Phishing-Angriffe können viele Gesichter haben. Prinzipiell geht es darum, dass ein Angreifer sein Opfer dazu verleitet vertrauliche Informationen wie beispielsweise Sozialversicherungs- und Kreditkartennummern, Anmeldedaten oder Bankkontonummern preiszugeben. Dies geschieht mithilfe von betrügerischen Webseiten, E-Mails, Telefonanrufen, oder Textnachrichten.
.
Wenn ein Phishing-Angriff erfolgreich durchgeführt wurde, hat dies meist erhebliche Konsequenzen für eine Einzelperson. Neben Kreditkartenbetrug, Identitätsdiebstahl und finanziellen Verlusten, sind vor allem die Datenschutzverletzungen für Firmen von besonderer Bedeutung.
Obwohl Phishing schon längst kein unbekanntes Nischenthema mehr ist, ist es dennoch die häufigste Methode, um unbefugt an Informationen oder Vermögenswerte zu gelangen und stellt nach Datenkompromittierung die zweitteuerste Ursache für Datenschutzverletzungen dar. Große Unternehmen verlieren durchschnittlich ca. 180 Dollar pro Datensatz bzw. 4,65 Millionen US-Dollar pro Jahr.*
Arten von Phishing-Angriffen
Wir erklären Ihnen Phishing-Angriffe beispielhaft an drei verschiedenen Unterarten dieser Methode:
Massen-Phishing-E-Mails:
Wie der Name schon vermuten lässt, richtet sich diese Art des Phishings an die breite Masse. Die Betrüger erstellen eine E-Mail, die den Anschein erweckt, von einem großen, bekannten und seriösen Unternehmen zu stammen, und senden sie an Millionen von Empfängern. Im Betreff wird meist vermittelt, dass es um eine dringende Angelegenheit geht, wie: „Ihre Bestellung wurde nicht bezahlt.“ Auch vermeintliche Gewinne oder Sonderangebote werden beworben: „Nur jetzt: Produkt ABC um 50 Prozent reduziert!“ Ziel ist es, den Empfänger zum Öffnen der E-Mail zu bewegen. Im eigentlichen Inhalt findet sich dann eine Aufforderung Daten preiszugeben oder ein Link, der zu einer gefälschten Website führt. Durch die Masse an E-Mails erhöhen die Täter Ihre Wahrscheinlichkeit mindestens eine Person zu erreichen, die auf diesen Trick reinfällt. Da diese Variante mit vergleichsweise geringem Aufwand verbunden ist, ist es auch die häufigste Form von Phishing-Angriffen.
Spear-Phishing:
Spear-Phishing zielt im Gegensatz zum Massen-Phishing genau auf eine bestimmte Person ab. Der Angreifer sammelt zuvor Informationen über die Zielperson, um sich als vertrauenswürdige Person oder Einrichtung auszugeben. Dazu nutzt er verschiedene Methoden, wie beispielsweise eine Recherche über Social Media. In Firmen werden hierzu zuvor über die Unternehmenswebseite Personen ausgemacht, die besondere Zugriffsrechte haben, um so schneller in ein Firmennetzwerk zu kommen, beispielsweise ein leitender IT-Angestellter. Hat der Angreifer genug Informationen gesammelt, sendet er dann eine personalisierte Nachricht mit der Aufforderung zur Preisgabe sensibler Informationen.
SMS-Phishing:
Beim SMS-Phishing geht der Angreifer ähnlich vor wie beim Phishing über Mails. Ziel ist es den Empfänger auf eine Seite zu locken, um dort Daten von ihm zu bekommen. Immer beliebter werden hier Nachrichten von Postzustellern. In der Regel bekommt das Opfer eine Nachricht darüber, dass das Paket nicht zustellbar ist und muss Daten eingeben, um weitere Informationen zu erhalten. Auch hier verspricht wieder die Masse den Erfolg. Da es tatsächlich Dienstleister gibt, die SMS-Benachrichtigungen versenden, ist es fast nur eine Frage der Zeit, bis die Angreifer jemanden erwischen, der gerade ein Paket erwartet und sich angesprochen fühlt.
Wie können Sie sich vor Phishing-Angriffen schützen?
Erkennung charakteristischer Merkmale von Phishing:
-
Seien Sie skeptisch gegenüber Anfragen nach sensiblen oder persönlichen Informationen.
-
Öffnen Sie keine Dateianhänge, die Sie nicht angefordert haben.
-
Seien Sie vorsichtig, wenn in der E-Mail Druck aufgebaut wird durch Dringlichkeit oder unrealistische Konsequenzen wie eine Haftstrafe.
-
Misstrauen Sie Aufforderungen zum Senden oder Verschieben von Geld.
-
Achten Sie auf widersprüchliche Absenderadressen und verkürzte Links.
Sicherheitsmaßnahmen zur Phishing-Verhinderung:
-
Nutzen Sie Multi-Faktor-Authentifizierung für einen zusätzlichen Schutz.
-
Richten Sie einen Spam-Filter ein. Dieser identifiziert verdächtige Phishing-E-Mails und deaktiviert Links.
-
Sie können zusätzlich einen Webfilter nutzen. Dieser verhindert den Besuch bekannter bösartiger Websites und warnt vor verdächtigen oder gefälschten Websites.
-
Antiviren- und Anti-Malware-Software können schädliche Dateien in Phishing-E-Mails erkennen und neutralisieren.
Die Zukunft des Phishings
In Zukunft könnten Phishing-Angriffe noch gefährlicher werden, da Künstliche Intelligenz für individuelle und personalisierte Angriffe genutzt wird. Die Verwendung von gefälschten Audio- und Videoinhalten könnte solche Angriffe noch authentischer machen. Um sich in der Zukunft besser davor schützen zu können, ist der Einsatz von Sicherheitstechnologien, die auf KI basieren, genauso wichtig. Bewusste Sicherheitsmaßnahmen, wie das kritische Hinterfragen verdächtiger Nachrichten, der bewusste Umgang mit persönlichen Informationen und die Nutzung aktueller Sicherheitssoftware, sind entscheidend für deine Sicherheit im Internet.