Phishing erkennen und vermeiden: So geht's

Als Phishing versteht man Versuche von Hackern – oder Kriminellen -, sich über gut gemachte, aber gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer digitalen Kommunikation auszugeben. Ziel dieser Betrugsversuche ist es z.B. an persönliche Daten eines Internet-Benutzers zu gelangen, um damit weitere kriminelle Tätigkeiten durchzuführen, wie z.B. Ihr Konto zu räumen.

Denken Sie, dass Ihr Unternehmen vor Phishing-Betrug sicher ist? Überdenken Sie das bitte nochmal. Angesichts der zunehmenden Raffinesse und des Umfangs von Phishing-Angriffen kann es sich Ihr Unternehmen nicht leisten, Cybersicherheit als selbstverständlich anzusehen. Zu wissen, wie man Phishing-Betrügereien verhindert, ist einer der effektivsten Schritte, die Sie im Kampf gegen Datensicherheitsverletzungen unternehmen können.

Eine Studie aus dem Jahr 2020 hat ergeben, dass 85 Prozent aller Unternehmen von Phishing-Angriffen betroffen sind. Dies ist auf die weit verbreitete Umstellung auf Remote-Arbeit ohne angemessene Vorbereitung und zusätzliche Cybersicherheitsmaßnahmen zurückzuführen. Phishing-Betrügereien sind zu einer der häufigsten Methoden geworden, um an sensible Informationen zu gelangen und Ransomware zu verbreiten, was zu einem Verlust von Millionen von Euro auf globaler Ebene führt.

Angesichts der Tatsache, dass Cyberkriminelle jedes Mittel nutzen, um Schwachstellen auszunutzen, wird es immer wichtiger zu lernen, wie man Phishing-Betrügereien verhindert und nicht in diese Fallen tappt.

WIE ERKENNEN SIE EINEN PHISHING-VERSUCH?

Ein Phishing-Betrug liegt vor, wenn sich jemand als vertrauenswürdige Instanz ausgibt, wie z. B. Ihr Chef, eine Bank oder ein Kreditkartenunternehmen, um sensible Informationen zu erhalten. Zu den häufig gesuchten Informationen gehören:

  • Benutzername und Passwort
  • Sozialversicherungsnummern
  • Finanzielle Informationen
  • Kontonummern

Phishing-Versuche erzeugen in der Regel ein Gefühl der Angst oder Dringlichkeit, um die Zielpersonen dazu zu bringen, schnell zu handeln, anstatt sorgfältig über die Weitergabe privater Informationen nachzudenken.

Obwohl Phishing-Betrüger ihre Techniken regelmäßig aktualisieren, gibt es einige Indikatoren, die Ihnen helfen, einen Phishing-Versuch zu erkennen, passen Sie da also besonders auf!

VERDÄCHTIGE AKTIVITÄTEN ODER ANMELDEVERSUCHE
Viele Online-Dienste senden E-Mails, um Sie zu benachrichtigen, wenn jemand versucht hat, sich von einem neuen Gerät oder Standort aus bei Ihrem Konto anzumelden. Wenn Sie diese Aktivität nicht erkennen, könnte das ein Hinweis auf einen Phishing-Versuch sein.

FALSCHE RECHNUNGEN
Betrüger geben sich manchmal als Auftragnehmer oder Lieferanten aus, um Mitarbeiter dazu zu bringen, gefälschte Rechnungen mit Firmengeldern zu bezahlen. Ein Betrüger gab sich als legitimes Unternehmen aus, um Google und Facebook dazu zu bringen, ihm zusammen 122 Millionen US-Dollar zu zahlen.

LINKS FÜR ZAHLUNGEN
Phishing-Betrüger versuchen möglicherweise, Benutzer dazu zu verleiten, auf Links zu klicken, die zu Phishing-Seiten führen, die als authentische Websites getarnt sind. Nachdem der Benutzer seinen Benutzernamen und sein Kennwort eingegeben hat, verwendet der Betrüger die Anmeldeinformationen, um auf sein Online-Konto zuzugreifen und ihn auszusperren.

GUTSCHEINE ODER KOSTENLOSE ANGEBOTE
Einige Phishing-Versuche nutzen kostenlose Angebote, um Menschen dazu zu verleiten, verdächtige E-Mails zu öffnen, auf Links zu klicken oder persönliche Informationen preiszugeben, mit denen sie auf andere Online-Konten zugreifen können.

