Phishing-Betrug: Wie man sie erkennt und vermeidet

Veröffentlicht: 2022-09-20
ERHALTEN SIE DEN RICHTIGEN IPERSONATION PROTECTION PLAN FÜR SIE ZUR VERFÜGUNG

Phishing ist eine der ältesten Bedrohungen der Cyberkriminalität, die es seit den Anfängen des Internets gibt.

Der Phishing-Betrug ist jedoch auch eine der größten Cybersicherheitsbedrohungen, denen Unternehmen ausgesetzt sind, und er ist insofern einzigartig, als er auf Menschen statt auf Software oder Hardware abzielt.

Das heißt, selbst wenn Sie in die teuerste Cybersicherheitsinfrastruktur investiert haben, kann Ihr Unternehmen einem Risiko ausgesetzt sein, wenn ein gefährdeter Mitarbeiter durch ein Phishing-Schema kompromittiert wird. Dies ist einer der Hauptgründe, warum Phishing so gefährlich ist.

Leider hat die Phishing-Gefahr in den letzten Jahren sowohl qualitativ als auch quantitativ zugenommen. Laut dem Phishing Activity Trend Report der Anti-Phishing Working Group (APWG) wird es bis März 2022 1.025.968 Phishing-Angriffe geben, ein Anstieg von 15 % gegenüber dem 4. Quartal 2021. Die Raffinesse und Vielfalt der bei jedem Angriff verwendeten Techniken haben ebenfalls zugenommen den letzten Jahren.

In diesem Artikel erfahren wir gemeinsam, was Phishing ist, wie man es erkennt und wie Organisationen ihre Mitarbeiter und Kunden effektiver vor Phishing-Angriffen schützen können.

Am Ende dieses Leitfadens haben Sie Folgendes gelernt:

  • Was ist ein Phishing-Betrug?
  • Verschiedene Arten von Phishing im Jahr 2022
  • So erkennen Sie Phishing-Versuche
  • So schützen Sie Ihr Unternehmen vor Phishing
  • So melden Sie sowohl erfolgreiche als auch erfolglose Phishing-Versuche und mindern den Schaden

Beginnen wir gleich mit diesem Leitfaden.

Was ist ein Phishing-Betrug?

Phishing ist eine Art von Cyberkriminalität, bei der der Täter ein (oder mehrere) Zielopfer kontaktiert, während er sich als berühmte Person oder legitime Institution ausgibt, um dieses Opfer dazu zu verleiten, vertrauliche, sensible und/oder wertvolle Informationen wie personenbezogene Daten (PII) preiszugeben. , Bankdaten, Kreditkarteninformationen, Kontodaten und mehr.

Der Name „Phishing“ ist analog zum Fischen und bezieht sich darauf, wie die Cyberkriminalität nach Anmeldeinformationen, Passwörtern und anderen sensiblen Informationen von ihren Opfern „fischt“.

Das Wort Phishing wurde erstmals um 1996 von Hackern verwendet, die die damals beliebten AOL-Konten (America Online) stahlen. Hacker in den späten 1990er Jahren neigten dazu, den Buchstaben „ph“ zu verwenden, um „f“ (dh „phreaks“) zu ersetzen, daher der Name „Phishing“.

Früher wurde Phishing über E-Mails durchgeführt, aber jetzt kann Phishing in verschiedenen Kommunikationsmedien wie Telefonanrufen, Textnachrichten, Social-Media-Kommentaren, Social-Media-DMs, Blog-Kommentaren und mehr stattfinden.

Warum betreiben Cyberkriminelle Phishing?

Die kurze Antwort ist, gestohlene Informationen zu monetarisieren.

Wie bei den meisten anderen kriminellen Aktivitäten (einschließlich Cyberkriminalität) sind die meisten Phishing-Angriffe finanziell motiviert.

Es gibt jedoch Fälle, in denen die Motivation nicht finanzieller Natur ist, wie persönliche Rache oder politische Gründe (z. B. schwarze Kampagnen), aber sie sind relativ selten.

Wie also können Cyberkriminelle mit Phishing Geld verdienen? Das Verständnis ihrer Monetarisierungstechniken kann Ihnen dabei helfen, Phishing-Versuche zu erkennen, und hier sind einige Beispiele:

  • Diebstahl Ihrer Kreditkarteninformationen und anschließende Verwendung der Kreditkartendaten zum Kauf von Waren im Internet.
  • Erpressung zum Beispiel, wenn Cyberkriminelle erfolgreich vertrauliche Informationen extrahieren und dann das Opfer erpressen, ihnen etwas Geld zu zahlen, oder sie geben die Informationen an die Öffentlichkeit weiter.
  • Verkauf sensibler/persönlicher Informationen an andere Parteien (z. B. Ihre Konkurrenten, andere Hacker). Eine gängige Praxis im Dark Web.
  • Verwendung Ihrer Informationen, um eine andere betrügerische/cyberkriminelle Aktivität zu starten, z. B. Kontaktaufnahme mit Ihren Freunden über Ihr Konto, um sie zu betrügen.

Die Anatomie eines Phishing-Angriffs

Phishing ist eine Form des Social Engineering, der Oberbegriff für eine breite Palette krimineller Aktivitäten, die durch menschliche Interaktionen erreicht werden.

Phishing setzt auf psychologische Manipulation, um seine Opfer dazu zu bringen, ihre vertraulichen Informationen preiszugeben oder Sicherheitsfehler zu machen.

Während Cyberkriminelle bei ihren Phishing-Angriffen verschiedene Techniken und Schemata verwenden können, folgen sie in der Regel diesen Mustern:

  1. Der Täter recherchiert zunächst das Zielopfer und/oder die Umgebung, in der es sich befindet, um notwendige Informationen wie potenzielle Sicherheitslücken und andere Schwachstellen zu sammeln.
  2. Der Täter nimmt Kontakt auf, um das Vertrauen des Opfers zu gewinnen.
  3. Der Täter entweder:
    1. Bietet etwas Wertvolles, um das Gefühl der Dringlichkeit des Opfers auszulösen.
    2. Bringen Sie dem Opfer Angst ein, typischerweise mit fiktiven Drohungen (z. B. „Ihr Konto wird bald gelöscht und wir müssen Ihre Identität überprüfen“).
  4. Das Opfer wird dazu verleitet, seine persönlichen Daten oder Anmeldeinformationen preiszugeben.

Zum Beispiel:

  1. Der Täter zielt auf Gmail-Benutzer als Zielopfer ab und hat die Gmail-Plattform und ihre Richtlinien recherchiert.
  2. Der Täter schickte eine E-Mail an Gmail-Nutzer mit einer E-Mail-Adresse, die der offiziellen Adresse von Google ähnelte (z. B. mit dem Domainnamen „Google.biz“).
  3. Die E-Mail warnt Benutzer vor einem Richtlinienverstoß, der sofortige Maßnahmen erfordert (z. B. Passwortänderung, Änderung der Sicherheitsfrage usw.), und die E-Mail enthält einen Link zu einer gefälschten Website, die fast identisch mit der Anmeldeseite von Gmail ist.
  4. Das Opfer gibt seine aktuellen Zugangsdaten auf der gefälschten Anmeldeseite ein, und ihre Zugangsdaten werden effektiv an den Angreifer gesendet.

Dies ist nur ein Beispiel für so viele verschiedene Phishing-Techniken und -Schemata, die von Cyberkriminellen täglich angewendet werden. Wir können Phishing-Angriffe jedoch in mehrere Haupttypen einteilen, auf die wir weiter unten eingehen werden.

Automatisieren Sie Ihren Identitätsschutz mit KI-gestützter Technologie

Verschiedene Arten von Phishing-Angriffen

1. E-Mail-Phishing

Die grundlegendste Art von Phishing-Schema, und wie der Name schon sagt, besteht darin, dass der Täter E-Mails sendet, während er sich als eine bekannte Marke oder Person ausgibt.

Die E-Mail enthält entweder einen Link zu einer schädlichen Website oder einen Anhang mit Malware, die das Gerät des Empfängers infiziert.

So erkennen Sie:

Während Cyberkriminelle beim E-Mail-Phishing immer raffinierter werden, können Sie im Allgemeinen nach den folgenden Anzeichen suchen:

  • Überprüfen Sie den Domänennamen der E-Mail-Adresse des Absenders und vergewissern Sie sich, dass er legitim ist.
  • Wenn die E-Mail Kontaktinformationen enthält, vergleichen Sie diese Kontaktinformationen mit denen auf der Website des Unternehmens, von dem die E-Mail angeblich stammt.
  • Vermeiden Sie es, auf verkürzte Links zu klicken. Dies ist eine gängige Technik, die verwendet wird, um sichere E-Mail-Gateways auszutricksen.
  • Überprüfen Sie alle Logos, die legitim aussehen, und sehen Sie sich den Quellcode an. Sie neigen dazu, schädliche HTML-Attribute zu enthalten.
  • Seien Sie angemessen misstrauisch, wenn eine E-Mail sehr wenig Text und nur ein Bild/Foto im Textkörper enthält. Das Bild kann schädliche Codes verbergen.

2. Spear-Phishing

Spear-Phishing verwendet normalerweise auch E-Mail als primäres Kommunikationsmedium, sodass es als Variation von E-Mail-Phishing betrachtet werden kann.

Der Hauptunterschied liegt im gezielteren Ansatz von Spear-Phishing, der typischerweise auf ein einzelnes Opfer (oder eine kleine Gruppe von Opfern) abzielt.

Der Täter führt zunächst gründliche Nachforschungen über das Zielopfer durch, um Informationen über das Opfer zu sammeln, z. B. aus sozialen Medien, der Website des Unternehmens usw., und wird dieses Opfer dann mit einem personalisierten Schema anvisieren, das die gesammelten Informationen wie echte Namen nutzt ( des Vorgesetzten oder HRD-Managers des Opfers), Arbeitstelefonnummern usw., um das Vertrauen des Opfers zu gewinnen.

Da das Opfer aufgrund der von ihm verwendeten gültigen Informationen an die Identität des Betrügers glaubt, tappt es letztendlich in die Falle des Täters.

So erkennen Sie:

Das Identifizieren eines Spear-Phishing-Angriffs kann aufgrund des Umfangs der vom Täter durchgeführten Recherchen und der scheinbar gültigen Informationen, die er verwendet hat, schwieriger sein. Achten Sie jedoch auf Folgendes:

  • Eine E-Mail, die vorgibt, von Ihrem Chef oder einer wichtigen Person in Ihrem Unternehmen zu stammen, mit passwortgeschützten Dateien oder Dokumenten, in denen Sie Ihren Benutzernamen und Ihr Passwort eingeben müssen. Dies ist ein gängiges Schema, um Anmeldeinformationen zu stehlen.
  • Achten Sie im Allgemeinen auf alle Anfragen, die ungewöhnlich erscheinen, wenn Sie die Funktion des angeblichen Absenders berücksichtigen.
  • Ein weiteres gängiges Schema besteht darin, Links zu Dokumenten zu haben, die auf Google Drive, Dropbox oder anderen Cloud-basierten Speicherdiensten gespeichert sind. Diese Links leiten Sie oft auf eine bösartige Website weiter.

3. Walfang

Eine weitere Variante der Spear-Phishing-Taktik, Whaling oder auch oft als „CEO-Betrug“ bezeichnet, besteht darin, dass der Täter Open-Source-Intelligence-Techniken (OSINT) verwendet, um den Namen des CEO oder eines Mitglieds der obersten Führungsebene einer Organisation zu finden und sich dann mit einer Fälschung als diese Person auszugeben E-Mail-Addresse.

Der Täter wird dann die Mitarbeiter des Unternehmens ins Visier nehmen und den Empfänger nach seinen Kontodaten, Bankinformationen oder sogar nach einer Geldüberweisung fragen.

So erkennen Sie:

  • Überprüfen Sie die E-Mail-Adresse des Absenders noch einmal und stellen Sie sicher, dass sie von der offiziellen E-Mail-Adresse des Unternehmens stammt. Ein gängiger Trick besteht darin, zu behaupten, dass die E-Mail von ihrer privaten Adresse stammt (d. h. dass sie im Moment nicht auf ihre geschäftliche E-Mail-Adresse zugreifen können).
  • Zögern Sie nicht, die E-Mail mit anderen in Ihrem Unternehmen zu bestätigen oder sogar der Person zu geben, die angeblich von einem Anruf stammt.
  • Seien Sie besonders vorsichtig, wenn die E-Mail vorgibt, von jemandem in Ihrem Unternehmen zu stammen, der noch nie zuvor Kontakt aufgenommen hat.

