Wie Phishing funktioniert und wie Sie sich am besten schützen

Was ist ein Phishing-Angriff?

Beim Phishing handelt es sich um einen Online-Betrug, bei dem sich Kriminelle als legitime Personen ausgeben, um die Opfer zum Austausch vertraulicher Informationen oder zur Installation von Schadprogrammen und Schadsoftware zu verleiten.

Der Begriff „Phishing“ bezeichnet ein Wortspiel mit dem Wort „Fischen“, da in beiden Fällen jemand einen Köder auswirft und darauf wartet, dass Benutzer oder Fische „anbeißen“.

In den meisten Fällen tun Hacker dies über schädliche E-Mails or SMS, die von vertrauenswürdigen Absendern zu sein scheinen, und einen Link enthalten, der vermeintlich zur Website des Unternehmens führt. Phisher wählen oft Unternehmen oder Online-Shops, deren Dienste Sie wahrscheinlich nutzen, wie etwa Amazon und PayPal.

Sobald Sie Ihre Daten eingegeben haben, können diese sensiblen Informationen gestohlen werden.

Diese Daten können alle vertraulichen Informationen von Wert sein, wie sensible Daten, wie z. B.  Zugangsdaten (E-Mail und Passwort), Finanzdaten (Kreditkartennummern oder Anmeldeinformationen für das Online-Banking) oder sogar personenbezogene Daten (Geburtsdatum, Adresse oder Sozialversicherungsnummer).

Zu den häufigsten Arten von Phishing-Angriffen gehören:

• E-Mail-Phishing: Eine Art von Cyberangriff, bei dem sich böswillige Akteure als legitime Organisationen oder Personen ausgeben und versuchen, die Empfänger zu bestimmten Handlungen zu verleiten, z. B. zur Preisgabe vertraulicher Informationen oder zum Herunterladen bösartiger Inhalte. Dabei nutzen Phisher verschiedene Arten des Betrugs, wie z. B. Clone Phishing oder E-Mail-Spoofing.

• SMS-/Mobile-Phishing: Ein SMS-Phishing-Angriff (Smishing) funktioniert im Wesentlichen wie ein E-Mail-Angriff, bei dem einem Opfer Inhalte als Anreiz für das Klicken auf eine bösartige URL angezeigt werden. Eine andere Art von Phishing auf Mobilgeräten erfolgt über verdächtige Apps, die von nicht autorisierten Webseiten heruntergeladen werden. Zum Schutz gibt es sogenannte Shortcodes und Möglichkeiten der Verifizierung.

• Website-Phishing: Gefälschte Webseiten sollen authentisch aussehen und klingen. In den meisten Fällen landen Sie auf einer einfachen Anmeldeseite oder Zahlungsseite, da diese für viele Anwendungsfälle sehr einfach nachzumachen sind und beim Erfassen persönlicher Informationen sehr effektiv sein können.

• Social-Media-Phishing: Einige Angriffe sind leichter zu erkennen, beispielsweise ein Facebook- oder Twitter-Bot, der Ihnen eine private Nachricht mit einer verkürzten URL sendet. Diese URL führt wahrscheinlich zu einer leeren Seite oder zu einer Seite mit verdächtigem Inhalt.

Phishing wird als eine Art Social-Engineering-Angriff angesehen, weil es sich auf menschliches Versagen anstatt auf Hardware- oder Softwarefehler stützt.

Phishing per E-Mail

Bei einem einfachen Phishing-Angriff wird versucht, einen Benutzer zur Eingabe persönlicher Daten oder anderer vertraulicher Informationen zu verleiten.

Jeden Tag werden 347 Milliarden E-Mails versendet, also ein idealer Kanal für Cyberkriminelle. Stellen Sie sich vor, 1 % dieser E-Mails sind Betrug und 1 % davon funktionieren. Das sind 34,7 Millionen Versuche pro Tag!

Wir können Ihnen versichern, dass mehr als 1 % der gesendeten E-Mails ein Betrug sind, aber wir möchten Sie dabei unterstützen, dass weit weniger als 1 % dieser E-Mails erfolgreich sind.

Ein Phishing-Angriff kann ein bestimmtes Ziel haben, wie z. B. Menschen, die ein bestimmtes Produkt verwenden, oder können wahllos erfolgen und der Öffentlichkeit mit gefälschten Wettbewerben und Preisen nachjagen.

In beiden Fällen werden die Opfer aufgefordert, ihren Namen, ihre E-Mail-Adresse und in einigen Fällen auch ihre Passwörter und Bankdaten einzugeben.

Eine andere Möglichkeit ist die, dass die E-Mail eine bösartige Anlage enthält, die Sie herunterladen sollen. In vielen Fällen wird der bösartige Inhalt in einem Microsoft Office-Dokument versteckt sein, der aber nur dann funktioniert, wenn Makros vom Benutzer aktiviert wurden.

Wenn Sie das Dokument öffnen, werden Sie möglicherweise aufgefordert, Ihre Software zu aktualisieren oder bestimmte Berechtigungen bereitzustellen, damit das Dokument ordnungsgemäß angezeigt werden kann. Aber wenn Sie dem zustimmen, können Sie sich einer schweren Sicherheitsverletzung aussetzen.

Verschiedene Arten von E-Mail-Phishing

Wir können davon ausgehen, dass so gut wie jeder schon mal einen Phishing-Angriff per E-Mail erhalten hat oder auf einer verdächtigen Webseite gelandet ist.

