Joerg Habermeier - stock.adobe.c
Phishing-Schutz: Darauf sollten Mitarbeiter achten
Viele Angriffe auf Unternehmen erfolgen per E-Mail und Phishing. Dementsprechend ernst sollten IT-Teams und Mitarbeiter diese Bedrohung nehmen und im Alltag Vorsicht walten lassen.
Phishing-Angriffe gehören nach wie vor zu den häufigsten Angriffsarten auf Unternehmen. Laut einer Umfrage von Proofpoint wissen aber nur 58 Prozent der Anwender, was Phishing ist - eine erstaunliche Wissenslücke, wenn man bedenkt, dass Phishing-Angriffe so häufig vorkommen und immer raffinierter werden. Dieselbe Umfrage ergab, dass 84 Prozent der Unternehmen im Jahr 2022 mit mindestens einem erfolgreichen Phishing-Angriff konfrontiert waren, wobei 54 Prozent der Unternehmen drei oder mehr erfolgreiche Vorfälle zu verzeichnen hatten.
Phishing-Angriffe können für Mitarbeiter und Unternehmen gleichermaßen verheerende Folgen haben. Laut dem „2023 Verizon Data Breach Investigations Report“ sind bei 74 Prozent aller Datenschutzverletzungen Menschen betroffen. Daher ist es von entscheidender Bedeutung, Phishing bei Schulungen zum Sicherheitsbewusstsein zu behandeln, einschließlich der Definition und der Frage, wie man diese potenziell bösartigen Angriffe erkennt und verhindert.
Die unterschiedlichen Arten der Phishing-Angriffe im Überblick
Phishing ist eine Form des Social Engineering, bei der Angreifer Benutzer dazu verleiten, Zugang zu Daten und Systemen zu gewähren. Die Motive der Angreifer reichen vom Herunterladen von Malware (zum Beispiel Ransomware) über den Diebstahl von Anmeldedaten bis hin zur Überlistung von Benutzern, damit diese sensible Informationen wie Kreditkartennummern und Unternehmensdaten weitergeben.
Dabei existiert eine ganze Reihe gängiger Arten des Phishings:
- Nach wie vor ist E-Mail-Phishing die häufigste Form dieser Angriffsart. Angreifer versenden E-Mails mit präparierten Links oder Anhängen, um ihre wenig redlichen Ziele zu erreichen.
- Spear-Phishing ist die gezieltere Variante des E-Mail-Phishing. Hier werden häufig bestimmte Mitarbeiter eines Unternehmens ganz gezielt angegriffen.
- Vom Whaling spricht man hingegen, wenn sich der Angriff nicht nur gegen bestimmte, sondern auch besonders hochkarätige Anwender im Unternehmen richtet, beispielsweise die Geschäftsführung oder kaufmännische Leitung.
- Vishing oder auch VoIP-Phishing ist ein betrügerischer Angriff der per Sprache, also etwa via Telefon durchgeführt wird.
- Pharming wird auch als Phishing ohne Köder bezeichnet. Bei einer Methode des Pharming wird das System so manipuliert, dass die Opfer auf einer präparierten Website landen, obwohl sie die legitime Adresse in den Browser eingegeben haben. Pharming nutzt Schwächen im DNS-Protokoll, so dass eine legitime IP-Adresse im Cache durch eine bösartige ersetzt wird.
- Beim Smishing oder auch SMS Smising erfolgt der Angriff nicht per E-Mail, sondern per Textnachricht.
- Von Social-Media-Phishing ist die Rede, wenn die Phishing-Nachrichten über Social-Media-Plattformen gesendet werden.
- Beim Suchmaschinen-Phishing, auch bekannt als SEO Poisoning, nutzen Angreifer die Suchmaschinenoptimierung, um ihre gefälschten Websites in der Online-Suche weit oben zu platzieren. Benutzer, die auf den Link zur gefälschten Website klicken, sehen eine legitim aussehende Seite, die in Wirklichkeit bösartig ist.
- Beim Klon-Phishing kopieren böswillige Akteure eine zuvor zugestellte E-Mail, ersetzen aber die legitimen Links oder Anhänge durch böswillige.
