Zurück zu den Sicherheitsgrundlagen: Phishing

Wahrscheinlich besitzt Ihr Mobilgerät nicht die gleichen Sicherheitsmaßnahmen wie Ihr Arbeitslaptop oder Desktop-Computer. Deshalb ist es wichtig, dass Sie als Endnutzer*in alles in Ihrer Macht Stehende tun, um sich vor Cyber-Bedrohungen zu schützen. In diesem Artikel geht es um Phishing - wie man erkennt, ob man Opfer eines Phishing-Angriffs geworden ist, wie er abläuft und was man dagegen tun kann.

Wie funktioniert Phishing?

Phishing ist eine Art von Social-Engineering-Angriff, den Hacker*innen nutzen, um Benutzerdaten zu stehlen, darunter Anmeldedaten und Kreditkartennummern. Dabei tarnt sich ein Angreifer/eine Angreiferin als vertrauenswürdige Institution, um ein Opfer dazu zu bringen, eine Nachricht zu öffnen und auf einen Link zu klicken. Sobald der Link das Opfer auf eine betrügerische Website geführt hat, wird es dann dazu gebracht, seine Anmeldedaten oder Finanzdaten einzugeben, die an den Hacker/die Hackerin weitergeleitet werden.

Phishing ist eine einfache aber effektive Angriffsmethode, die den Tätern eine Fülle von persönlichen, finanziellen und Unternehmensdaten bieten kann. Das Ziel und die genaue Methodik können sich ändern, aber meistens geht es darum, personenbezogene Daten vom Opfer zu erhalten oder dieses dazu zu bringen, Schadsoftware zu installieren, die das Gerät schädigen kann.

Phishing ist nicht nur weit verbreitet - es ist auch eine der schädlichsten und bekanntesten Bedrohungen für die Cybersicherheit, mit denen Unternehmen heute konfrontiert sind. Laut dem IBM 2023 Cost of a Data Breach Report steht Phishing mit 15 % aller Datenschutzverletzungen an der Spitze der Tabelle und kostet Unternehmen durchschnittlich 4,76 Millionen US-Dollar.

Phishing beginnt in der Regel mit einer Form der Kommunikation an ein ahnungsloses Opfer: eine SMS, eine E-Mail, eine In-App-Kommunikation und mehr. Die Nachricht ist so gestaltet, dass sie den Benutzer/die Benutzerin mit einer verlockenden Aufforderung zum Handeln zur Interaktion anregt. Vielleicht wird Ihnen die Chance geboten, ein neues iPhone zu gewinnen, einen Gutschein für einen kostenlosen Urlaub oder einfacher die Möglichkeit, Zugriff auf einen Service wie soziale Medien, Bannkonten oder Büro-E-Mail zu erhalten.

Um persönliche Informationen von den Opfern zu erhalten, gaukeln die Angreifer*innen ihnen oft ein falsches Gefühl der Sicherheit vor, indem sie sie auf eine legitim aussehende Webseite schicken, auf der sie ihre Daten eingeben können. Diese Daten können entweder sofort verwendet werden, um über die offizielle Website Zugriff auf den Service zu erhalten, oder sie können gesammelt und auf dem Dark Web an andere verkauft werden

Arten von Phishing-Angriffen

Wenn Sie Opfer eines Phishing-Angriffs geworden sind, ist die Wahrscheinlichkeit groß, dass der Angriff auf eine dieser Arten erfolgt ist:

• Textnachrichten: Auch als „Smishing” bekannt, senden böswillige Akteur*innen den Benutzern*innen eine SMS-Nachricht mit einem Link zu einer Phishing-Website, oft in der Absicht, die Anmeldedaten der Benutzer*innen zu stehlen.
• Whatsapp: Auch bekannt als „Whishing” und ähnlich wie Smishing, senden bösartige Akteur*innen bösartige Nachrichten in Whatsapp.
• E-Mail: E-Mail-Phishing kann sich auf persönliche oder Unternehmens-E-Mails beziehen und kann eine Organisation oder Website betreffen, die dem Benutzer/der Benutzerin bekannt ist. Diese E-Mails können den Benutzer/die Benutzerin auffordern, sich bei der von ihm verwendeten Software anzumelden, und ihn schließlich auf eine bösartige, aber legitim aussehende Website schicken.
• Voice-Phishing: Beim Voice-Phishing oder „Vishing” werden Nummern gefälscht, die als legitime Institutionen erscheinen. Diese Angriffe können ein Text-to-Speech-Programm oder eine echte Stimme verwenden und werden häufig eingesetzt, um finanzielle Informationen von ihren Opfern zu erhalten.
• Spear-Phishing: Diese Angriffe werden an ein bestimmtes Ziel gesendet und können per E-Mail, SMS oder auf anderem Wege erfolgen. Die Täter können sich als eine Person ausgeben, die der Nutzer/die Nutzerin kennt, und ihn um Hilfe oder persönliche Informationen bitten.
• Whaling: Whaling-Angriffe zielen auf hochrangige Ziele wie CEOs oder andere Führungskräfte ab. Bösewichte können sich als andere Führungskräfte ausgeben, um legitim zu erscheinen, und ihre Opfer schließlich auf eine gefälschte Website schicken, um Anmeldedaten zu sammeln.
• Beiträge in sozialen Medien und Direktnachrichten: Bösewichte können soziale Medien nutzen, um ihre Opfer zu erreichen. Wie auch bei anderen Methoden wird der Benutzer/die Benutzerin in der Regel auf eine gefälschte Website geschickt, um seine Daten zu sammeln.

Wie man einen Phishing-Angriff erkennt

Hoffentlich werden Sie einige Anzeichen für eine Phishing-Attacke erkennen, bevor Sie wertvolle Informationen preisgeben. Suchen Sie nach Folgendem:

• Unerwünschte und verdächtige Nachrichten, E-Mails und Beiträge in sozialen Netzwerken, die verkürzte Links enthalten
• Webseiten, die nach Anmeldedaten oder anderen sensiblen Informationen fragen
• Verdächtige E-Mails, die einfach nicht richtig klingen
• Webseiten mit verdächtigen oder imitierten URLs
• Rechtschreib-, Sonderzeichen- oder Grammatikfehler (beachten Sie jedoch, dass AI böswilligen Akteur*innen hilft, in dieser Hinsicht zu verbessern, und dass einige Websites und Nachrichten völlig legitim aussehen können)

Im folgenden Beispiel für einen Phishing-Versuch enthält die Nachricht einen verkürzten Link und eine Aufforderung zum Handeln (da die Benutzer*innen einen nicht getätigten Kauf anfechten möchten). Der verkürzte Link macht es schwierig, seine Legitimität zu überprüfen, während das Fehlen offensichtlicher Fehler den Angriff weniger offensichtlich macht. Am besten ignorieren Sie den Link und melden sich manuell bei Ihren Bank- oder Zahlungskartenkonten an, um zu überprüfen, ob der Kauf tatsächlich stattgefunden hat.

Wenn Sie das Opfer eines Phishing-Angriffs geworden sind und Informationen preisgegeben haben, gibt es einige typische Merkmale dafür. Phishing-Angriffe variieren, und da sie oft mit anderen Bedrohungen kombiniert werden, wie beispielsweise als Methode zur Verbreitung von Malware, können die Anzeichen sehr umfassend sein. Hier sind einige Anzeichen, dass ein einfacher Phishing-Angriff erfolgreich war:

• Identitätsdiebstahl
• Unbekannte Transaktionen
• Gesperrte Accounts
• Nicht von Ihnen ausgehende Passwortrücksetzungen
• Spam-E-Mail, die von Ihrem Konto aus verschickt wird

Was Sie tun können, wenn Sie glauben, dass Sie das Opfer eines Phishing-Angriffs wurden

Sie wurden das Opfer eines Phishing-Angriffs. Was jetzt?

1. Ändern Sie alle Kennwörter für die Konten, die angegriffen wurden, sowie für die Konten, die die gleichen oder ähnliche Kennwörter wie die vom Hacker/von der Hackerin erbeuteten verwenden.
2. Wenn Sie Ihre Kreditkartendaten auf der Phishing-Seite eingegeben haben, lassen Sie Ihre Karte sperren.
3. Nehmen Sie Ihren Computer offline oder löschen Sie Ihren E-Mail-Account, damit Sie keine Phishing-Links an Ihre Kontaktlisten senden.
4. Kontaktieren Sie die Firma oder die Person, die der Phishing-Angriff imitierte. Das könnte Ihr CEO sein, ein Freund, oder ein Unternehmen oder eine Bank.
5. Scannen Sie Ihr Gerät auf Viren, denn das Anklicken schädlicher Links kann unbemerkte Downloads von Malware auslösen, die Geräte kompromittieren, ohne dass Sie das bemerken.
6. Achten Sie auf Warnsignale für den Identitätsdiebstahl und informieren Sie Ihre Kreditkartenfirma über mögliche Betrugsversuche.

Proaktive Schritte, mit denen Sie sich schützen können

Mobile Geräte sind besonders anfällig für Phishing-Angriffe. Aufgrund des kleineren Bildschirms und der mobilen Nutzung ist es schwieriger, Links auf ihre Legitimität hin zu überprüfen, und die Nutzer*innen haben es oft zu eilig, um dies trotzdem zu tun. Außerdem laden zwar viele Nutzer*innen den Schutz vor Bedrohungen auf ihre Computer herunter, aber nur wenige auf ihre Telefone. Aus diesem Grund ist eine sorgfältige Prüfung erforderlich.

Die beste Lösung ist die Prävention. Schützen Sie sich vor Phishing, indem Sie diesen Richtlinien folgen:

• Nicht auf verdächtige Links klicken
• Geben Sie Ihre Kreditkartendaten nicht bei unbekannten oder nicht vertrauenswürdigen Diensten ein
• Wenn ein Link Sie auf Ihre Bank-Website verweist, öffnen Sie Ihre Bank-Website in einem separaten Fenster, indem Sie den Namen manuell eingeben
• Fallen Sie nicht auf offensichtliche Betrügereien herein, die behaupten, Sie hätten einen Preis gewonnen
• Überprüfen Sie die Adressleiste auf verdächtige oder imitierte URLs wie my.apple.pay.com

Unternehmen können Maßnahmen ergreifen, um Phishing auf ihren Firmen- oder BYOD-Geräten zu verhindern, darunter:

• Schulung der Mitarbeiter*innen über Phishing-Angriffe und wie man sie vermeidet
• Implementierung von Anti-Spam-Filtern, damit Angriffe nicht in die Posteingänge der Mitarbeiter*innen gelangen
• Verwendung von MFA, um zu verhindern, dass gestohlene Anmeldedaten verwendet werden
• Einsatz von Software zum Schutz vor Bedrohungen, um den Zugriff auf Phishing-Seiten zu blockieren, selbst wenn sie angeklickt werden
• Verwendung von Kennwortmanagern, die das Kennwort automatisch auf der Grundlage der Website-Domäne ausfüllen (und daher auf illegalen Websites nicht funktionieren)
• Geräte und Software auf dem neuesten Stand halten