4. HTTPS-Phishing

Viele von uns sind darin geschult, dass HTTPS-Websites Ende-zu-Ende-verschlüsselt sind und daher sicher sind, wenn es um die Übermittlung persönlicher Informationen und Anmeldeinformationen geht.

Viele Betrüger nutzen dieses Wissen jedoch bei ihren Phishing-Versuchen und verwenden das HTTPS-Protokoll auf der gefälschten Website, auf die in der Phishing-E-Mail verwiesen wird.

So erkennen Sie:

  • Überprüfen Sie, ob der Link Hypertext verwendet, um die echte URL zu verbergen
  • Überprüfen Sie erneut, ob der Link nicht gekürzt ist und alle Teile der URL angezeigt werden

5. Vishing

Abkürzung für „Voice Phishing“, und wie der Name schon sagt, handelt es sich um einen Phishing-Versuch, der über einen Telefonanruf erfolgt.

Typischerweise ruft der Täter während einer arbeitsreichen Zeit an, die mit einer stressigen Saison, Periode oder einem stressigen Ereignis zusammenfällt, und behauptet, von einem etablierten Unternehmen zu stammen, und erzeugt ein erhöhtes Gefühl der Dringlichkeit.

Die Idee ist, dass der Anruf ein Gefühl der Panik hervorruft und den Empfänger dazu verleitet, Sicherheitsfehler zu machen und seine sensiblen Informationen preiszugeben.

So erkennen Sie:

  • Seien Sie angemessen misstrauisch, wenn der Anruf ungewöhnliche Aktionen für die Art des Anrufers erfordert, insbesondere wenn sensible oder persönliche Informationen abgefragt werden.
  • Überprüfen Sie die Anrufernummer noch einmal, wenn sie von einem ungewöhnlichen Ort kommt oder blockiert ist.
  • Verwenden Sie mobile Anwendungen, mit denen Sie die Identität des eingehenden Anrufs von unbekannten Nummern überprüfen können. Es gibt viele solcher Apps für iOS- und Android-Geräte.
  • Am besten vermeiden Sie es, Anrufe von unbekannten Nummern in stressigen Zeiten oder Situationen anzunehmen.

6. Smishing

Abkürzung für „SMS Phishing“, es ist ein Phishing-Versuch, der über Textnachrichten (SMS) unternommen wird.

Typischerweise sendet der Täter eine Textnachricht, die vorgibt, von etablierten Organisationen oder Unternehmen zu stammen, und die Textnachricht enthält einen Link, der Malware enthält und/oder der Sie auf eine bösartige Website weiterleitet.

Da viele Menschen dazu neigen, Textnachrichten als persönlicher und „harmloser“ anzusehen, kann Smishing seine Opfer überraschen.

So erkennen Sie:

  • Bevor Sie auf einen Link klicken, überprüfen Sie direkt auf der Website des Unternehmens, von dem die Textnachricht angeblich stammt, ob es Benachrichtigungen zu den in der Textnachricht angeforderten Aktionen gibt.
  • Zögern Sie nicht, die auf der legitimen Website des Unternehmens angegebene Nummer zu kontaktieren und die Legitimität der Textnachricht zu bestätigen.
  • Überprüfen Sie die Vorwahl und Nummer des Absenders und vergleichen Sie sie mit Ihrer Kontaktliste, bevor Sie auf einen Link klicken oder eine der vorgeschlagenen Maßnahmen ergreifen.

7. Angler-Phishing

Angler-Phishing ist eine bestimmte Art von Phishing, die auf Nutzer sozialer Medien abzielt, wobei der Täter hauptsächlich mit gefälschten Social-Media-Konten involviert ist, die sich als bekannte Unternehmen oder Einzelpersonen ausgeben.

Angler-Phishing macht sich insbesondere die Tatsache zunutze, dass Interaktionen zwischen Unternehmen und Kunden in sozialen Medien immer häufiger und erwartet werden. Der Täter interagiert mit Zielopfern über Benachrichtigungen und DMs, um sie dazu zu bringen, Sicherheitsfehler zu machen.

So erkennen Sie:

  • Überprüfen Sie das Konto noch einmal auf ein blaues Häkchen (verifiziertes Konto).
  • Seien Sie vorsichtig bei Benachrichtigungen, die Links enthalten, die Sie möglicherweise auf bösartige Websites weiterleiten.
  • Vermeiden Sie es, auf einen Link in einer DM zu klicken, der von Personen stammt, die selten Links teilen (oder von Personen/Konten, die Ihnen nie eine Nachricht gesendet haben), selbst wenn der Link legitim aussieht.
  • Wenn DMs von denen kommen, die Sie kennen und die Ihnen selten Nachrichten gesendet haben, überprüfen Sie das Konto, da es möglicherweise gespooft oder neu erstellt wurde

8. Pharming

Pharming ist eine ziemlich fortgeschrittene Form des Phishings, wobei der Name ein Kunstwort aus „Phishing“ und „Farming“ ist.

Eine gängige Pharming-Technik besteht darin, dass der Täter ein DNS kapert, um Benutzer, die versuchen, eine bestimmte Website zu erreichen, stattdessen auf eine gefälschte Website umzuleiten.

Ein ausgeklügelter Pharming-Versuch kann sehr schwer zu erkennen sein.

So erkennen Sie:

  • Überprüfen Sie die URL der Website noch einmal, wenn sie HTTP anstelle von HTTPS verwendet
  • Achten Sie auf Inkonsistenzen wie Tippfehler, nicht übereinstimmende Farben, unangemessene Designs, dünne Inhalte usw., die auf eine gefälschte Website hindeuten können.

So schützen Sie Ihr Unternehmen vor Phishing

Oben haben wir gelernt, wie man die wichtigsten Arten von Phishing-Techniken erkennt und wie man sich davor schützt.

In diesem Abschnitt werden wir auch einige wichtige Best Practices besprechen, die Sie befolgen sollten, um sich und Ihr Unternehmen vor verschiedenen Phishing-Angriffen zu schützen:

1. Bilden Sie Ihre Mitarbeiter aus

Da Phishing im Grunde Social Engineering ist, sollten Sie als erste Verteidigungslinie sicherstellen, dass Ihre Mitarbeiter über die erforderliche Ausbildung und Schulung verfügen, um Phishing-Versuche zu erkennen und ihre Anmeldeinformationen/sensiblen Informationen zu schützen.

Machen Sie das Phishing-Sensibilisierungstraining zu einem Teil Ihres Onboarding-Programms für Mitarbeiter und aktualisieren Sie das Training regelmäßig, um neuere Methoden und Trends einzubeziehen.

2. Fordern Sie eine Multi-Faktor-Authentifizierung an

Das Erfordernis einer mehrstufigen Authentifizierung kann das Risiko eines erfolgreichen Phishings in Situationen verringern, in denen Ihre Mitarbeiter dazu verleitet werden, ihre Anmeldeinformationen preiszugeben.

Mit der Multi-Faktor-Authentifizierung müssen Ihre Mitarbeiter neben ihrem Passwort noch weitere Informationen angeben, bevor sie sich bei Ihren Netzwerken und Anwendungen anmelden können.

Die sekundäre (oder mehr) Information kann sein:

  • Etwas, das sie sind: Biometrie wie Gesichtserkennung oder Fingerabdruck
  • Etwas, das sie wissen: anderes Passwort, PIN, Antwort auf Sicherheitsfragen usw.
  • Etwas, das sie haben: ein Gerät zum Koppeln, eine Schlüsselkarte, einen USB-Dongle usw.

3. Regelmäßige Sicherung

Erfolgreiche Phishing-Angriffe können eine Malware-Infektion verursachen, einschließlich Ransomware, die dazu führen kann, dass Sie den Zugriff auf bestimmte Dateien/Apps verlieren und sogar zu einem vollständigen Systemausfall führen können.

Um dieses Risiko zu mindern, erstellen Sie regelmäßig eine Sicherungskopie Ihrer Daten.

Wir empfehlen die Einhaltung des 3-2-1-Backup-Prinzips: 3 Kopien Ihrer Daten auf 2 verschiedenen Medien, 1 davon außerhalb des Unternehmens.

Stoppen Sie den Identitätswechsel Ihrer Marke bei Phishing-Angriffen

Ein weiteres Problem im Zusammenhang mit Phishing ist, wenn Ihre Domain oder Ihr Markenname von Cyberkriminellen als Teil ihres Phishing-Schemas verwendet wird.