- Angler-Phishing liegt vor, wenn sich ein Angreifer auf einem gefälschten Social-Media-Konto eines Unternehmens als Kundendienstmitarbeiter ausgibt. So kann ein Kunde, der sich online über eine Bank beschwert, von einem legitim aussehenden Social-Media-Konto dieser Bank kontaktiert werden, um das Problem zu lösen, während das wahre Motiv des Angreifers darin besteht, den Kunden dazu zu bringen, Malware herunterzuladen oder persönliche Daten weiterzugeben.
- Beim QR-Phishing, auch als Quishing bekannt, werden Nutzer dazu verleitet, mit ihrem Telefon einen QR-Code zu scannen, der sie zum Herunterladen von Malware verleitet oder sie dazu verleitet, sensible Daten weiterzugeben.
Wie kann man Phishing-Angriffe erkennen und abwehren?
Auf welche Weise können Unternehmen und IT-Teams diesen Bedrohungen begegnen? Aufgeklärte und gut geschulte Mitarbeiter sind in diesem Zusammenhang ein unschätzbarer Sicherheitsfaktor. Damit kann bereits ein Gutteil der Phishing-Versuche ins Leere laufen. Unter anderem sollten die Anwender im Unternehmen folgende Hinweise beherzigen:
Schulungen zum Sicherheitsbewusstsein ernst nehmen
Die Schulung der Mitarbeiter ist ein wichtiger Faktor beim zum Schutz vor Phishing. Die in Unternehmen durchgeführten Security Awareness Trainings liefern Anwendern viele wichtige Informationen darüber, wie Phishing-Angriffe erkannt und verhindert werden können. Mitarbeiter sollten die dort vermittelten Inhalte ernst nehmen, die können im Ernstfall die wichtige erste Abwehr bei einem Angriff sein.
Wachsamkeit gegenüber Phishing-Versuchen
Früher waren Phishing-E-Mails relativ leicht zu erkennen. Die meist an Consumer gerichtete Massen-Mails sind immer noch weit verbreitet, aber die Angreifer sind heute überzeugender und individueller als je zuvor.
Wenn Anwender eine E-Mail von einer unbekannten Quelle erhalten, sollten sie Folgendes tun:
- Anwender sollten auf Rechtschreibfehler, Grammatikfehler und ähnliche Fehler achten. Auch wenn Phishing-Angriffe immer raffinierter werden, tauchen da manchmal Fehler auf.
- Die E-Mail-Adresse des Absenders sollte stets überprüft werden, wenn etwas verdächtig erscheint. Angreifer sind in der Lage die Absenderadressen relativ einfach zu fälschen. Wer es sich fachlich zutraut, kann auch die IP-Adresse im E-Mail-Quellcode überprüfen, um zu sehen, ob diese zum wahren Absender zurückverfolgt werden kann.
- Hüten Sie sich vor E-Mails, die ein Gefühl der Dringlichkeit vermitteln. Viele Angreifer versuchen, Mitarbeiter zu verunsichern, indem sie dringende, zeitkritische Formulierungen verwenden oder versuchen, Ihnen Angst einzujagen. Handeln Sie nicht überstürzt und unüberlegt, sondern hinterfragen Sie die E-Mail und ihre Legitimität.
Vorsicht bei Links und Anhängen
Beantworten Sie niemals eine verdächtige Nachricht, klicken Sie auf keinen Link und laden Sie keine Anhänge herunter. Alle drei Dinge können dazu führen, dass Malware installiert wird.
Verkürzte URLs wie beispielsweise von bit.ly können ein Problem darstellen, da nicht erkennbar ist, wohin der Link führt.
Links nicht kopieren und einfügen
Niemals Links aus E-Mails per Kopieren und Einfügen verwenden. Es ist auch nicht hilfreich, den Link in der E-Mail einfach per Mouseover überprüfen zu wollen. Angreifer können auch da Manipulationen vornehmen, um die URL als legitim erscheinen zu lassen.
