angeforderten Aktion übereinstimmen
  • AÜberprüfen Sie die Nachricht, um zu sehen, ob sie relevant ist und keinen ungewohnten Ton, keine Dringlichkeit, Ungereimtheiten, Grammatik- oder Rechtschreibfehler enthält
  • RFordern Sie eine Bestätigung vom echten E-Mail-Kontoinhaber an. Erwägen Sie, bei dem genannten Absender nachzufragen, ob er Ihnen diese Nachricht gesendet hat.

Neben den oben genannten finden Sie hier weitere Tipps.

  • Die E-Mail enthält inkonsistente Domänennamen, URLs, Links und E-Mail-Adressen
  • Eine allgemeine oder ungewöhnliche Begrüßung, Anrede und Sprache
  • E-Mail-Nachrichten, in denen persönliche oder private Daten wie Kreditkartendaten, Zahlungsinformationen, Anmeldeinformationen usw. angefordert werden.
  • Eine E-Mail-Nachricht mit der Aufforderung zu dringenden Maßnahmen, z. B. zum Ändern des Kennworts, zum Zahlen von Geld und zu anderen Maßnahmen

Sehen wir uns nun an, wie wir Phishing-Angriffe verhindern können.

Preventing Phishing Attacks

Organisationen und Benutzer können verschiedene Maßnahmen ergreifen, um Phishing-Angriffe zu verhindern. Werfen wir einen Blick darauf.

# 1. Durchsetzung einer strengen Kennwortverwaltungsrichtlinie

Admins könnten sich stark etablieren und durchsetzen Passwort-Management Richtlinien. In solchen Fällen sollten sie sichere Passwörter verlangen, die Benutzer regelmäßig ändern müssen. Darüber hinaus sollten Benutzer nicht ein einziges Kennwort für mehrere Anwendungen verwenden und sollten daran gehindert werden, ältere Kennwörter erneut zu verwenden.

# 2. Verwenden Sie die Multi-Faktor-Authentifizierung

Multifaktor-Authentifizierung stellt sicher, dass ein Benutzer mehrere Verifizierungsstufen besteht, bevor er auf einen Dienst zugreift, z. B. eine Finanztransaktion. Selbst wenn ein Angreifer Zugangsdaten wie Benutzername und Passwort erhält, benötigt er dennoch eine andere Form der Authentifizierung, beispielsweise die Bereitstellung eines Codes, der an das registrierte Gerät des echten Benutzers, wie beispielsweise ein Mobiltelefon, gesendet wird.

Andere Multifaktor-Methoden umfassen Biometrie, Badges, OTPs, Pins und mehr. Da es dem Angreifer unmöglich ist, die zweite Authentifizierung zu bestehen, selbst wenn er das Passwort hat, ist es unmöglich, auf die Systeme zuzugreifen und sie zu kompromittieren.

# 3. Mitarbeiterbewusstsein schaffen

Die Durchführung von Sensibilisierungskampagnen für Mitarbeiter und Führungskräfte ist eine Möglichkeit, die Risiken von Phishing-Angriffen zu verringern. Ihr Ziel sollte es sein, sichere Online-Aktivitäten zu fördern und die Mitarbeiter, einschließlich der Führungskraft, zu befähigen, bösartige E-Mails zu erkennen und darauf zu reagieren.

Benutzer sollten die Risiken kennen, die mit dem Klicken auf Links oder dem Öffnen von Dokumenten, die verdächtig aussehen, sowie mit der Preisgabe sensibler Informationen an Fremde verbunden sind. Darüber hinaus sollten sie davon abgehalten werden, vertrauliche persönliche und Unternehmensinformationen in sozialen Medien zu veröffentlichen.

# 4. Installieren Sie E-Mail-Sicherheitssoftware und -Tools

Installieren Sie zuverlässig und effektiv E-Mail-Sicherheitssoftware um Phishing-Betrug und andere Bedrohungen zu erkennen und zu stoppen. Typische Lösungen umfassen Antivirensoftware, Firewalls, Spamfilter und mehr. Darüber hinaus kann die Organisation Webfilter installieren, um schädliche Websites zu erkennen und Mitarbeiter daran zu hindern, darauf zuzugreifen. 

Benutzer sollten vermeiden, auf Links oder Anhänge von unbekannten Absendern zu klicken. Es ist wichtig, Vorsichtsmaßnahmen zu treffen, wenn Sie auf solche E-Mails reagieren, einschließlich solcher, die scheinbar aus vertrauenswürdigen Quellen stammen.

Falls es verdächtig aussieht, überprüfen Sie die Links, indem Sie entweder mit der Maus darüber fahren oder sie in ein neues Browserfenster kopieren, um zu sehen, ob sie mit dem Inhalt der E-Mail übereinstimmen.

# 6. Sicherstellen, dass E-Mails von einer zuverlässigen Domäne stammen

Benutzer sollten vermeiden, E-Mails von verdächtigen Domänen zu öffnen oder darauf zu reagieren. Wenn Ihnen beispielsweise jemand eine E-Mail sendet, die angeblich von Microsoft stammt, verwendet er eine E-Mail-Adresse mit einer anderen Domäne. Kopieren Sie im Zweifelsfall den Domainnamen und suchen Sie im Internet danach.

Wenn ihr Inhalt nicht mit der Nachricht übereinstimmt, sollten Sie sie misstrauisch behandeln. Obwohl die meisten Phishing-E-Mails als SPAM gekennzeichnet sind, können einige den Spam-Filter passieren und echt erscheinen. 

# 7. Vermeiden Sie die Angabe von Informationen auf einer ungesicherten Website

Wenn Sie ein Link zu einer unbekannten Website führt, sollten Sie keine sensiblen oder privaten Informationen angeben. Sie sollten niemals Ihre Unternehmens- oder persönlichen Daten an Fremde weitergeben; Andernfalls können die Betrüger diese Informationen stehlen und nicht autorisierte Aktivitäten ausführen.

Final Words

Phishing-Angriffe sind auf dem Vormarsch und scheinen sich nicht zu verlangsamen, da Betrüger weiterhin neue Tricks anwenden. Während das Unternehmen seine Sicherheitslage verbessern kann, ist riskantes Benutzerverhalten einer der Hauptgründe für Phishing-Angriffe.

Daher ist der Einsatz zuverlässiger Sicherheitstools und eines sicheren Online-Benutzerverhaltens eine der effektivsten Möglichkeiten, Angriffe zu stoppen und die Sicherheit Ihrer sensiblen Geschäftsdaten zu gewährleisten.

Als nächstes können Sie sich die besten ansehen URL-Scanner um zu überprüfen, ob ein Link sicher ist.

Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Datenschutz
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder