6 typische Phishing-Attacken

Phishing, Smishing, Vishing - kennen Sie den Unterschied? Obwohl die Methoden von Hackern immer einfallsreicher und ausgefeilter werden, kann ein Großteil der Phishing-Attacken auf sechs verschiedene Methoden zurückgeführt werden.

1. Deceptive Phishing

Täuschendes Phishing ist die häufigste Art von Phishing-Angriffen. Diese Variante bezieht sich auf E-Mails, die von vermeintlich bekannten Absendern verschickt werden und Sie zu einer Aktion auffordern. Eine sehr häufige Aktion ist das Ansprechen von wichtigen Dateien, die Sie über den Link herunterladen können, der Sie dann auf eine (z. B.) gefälschte Sharepoint-Anmeldeseite führt. Weitere Aktionen können die Verifizierung eines Kontos, die erneute Eingabe von Anmeldedaten oder Passwörtern oder eine Zahlungsaufforderung sein. Werden diese Informationen angegeben, können Hacker auf Ihre Konten zugreifen und Ihre damit verbundenen persönlichen Daten missbrauchen.

So können Sie sich schützen:

  • Prüfen Sie insbesondere den Domain-Namen auf homografische Angriffe. Darunter versteht man die Tatsache, dass viele verschiedene Zeichen gleich aussehen, z.B. wenn das lateinische a durch ein kyrillisches a ersetzt wird. Es sieht zwar gleich aus, führt aber auf eine gefälschte Website
  • Prüfen Sie die Rechtschreibung in der E-Mail
  • Achten Sie auf Links oder Weiterleitungen beim Laden der Seite

2. Spear Phishing

Spear-Phishing ist eine ausgefeiltere Version des betrügerischen E-Mail-Phishings und oft das Ergebnis eines früheren Datenmissbrauchs. Normalerweise wurden einige E-Mail-Konten zuvor gehackt. Der Angreifer verfügt dann über ein Adressbuch und den dazugehörigen E-Mail-Verkehr und kennt somit vielfältigere Details zu Ihrer Person. Daraus werden dann gezielt Spear-Phishing-E-Mails erstellt. So werden z. B. oft der vollständige Name, Positionsangaben und andere berufliche Informationen verwendet, um eine Beziehung vorzutäuschen. Das Ziel dieser Phishing-Variante ist das gleiche wie oben erwähnt: der Missbrauch der mit Ihrem Konto verbundenen persönlichen Daten.

So können Sie sich schützen:

  • Halten Sie Ihre Sicherheitssoftware immer auf dem neuesten Stand
  • Vergessen Sie nicht, Links zu prüfen und überlegen Sie zweimal, bevor Sie klicken
  • Führen Sie regelmäßige Mitarbeiterschulungen zum Thema Social Engineering durch

3. Whaling / CEO-Betrug

Whaling-Angriffe zielen auf die Durchführung einer betrügerischen Geldüberweisung ab, die angeblich vom CEO in Auftrag gegeben wurde. Die korrekte E-Mail-Adresse des CEO wird dabei nicht unbedingt benötigt, da sich Hacker oft darauf konzentrieren, lediglich den Anzeigenamen im Absenderfeld korrekt darzustellen. Das Opfer, in der Regel ein Mitarbeiter, erhält also eine E-Mail, die angeblich vom CEO stammt, um eine betrügerische Überweisung einzuleiten oder freizugeben. 

So können Sie sich schützen:

  • Regelmäßige Schulungen zum Thema Social Engineering - auch für Führungskräfte
  • Awareness-Maßnahmen & interne Kommunikation
  • Multi-Faktor-Autorisierungsprozesse für Finanztransfers
  • Implementierung von technischen Standards für das Sender Policy Framework (SPF)

4. Vishing

Während Phishing-Angriffe per E-Mail am bekanntesten sind, werden Vishing-Anrufe immer häufiger. Diese Anrufe erfolgen oft per Voice-over-IP-Telefonate und die Angreifer geben sich als seriöse Organisation aus, z. B. als Ihr Kreditkartenunternehmen oder Ihre Bank, um Informationen zu erhalten. Um Vertrauen aufzubauen, verwendet der Angreifer verschiedene Informationen wie Ihren Namen und den Standort Ihrer Bank/Ihres Kreditinstituts. Der Angreifer teilt Ihnen z. B. mit, dass Ihr Konto gesperrt wurde und dass Sie ihm Ihr Kennwort und Ihre Zahlungsinformationen geben müssen, um die Sperrung aufzuheben.

So können Sie sich schützen:

  • Geben Sie keine persönlichen Daten oder Passwörter per Telefon bekannt
  • Seien Sie bei Anrufen von unbekannten Nummern besonders achtsam
  • Vermeiden Sie es, am Telefon das Wort "Ja" zu sagen, denn ein Angreifer könnte das aufzeichnen und gegen Sie verwenden

5. Smishing

Auch das so genannte Smishing wird über das Telefon durchgeführt. Beim Smishing werden Textnachrichten oder SMS verschickt, in denen Benutzer aufgefordert werden, auf einen bösartigen Link zu klicken oder persönliche Daten anzugeben. Einige dieser Smishing-Angriffe zielen auf Android-Benutzer ab. Nach dem Klick auf den Link wird ein App-Download angeboten. Diese App ist Malware! 

So können Sie sich schützen:

  • Recherchieren Sie Ihnen unbekannte Nummern
  • Wenn Sie sich nicht sicher sind, informieren Sie Ihren Mobilfunkanbieter, dass Sie solche Nachrichten erhalten. Einige entwickeln aktiv Mechanismen, um Smishing-Nachrichten herauszufiltern

6. Pharming

Pharming ist eine weitere Methode, mit der Hacker versuchen Benutzer im Internet zu manipulieren - indem sie sie auf gefälschte Websites umleiten. Dazu wird der DNS-Server (Domain Name System) so manipuliert, dass die Umleitung ohne das Wissen des Benutzers erfolgt. Die Angreifer können über einen E-Mail-Virus den lokalen DNS-Cache des Benutzers angreifen oder sogar ganze DNS-Server manipulieren, so dass jeder Benutzer, der den betroffenen DNS-Server benutzt, auf die falsche Website umgeleitet wird. Obwohl die meisten DNS-Server über Sicherheitsserver zum Schutz vor solchen Angriffen verfügen, finden Hacker immer wieder Wege, sich Zugang zu ihnen zu verschaffen.

So können Sie sich schützen:

  • Verwenden Sie Antiviren- und Anti-Malware-Sicherheitssoftware mit Browser-Überwachung
  • Vergewissern Sie sich, dass Sie eine sichere Webverbindung (https) verwenden

Mit diesem kurzen Überblick wissen Sie, wie die gängigsten Methoden aussehen und können daher Gegenmaßnahmen vorbereiten, damit Sie nicht auf die genannten Phishing-Methoden hereinfallen. In jedem Fall ist es wichtig, alle Mitarbeiter und Führungskräfte eines Unternehmens kontinuierlich zu schulen und für das Thema Phishing zu sensibilisieren. Bitte beachten Sie, dass diese Aufzählung keinesfalls vollständig ist und nur ein umfassendes Sicherheitskonzept für alle Bereiche des Unternehmens Schutz vor Phishing und Datenmissbrauch bieten kann.st phishing and data breach.