BESTÄTIGUNG VON PERSÖNLICHEN INFORMATIONEN
Bei einigen Phishing-Versuchen werden Personen dazu manipuliert, persönliche Informationen preiszugeben. Betrüger können Geburtstage oder Sozialversicherungsnummern verwenden, um Sicherheitsfragen zu beantworten und ihre Identität als Kontoinhaber zu „beweisen“.

RÜCKERSTATTUNGEN, DIE IHNEN NICHT ZUSTEHEN
Phishing-Betrüger haben sich sogar als das Finanzamt ausgegeben und Menschen wegen einer ausstehenden Steuerrückzahlung kontaktiert. Der Betrug verlangt von den Zielpersonen die Angabe persönlicher Daten wie Adresse, Geburtsdatum, Führerscheinnummer oder PIN für die elektronische Steuererklärung.

„PROBLEME“ MIT IHREN ZAHLUNGSINFORMATIONEN ODER IHREM KONTO
Phishing-Angriffe können Benutzer auch dazu verleiten, finanzielle Informationen preiszugeben, indem sie sich als E-Commerce-Website oder Online-Dienst ausgeben und Benutzer auffordern, ihre Zahlungsinformationen zu bestätigen.

HÄUFIGE PHISHING-KÖDER

Eine Studie von Verizon Enterprise aus dem Jahr 2020 ergab, dass 22 Prozent der Datenschutzverletzungen auf Phishing zurückzuführen sind. Ein wesentlicher Schritt zur Vermeidung von Phishing-Betrug ist das Erkennen verschiedener Phishing-Angriffe. Hier sind die sieben häufigsten Arten von Phishing-Angriffen:

1. TÄUSCHUNGS-PHISHING
Täuschendes Phishing ist die häufigste Art von Phishing-Betrug. Ein Betrüger gibt sich als legitime Quelle aus, um Menschen dazu zu bringen, ihre persönlichen Daten oder Anmeldedaten preiszugeben. Täuschende Phishing-E-Mails verwenden oft Drohungen, um Benutzer zu erschrecken, damit sie vertrauliche Informationen preisgeben.

Profi-Tipp: Täuschende Phishing-Versuche enthalten typischerweise generische Begrüßungen, Grammatik- oder Rechtschreibfehler und umgeleitete oder verkürzte Links, die zu Phishing-Seiten führen. Sie sollten sich immer vergewissern, dass ein Absender legitim ist, bevor Sie auf einen Link klicken oder Anhänge herunterladen.

2. SPEER-PHISHING
Speer-Phishing verwendet personalisierte Informationen, die in der Regel über soziale Medien gesammelt werden, um bestimmte Benutzer anzusprechen und eine höhere Erfolgsquote zu erzielen. Bei diesen Phishing-Versuchen werden E-Mails mit dem Namen, der Position und sogar der Telefonnummer der Zielperson versehen, damit die Zielperson glaubt, der Absender kenne sie. Das Ziel bleibt jedoch dasselbe: Die Zielperson soll dazu verleitet werden, persönliche Daten preiszugeben, auf einen Link zu einer Phishing-Website zu klicken oder Malware herunterzuladen.

3. WHALING
Whaling ist eine spezielle Art von Speer-Phishing-Angriff, die auf Führungskräfte abzielt, um auf hochrangige Unternehmensdaten und -konten zuzugreifen. Wenn ein Whaling-Angriff erfolgreich ist, kann ein Betrüger einen CEO-Betrug durchführen. Beim CEO-Betrug wird das Konto eines CEO oder einer anderen Führungskraft verwendet, um betrügerische Überweisungen zu autorisieren oder Informationen der Mitarbeiter anzufordern, die dann im Dark Web verkauft werden können.

Whaling-Angriffe sind sehr erfolgreich, da Führungskräfte in der Regel nicht die gleichen Schulungen zum Sicherheitsbewusstsein erhalten wie ihre Mitarbeiter. Um das Risiko von CEO-Betrug zu bekämpfen, sollten Unternehmen verlangen, dass Führungskräfte an fortlaufenden Cyber-Sicherheits-Schulungen teilnehmen.