Obwohl es technisch gesehen nicht Ihre Schuld ist, können Opfer von Phishing-Angriffen der Marke, die der Betrüger imitiert, die Schuld geben, was sich negativ auf den Ruf der Marke auswirkt.

Obwohl es sehr schwierig, wenn nicht sogar unmöglich sein kann, Cyberkriminelle zu 100 % daran zu hindern, sich als Ihre Marke auszugeben, gibt es Schritte, die Ihr Unternehmen ergreifen kann, um das Risiko zu mindern:

  • Verwenden Sie SSL-Zertifikate (HTTPS) auf Ihrer Website. Auf diese Weise muss ein Betrüger, wenn er sich als Ihre Website ausgeben möchte, zusätzlich zu einem gefälschten ein legitimes SSL-Zertifikat erhalten. Dies kann sie entmutigen.
  • Verwenden Sie Protokolle wie DKIM oder DMARC, um die E-Mails, die Ihr Unternehmen sendet oder empfängt, zu verifizieren. Dies kann externe Parteien daran hindern, falsche E-Mails unter Verwendung Ihres Domainnamens zu senden, wodurch E-Mail-Phishing effektiv verhindert wird.
  • Registrieren Sie Variationen Ihrer Domainnamen (unterschiedliche TLDs, potenzielle Rechtschreibfehler usw.), um zu verhindern, dass diese Variationen bei Phishing-Versuchen verwendet werden.
  • Verwenden Sie Red Points Domain Management, um die Domainnamen Ihres Unternehmens in Echtzeit zu schützen. Red Points kann Phishing-Versuche mit Ihrem Domainnamen auf vielen verschiedenen Plattformen auf Autopilot effektiv abfangen, ohne dass ein manuelles Eingreifen erforderlich ist. Red Points können Ihnen auch dabei helfen, gefälschte Websites auszuschalten, bevor sie sich negativ auf Ihren Ruf auswirken.

Was kommt als nächstes

Während es viele verschiedene Arten von Phishing-Angriffen gibt, die von Betrügern und Cyberkriminellen durchgeführt werden, haben alle Phishing-Angriffe die folgenden gemeinsamen Merkmale:

  • Gefühl der Dringlichkeit erzeugen: Der Täter drängt Sie oft zu schnellem Handeln, entweder indem er Sie mit einer fiktiven dringenden Drohung erschreckt oder Sie mit einem zeitlich begrenzten Angebot lockt. Einige Phishing-Schemata teilen Ihnen sogar mit, dass Sie nur wenige Minuten Zeit haben, um zu antworten.
  • Zu schön, um wahr zu sein: Beim Phishing geht es oft um aufmerksamkeitsstarke und attraktive Angebote und Behauptungen. Beispielsweise die Behauptung, dass Sie ein iPhone gewonnen haben, und die Aufforderung, auf einen Link zu klicken.
  • Ungewöhnlicher Absender: Achten Sie besonders auf die URL der Website und die E-Mail-Adresse des Absenders. Wenn die E-Mail von jemandem stammt, den Sie nicht kennen, oder wenn Sie etwas Ungewöhnliches sehen, vermeiden Sie es, auf etwas zu klicken.
  • Verdächtige Links: Klicken Sie auf keine Links, es sei denn, Sie sind sich zu 100 % sicher. Sie können den Mauszeiger über den Link bewegen, um die tatsächliche URL zu überprüfen und genau zu prüfen, ob die URL legitim ist.
  • Gefährliche Anhänge: Klicken Sie niemals auf einen Anhang einer E-Mail, bei dem Sie sich nicht 100 % sicher sind. Der Anhang kann Malware, Ransomware oder andere Viren enthalten.

Obwohl es keine einzige Möglichkeit gibt, Phishing-Angriffe zu vermeiden, können Sie eine Kombination der oben genannten Tipps verwenden, um sie zu verhindern und den Schaden zu mindern.

Es ist auch wichtig, sich daran zu erinnern, dass neben der Einrichtung einer starken Cybersicherheitsinfrastruktur und Best Practices die Aufklärung ein weiteres entscheidendes Element zur Verhinderung von Phishing ist . Wenn es um Phishing und andere Social-Engineering-Schemata geht, ist Ihr Unternehmen nur so sicher wie die am wenigsten sachkundige Person darin.