Phishing

Phishing ist eine social engineering-Methode, mit der Angreifer Daten sammeln, indem sie sich als seriöse Institution oder als Freund ausgeben. Phishing-Angriffe zielen darauf ab, Personen dazu zu verleiten, auf einen Link zu klicken, einen Anhang zu öffnen oder vertrauliche Informationen wie persönliche Angaben, Angaben zu Bank- oder Kreditdaten oder Passwörter preiszugeben. Die Angreifer verwenden E-Mails, Instant Messaging, soziale Medien und sogar Telefonanrufe, um Personen zu erreichen. Phishing kann sowohl bei der Arbeit als auch im Privatleben vorkommen.

Aktuellen Branchenberichten zufolge sind bis zu 94 % von Organisationen Opfer von Phishing-Angriffen,¹ und 22 % bis 36 % aller Datenschutzverletzungen gehen auf Phishing zurück². Im Bericht über Internetkriminalität 2021 des FBI gab es 2021 323.972 Opfer von Phishing-Angriffen.³

Phishing-Angriffe erkennen und sich davor schützen

Wie können Sie Phishing-Angriffe erkennen und sich davor schützen? Es gibt fünf typische Anzeichen für einen Phishing-Angriff, darunter:

1. Zu schön, um wahr zu sein
   
   • Wie bei einem Gebrauchtwagenhändler, der versucht, Ihnen ein Schrottauto anzudrehen, gilt: Ist das Angebot zu schön, um wahr zu sein, dann ist es das normalerweise auch wirklich.
2. Es wird zur Eile getrieben
   
   • Wenn jemand Sie sehr drängt, handelt es sich wahrscheinlich um einen Phishing-Angriff. Die Angreifer versuchen den Eindruck zu vermitteln, dass Eile geboten ist, um Sie dazu zu bringen, auf ihre Nachricht zu reagieren und ihnen auf den Leim zu gehen, anstatt die Sache logisch zu durchdenken. Seriöse Organisationen geben den Benutzern und Kunden ausreichend Zeit, sich um ihre Accounts zu kümmern, und würden Sie niemals auffordern, persönliche Angaben per E-Mail herauszugeben. Im Zweifelsfall sollten Sie direkt die Quelle aufrufen, anstatt auf den Link in der E-Mail zu klicken.
3. Gefälschte Hyperlinks
   
   • Angreifer nutzen gefälschte Hyperlinks oder Hyperlinks, deren URL von der im Linktext abweicht, um Personen dazu zu verleiten, auf die Links zu klicken und gefährliche Websites aufzurufen (zum Beispiel: zionzbank.com statt zionsbanks.com). Halten Sie im Zweifelsfall den Mauszeiger über den Link, um die wahre URL zu sehen.
4. Zufällige oder unerwartete Anhänge
   
   • Wenn Sie einen Anhang sehen, den Sie nicht erwartet haben oder mit dem Sie nichts anfangen können, öffnen Sie ihn nicht! Angreifer laden häufig Ransomware oder sonstige Malware, die sofort Ihr System angreift, in einen Anhang.
5. Ungewöhnlicher Absender
   
   • Wenn Ihnen etwas ungewöhnlich oder seltsam vorkommt – ob es nun von jemandem kommt, den Sie kennen oder nicht –, öffnen Sie es nicht! Angreifer legen oft E-Mail-Accounts im Namen von Personen an, die Sie kennen, damit deren Name in der Absenderzeile erscheint.

Andere Formen von Phishing

Meistens erfolgt Phishing zwar in Form einer E-Mail, es kann aber auf viele Arten erfolgen. Nachstehend finden Sie Szenarien, die eine Vielzahl von Phishing-Angriffen zeigen. Diese Beispiele sind zwar fiktiv, heben aber reale Strategien und Methoden von Angreifern hervor.

• John erkannte die Telefonnummer nicht, nahm den Anruf aber trotzdem entgegen. Der Anrufer gab sich als Vertreter seiner Bank aus. Der Anrufer klang professionell und musste dringend verdächtige Aktivitäten auf Johns Konto überprüfen. John gab ihm schnell seine Angaben und der Anrufer sagte ihm, dass das Problem gelöst sei. Er ging seinen gewohnten Tätigkeiten nach, aber später erkannte er, dass er Opfer eines Vishing-Angriffs geworden war.

  • Vishing: Vishing (Voice-Phishing) ist eine Form des Phishing, bei der Sie durch Telefonanrufe dazu gebracht werden, persönliche Angaben preiszugeben.

• Stephanie hörte das Klingeln ihres Handys und sah eine SMS, die von ihrem Mobilfunkanbieter zu stammen schien. In der Nachricht wurde sie auf eine überfällige Rechnung hingewiesen und ihr wurde gedroht, dass man ihr den Service kündigt, wenn sie nicht sofort zahlt. Die Nachricht enthielt einen Link, der sie zu einer Zahlungsseite führte. Sie gab ihre Kartendaten ein und war erleichtert, das Problem gelöst zu haben. Später musste sie feststellen, dass ihre Karte missbraucht worden war. Sie war Opfer eines Smishing-Angriffs geworden.

  • Smishing: Beim Smishing (SMS-Phishing) werden Sie per SMS oder Textnachricht dazu verleitet, vertrauliche Informationen preiszugeben.

• Jonathan stöberte auf einer Website und sah eine Anzeige, in der ein kostenloses Produkt angeboten wurde. Er musste einfach nur die Kosten für Versand und Bearbeitung zahlen. Er wollte dieses zeitlich begrenzte Angebot unbedingt nutzen und klickte auf den Link zu einer Website, wo er seine Angaben eintrug. Als der Artikel in dem erwarteten Zeitraum nicht ankam und Jonathan versuchte, nachzufassen, konnte er keine Informationen über das Unternehmen oder den Artikel, den er gekauft hatte, finden. Er wurde Opfer eines Köder-Angriffs.

  • Ködern: Ködern ist eine spezielle Form des Social Engineering, bei der der Angreifer etwas als Gegenleistung für eine geringe Zahlung verspricht. Diese Gegenleistung ist in der Regel zu schön, um wahr zu sein, und dient dazu, Ihre finanziellen und persönlichen Angaben zu erhalten.

• Als Julie die Straße entlangging, sah sie ein Plakat. Es warb für vergünstigte Eintrittskarten für ein bevorstehendes Konzert in der Nähe, das sie schon lange besuchen wollte. Sie scannte schnell den QR-Code auf dem Plakat, der sie zu einer Website führte, wo sie die Karten kaufen konnte. Da sie fast ausverkauft waren, kaufte Julie eine Karte. Als sie später an diesem Tag nicht auf das Ticket zugreifen konnte, wurde ihr klar, dass sie Opfer eines Quishing-Angriffs geworden war.

  • Quishing: Bei dieser Form des Phishing (QR-Phishing) werden QR-Codes verwendet, um Personen dazu zu verleiten, vertrauliche Informationen preiszugeben oder schädliche Software auf ihre Geräte herunterzuladen, oder um Finanzdaten zu stehlen. Wenn jemand einen solchen falschen QR-Code scannt, wird er zu einer schädlichen Website weiterleitet, die darauf abzielt, Zugangsdaten zu stehlen oder Accounts und Geräte zu kompromittieren.

Weitere Tipps zum Schutz vor Phishing

Zweistufige Bestätigung

Um zu verhindern, dass Sie für Phishing-Angriffe oder andere Formen des Diebstahls von Zugangsdaten anfällig sind, stellen Sie sicher, dass Sie die mehrstufige Authentifizierung (z. B. die zweistufige Bestätigung) für Ihre Accounts aktiviert haben. Außerdem können Sie Sicherheitswarnungen aktivieren, um benachrichtigt zu werden, wenn Ihr Account auf einem Computer oder Gerät verwendet wird, bei dem Sie sich noch nie angemeldet haben.

Seien Sie in sozialen Medien achtsam

Phishing-Angriffe erfolgen zwar am häufigsten per E-Mail, können aber auch über jeden Account erfolgen, der über eine Nachrichtenfunktion verfügt, einschließlich sozialer Medien. Halten Sie unabhängig davon, wo Sie angemeldet sind, nach den häufigen Anzeichen für einen Phishing-Angriff Ausschau!

Was zu tun ist, wenn man Opfer geworden ist

Wenn Sie vermuten, dass Sie Opfer eines Phishing-Angriffs geworden sind, sollten Sie schnell handeln, um mögliche Folgen zu minimieren. Ändern Sie zunächst alle Passwörter, die kompromittiert worden sein könnten. Stellen Sie sicher, dass Ihre Passwörter sicher und einzigartig sind – hier erfahren Sie, wie man sichere Passwörter erstellt. Wenn Sie dies noch nicht getan haben, aktivieren Sie auf Ihren betroffenen Geräten und in Ihren Accounts die mehrstufige Authentifizierung oder die zweistufige Bestätigung. Überprüfen Sie Ihren Computer oder Ihr Gerät auf Viren oder Malware. Wenn Sie Finanzdaten angegeben haben, wenden Sie sich an Ihre Bank oder Ihren Kartenaussteller und machen Sie sie darauf aufmerksam, dass Betrug verübt worden sein könnte. Zu guter Letzt sollten Sie Ihre Accounts auf unbefugte oder verdächtige Aktivitäten überwachen.

Sie sind der Schutzschild

Die wichtigste Abwehr von Phishing-Angriffen ist Aufklärung und Wachsamkeit. Wenn Sie lernen, die gängigen Taktiken von Angreifern zu erkennen, und wachsam bleiben, können Sie vermeiden, auf diese Betrügereien hereinzufallen. Denken Sie daran: Überprüfen Sie bei Anfragen nach persönlichen Angaben immer die Authentizität, seien Sie bei ungewöhnlichen Anfragen oder Angeboten, die zu gut sind, um wahr zu sein, vorsichtig und lassen Sie sich nicht drängen. Sie sind der beste Schutzschild, um Ihre Daten zu schützen.

Echte Phishing-Beispiele ansehen

Phishing: https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-phishing/the-top-5-phishing-scams-of-all-times/

Vishing: https://www.terranovasecurity.com/blog/examples-vishing

Smishing: https://caniphish.com/what-is-smishing#Examples

Ködern: https://www.palisade.email/resources-post/understanding-what-a-baiting-attack-is-examples-and-protection

Quishing: https://www.hbs.net/blog/quishing/