4. KLON-PHISHING
Klon-Phishing-Angriffe duplizieren legitime E-Mails, um vertrauenswürdig zu erscheinen, und ersetzen legitime Anhänge oder Links durch bösartige Versionen. Klon-Phishing-E-Mails kommen oft von gefälschten E-Mail-Adressen und verweisen auf eine frühere Nachricht oder behaupten, aktualisierte Informationen oder Dateien zu enthalten.

Profi-Tipp: Benutzer sollten Links immer überprüfen, auch wenn sie von einer scheinbar vertrauenswürdigen Quelle stammen. Wenden Sie sich im Zweifelsfall direkt an den vermeintlichen Absender in einer neuen E-Mail, anstatt auf eine mögliche Klon-Phishing-E-Mail zu antworten.

5. SMISHING
Smishing, eine Kombination aus „SMS“ und „Phishing“, verwendet Textnachrichten, um Benutzer dazu zu verleiten, Malware herunterzuladen oder persönliche Daten weiterzugeben. Bei Smishing-Versuchen geben sich Betrüger als bekannte Unternehmen aus (z. B. ein Lieferant oder Ihr Finanzinstitut), um die Zielpersonen dazu zu verleiten, eine bösartige App herunterzuladen oder ihre persönlichen Daten auf einer Phishing-Website einzugeben.

Smishing-Kampagnen haben sich als sehr vertrauenswürdige Einrichtungen wie der Amazon, FedEx und Apple ausgegeben. Benutzer sollten bei Nachrichten, die von unbekannten Telefonnummern gesendet werden, vorsichtig sein und die Organisation direkt anrufen, um die Authentizität einer Nachricht zu überprüfen, wenn sie sich nicht sicher sind.

6. PHARMING
Im Gegensatz zu herkömmlichen Phishing-Betrügereien zielt Pharming nicht immer direkt auf die Opfer ab. Stattdessen wird beim Pharming die Domain einer legitimen Website geändert, um Benutzer auf eine Phishing-Website umzuleiten. Einige Pharming-Angriffe versenden E-Mails, die die Hostdateien auf dem Computer der Zielperson verändern und alle URLs auf eine Phishing-Website umleiten, auf der Malware installiert oder persönliche Daten gestohlen werden.

Pro-Tipp: Mitarbeiter sollten ihre Anmeldedaten nur auf HTTPS-geschützten Websites eingeben und ihre Antiviren-Software auf allen Geräten regelmäßig aktualisieren.

7. ANGLER-PHISHING
Angler-Phishing tritt auf, wenn sich Betrüger als Kundenservice-Konto einer Marke in sozialen Medien ausgeben. Der Betrüger kontaktiert dann Benutzer, die Beschwerden posten, und teilt einen Link, der vorgibt, die Zielperson zu einem Kundendienst-Chat weiterzuleiten. Der Link führt jedoch in der Regel zu einer Phishing-Seite, die die Daten der Zielperson stiehlt oder Malware auf deren Gerät herunterlädt.

Pro-Tipp: Benutzer sollten ein Konto verifizieren, bevor sie sich damit beschäftigen, oder direkt das Kundendienstzentrum der Marke besuchen, um Beschwerden anzusprechen.

7 TIPPS ZUR VERMEIDUNG VON PHISHING-BETRÜGEREIEN

Phishing-Betrügereien gibt es fast seit den Anfängen des Internets, was eine unerwartete Kehrseite hat. Da Phishing-Versuche oft einem bekannten Muster folgen, gibt es viele zuverlässige Tipps, um Phishing-Betrügereien zu vermeiden. Hier sind sieben Empfehlungen, wie Sie Phishing-Betrügereien vermeiden können.

1. BILDEN SIE SICH WEITER – UND SCHULEN SIE DANN IHRE MITARBEITER
Phishing-Angriffe nutzen Social Engineering, um Menschen psychologisch so zu manipulieren, dass sie sensible Informationen preisgeben, ohne zu merken, dass sie ausgetrickst werden. Sie sollten regelmäßige Sicherheitsschulungen durchführen, um Ihre Mitarbeiter darin zu schulen, wie sie Phishing-Betrug verhindern und verdächtige E-Mails erkennen können.

Sie sollten die neuesten Phishing-Trends und -Techniken verfolgen, damit Sie Phishing-Angriffe verhindern können, bevor sie Ihr Unternehmen beeinträchtigen. Häufige simulierte Social-Engineering-Tests können die Anfälligkeit Ihres Unternehmens für Phishing-Betrug ebenfalls radikal reduzieren.