Vorsicht vor komplexen Täuschungsmanövern
Viele Phishing-Betrügereien haben sich von „Spray-and-Pray“-Phishing-Kampagnen, die mit einer einzigen Taktik mehrere Opfer angreifen, zu gezielteren, personalisierten Angriffen entwickelt, wie z.um Beispiel Spear-Phishing, Whaling, Klonen und Kompromittierung von Geschäfts-E-Mails. In solchen Szenarien durchsuchen böswillige Akteure das Internet und nutzen soziale Medien wie LinkedIn, um sich als bekannte Kontakte auszugeben und legitime Kommunikation und Transaktionen vorzutäuschen.
Prüfen Sie, von wem die E-Mail stammt, und setzen Sie sich im Zweifelsfall separat auf einem alternativen Kommunikationsweg mit dem angeblichen Absender in Verbindung, um sicherzustellen, dass die E-Mail echt ist.
Vorsicht bei der Weitergabe von Daten
Vertrauen Sie niemals einer E-Mail oder Website, die nach persönlichen, geschäftlichen oder finanziellen Informationen fragt. Seriöse Unternehmen fragen niemals per E-Mail nach solchen Daten. Wenn Sie Bedenken haben, kontaktieren Sie das Unternehmen unter einer Telefonnummer, von der Sie wissen, dass sie echt ist.
Wenn es gilt auf eine Website Finanz- oder Anmeldedaten einzugeben, sollte man diese nie über einen Link öffnen, sondern immer gezielt ansteuern. Zudem gilt es immer zu überprüfen, dass es sich dabei um eine verschlüsselte Verbindung handelt.
Security- und Anti-Phishing-Tools einsetzen
Die Sensibilisierung der Benutzer allein reicht bei der Phishing-Abwehr nicht aus. Verwenden Sie Security-Tools, um Phishing-Versuche zu erkennen. Diese Kontrollen können Phishing-E-Mails zwar nicht verhindern, sollten sie aber auf ein Minimum reduzieren: Werden die Tools stets aktualisiert, werden Phishing-Websites häufig erkannt.
Starke Passwörter und Multifaktor-Authentifizierung
Der Standardhinweis zu Passwörtern kann leider nicht oft genug wiederholt werden. Es sollten die bewährten Praktiken der Passworthygiene angewendet werden. Sprich, die Verwendung langer, einzigartiger Passwörter oder Passphrasen.
Unabhängig von der Stärke des Passworts besteht das Ziel vieler Phishing-Angriffe darin, Anmeldedaten auszuspionieren. Um die Passwortsicherheit zu erhöhen, sollten Sie sich nicht auf Kombinationen aus Benutzernamen und Passwort verlassen. Verwenden Sie die Multifaktor-Authentifizierung (MFA), um die Passwortsicherheit auf mehreren Ebenen zu erhöhen. Für die Anmeldung mit MFA können Faktoren wie Einmalpasswort (etwa per App), ein Sicherheits-Token oder eine biometrische Verifizierung erforderlich sein - alles Faktoren, die für Cyberkriminelle schwieriger, wenn nicht gar unmöglich zu erlangen sind.
Aktualisieren und Patchen von Systemen und Browsern
Schwachstellen in Browsern werden häufig für Phishing-Angriffe genutzt. Alle großen Webbrowser verfügen über Anti-Phishing-Funktionen, aber wenn sie nicht auf dem neuesten Stand gehalten werden, erkennen sie nicht die neuesten bekannten bösartigen Websites.
Halten Sie auch die gesamte Software und Hardware auf dem neuesten Stand, einschließlich Anti-Malware und anderer Sicherheitstools, damit diese effektiv gegen Bedrohungen wirken können.
Phishing-Versuche melden
Einige Unternehmen haben eine spezielle E-Mail-Adresse, an die Benutzer verdächtige Aktivitäten melden können. Wenn Sie Phishing-Nachrichten an Ihre Firmen-E-Mail-Adresse erhalten, melden Sie diese, wenn möglich. Auch einige Anbieter, bei denen die Gefahr besteht, dass sie gefälscht werden, haben Websites oder E-Mail-Adressen, um Betrug zu melden.