2. VERTRAUEN SIE IHREM BAUCHGEFÜHL (WENN ETWAS VERDÄCHTIG AUSSIEHT – KLICKEN SIE NICHT!)
Wenn eine E-Mail zu gut klingt, um wahr zu sein, dann ist sie es vielleicht auch. Betrüger zielen oft auf Menschen mit kostenlosen Angeboten oder unerwarteten Rückerstattungen ab, um sie dazu zu verleiten, eine verdächtige E-Mail zu öffnen oder auf einen Link zu klicken, der zu einer Phishing-Website führt. Bewegen Sie immer den Mauszeiger über Links, bevor Sie sie anklicken, und gehen Sie direkt zu einer Website, anstatt auf einen Link zu klicken, bei dem Sie sich nicht sicher sind.

3. SICHERHEITSSOFTWARE VERWENDEN
Sicherheits- oder Antivirensoftware wird regelmäßig mit neuen Schutzmaßnahmen gegen Software-Schwachstellen und aktuelle Phishing-Angriffe aktualisiert. Antiviren-Software ist ein hocheffektives Werkzeug, das Schäden an Ihrem Netzwerk verhindern kann, indem es jede Datei scannt, die durch Ihr Computersystem kommt.

4. PASSWÖRTER REGELMÄßIG ÄNDERN
Eine Google-Umfrage ergab, dass mindestens 65 Prozent der Menschen das gleiche Passwort für einige oder alle ihre Konten wiederverwenden. Indem Sie Ihre Passwörter regelmäßig aktualisieren, können Sie Ihr Unternehmen vor den Folgen von Datenschutzverletzungen schützen, bei denen durchgesickerte Passwörter oft weitergegeben oder an andere Betrüger verkauft werden.

5. MULTI-FAKTOR-AUTHENTIFIZIERUNG VERWENDEN
Multi-Faktor-Authentifizierung, oder MFA, ist eine Verifizierungsmethode, bei der sich Benutzer durch verschiedene Maßnahmen identifizieren müssen. MFA schafft zusätzliche Schutzebenen für Ihre Konten und schützt Ihr Netzwerk und Ihre Unternehmensdaten vor unberechtigtem Zugriff.

6. FIREWALLS VERWENDEN
Eine hochwertige Firewall ist eine der zuverlässigsten Methoden, um Ihr Netzwerk vor externen Eindringlingen zu schützen. Die Kombination aus Desktop-Firewall-Software und Netzwerk-Firewall-Hardware kann das Risiko des Eindringens von Phishing-Betrügern in Ihr Netzwerk drastisch reduzieren.

7. SICHERN SIE IHRE DATEN
Eine zuverlässige Datensicherungs- und Wiederherstellungsstrategie ist für den langfristigen Erfolg Ihres Unternehmens unerlässlich. Cyberattacken, menschliches Versagen, Geräteausfälle und Naturkatastrophen können zu Datenverlusten führen. Der Schutz Ihres Unternehmens vor diesen unerwarteten Ereignissen kann verhindern, dass Sie einen kostspieligen oder nicht wiederherstellbaren Datenausfall erleiden.

MIT DEM IT-SERVICE VON HAGEL-IT  VERHINDERN SIE PHISHING-ANGRIFFE, BEVOR SIE PASSIEREN

Ist Ihr Unternehmen vor wachsenden Cyber-Bedrohungen wie Phishing-Betrug geschützt? Die Zusammenarbeit mit einem vertrauenswürdigen Managed-IT-Services-Unternehmen kann Ihnen Sicherheit in Bezug auf die Cybersicherheitsstrategie Ihres Unternehmens bieten.

Bei hagel-IT verfolgen wir einen proaktiven Ansatz für die IT-Sicherheit, indem wir die Cybersicherheit in alles, was wir tun, mit einbeziehen. Mit mehr Einblick und Effizienz können wir Ihnen maßgeschneiderte Cybersicherheitslösungen anbieten, die Ihrem Team und Ihren IT-Systemen zu Höchstleistungen verhelfen.

Um ein kostenloses Sicherheitsaudit Ihres Unternehmens zu erhalten, kontaktieren Sie uns noch heute.

Der Artikel hat Ihnen gefallen?

Abonnieren Sie unseren Newsletter für IT-Entscheider!

Kommentarbereich geschlossen.