Unten haben wir einige der bekanntesten Arten von Angriffen aufgelistet, die heutzutage verwendet werden.

Es gibt hierbei zwei Ansätze: Spray and Pray (Sprühen und beten) und Spear Phishing. Wie die Namen schon verraten, wird die Nachricht bei erster Variante an so viele Menschen wie möglich verschickt. Trotz geringer Qualität gibt es dann immer jemanden, der auf den Trick hereinfällt.

Beim Spear Phishing ist der Angriff geplanter und auf die Personen zugeschnitten, die diese Nachricht bekommen.

Unterschied zwischen Spear Phishing und "normalen" Phishing. Quelle: Terranova Security

Für die Opfer von Spray and Pray-Angriffen ist weniger Aufwand erforderlich als beispielsweise beim Speer Phishing. Sie müssen weniger Zeit für das Auffinden einer gezielten Liste von E-Mails, das Erstellen benutzerdefinierter Angebotsseiten usw. investieren.

Es gibt immer mehr Methoden, die sich nicht nur auf E-Mails beschränken, sondern auch Webseiten oder soziale Netzwerke umfassen.

Die häufigsten Phishing-Arten sind folgende:

Clone-Phishing

Clone-Phishing-E-Mails sind nahezu identisch mit einer E-Mail, die Sie zuvor erhalten haben. In diesem Fall wird die neue E-Mail von einer gefälschten Adresse gesendet, die der ursprünglichen ähnelt. Beispiel: help@appplehelp.com anstatt von help@apple.com (beachten Sie die drei „P“).

Whaling/CEO-Fraud

Hierbei werden hochkarätige Personen wie Vorstandsmitglieder oder Mitglieder des Finanz- oder IT-Teams eines Unternehmens angegriffen. Die E-Mail scheint von einer vertrauenswürdigen Quelle zu stammen, wie z. B. vom CEO Ihres Unternehmens. Dieser Angriff ist in der Umsetzung schwieriger, da die Hacker zunächst die exakten Ziele auskundschaften und eine Möglichkeit finden müssen, sich als CEO auszugeben.

E-Mail-Spoofing

BEC-Angriffe sind meist „dringende“ Anfragen einer Marke oder eines leitenden Angestellten einer Marke. Diese E-Mails sind eine Social-Engineering-Taktik, mit der andere Mitarbeiter oder Benutzer dazu gebracht werden, ihre Bankkontodaten anzugeben oder eine Spende zu tätigen.

Die unechte Anmeldung

In dieser Phishing-Nachricht werden Sie aufgefordert, sich über einen unsicheren Link in Ihrem Konto anzumelden. Der Hacker speichert Ihre Anmeldedaten, um später auf Ihr echtes Konto zuzugreifen.

Gefälschte Rechnung

In dieser Phishing-E-Mail werden Sie nach Ihren Bankdaten gefragt, um Ihr Geld zu stehlen oder Bankkonten und Kreditkarten unter Ihrem Namen zu eröffnen.

Google Docs

Dieser Betrug gibt vor, ein Dokument von einem Ihrer Kontakte zu sein. Sie werden aufgefordert, auf den Link zu klicken, um "das Google-Dokument zu öffnen". Der Hacker nutzt dies, um Malware auf Ihrem Gerät zu installieren oder vertrauliche Daten abzufangen.

Das Verfallsdatum

Dieser Betrug basiert auf einem bevorstehenden Ablaufdatum für einen Dienst, wie ein Abonnement. Sie werden aufgefordert, Anmeldeinformationen oder Bankdaten anzugeben, die der Hacker dann missbraucht.

Freunde und Regierung

Bei einem solchen Phishing-Versuch wird Ihr Vertrauen in einen Freund oder die Regierung ausgenutzt, um Sie zur Preisgabe sensibler Daten wie Ihrer Sozialversicherungsnummer, Ihrer Anmeldedaten oder Ihres Bankkontos zu bewegen.

Wie finden Phisher die E-Mail-Adressen, auf die sie abzielen?

Es gibt viele Möglichkeiten für Phisher, Ihre E-Mail-Adresse abzugreifen und sie mit einem von Ihnen verwendeten Dienst in Verbindung zu bringen.

Dies kann ohne Ihr Wissen oder das Wissen des Dienstanbieters geschehen. Hier sind ein paar Beispiele:

Suchen Sie im Internet nach dem @-Zeichen. Spammer und Cyberkriminelle verwenden moderne Tools, um das Internet zu scannen und E-Mail-Adressen zu sammeln. Wenn Sie Ihre E-Mail-Adresse jemals irgendwo im Internet schon einmal gepostet haben, wird ein Spammer sie auch mühelos finden.

Cyberkriminelle verwenden Tools, um übliche Benutzernamen (unter Verwendung des ersten Buchstabens eines Vornamens und eines gemeinsamen Nachnamens) zu generieren und diese mit Domains zu kombinieren. Diese Tools ähneln denen, die zum Knacken von Passwörtern verwendet werden.

Spammer können Listen kaufen, was auf legale und illegale Weise möglich ist. Lesen Sie sich die Datenschutzrichtlinie sorgfältig durch, wenn Sie Ihre E-Mail irgendwo angeben. Auch wenn die DSGVO Sie schützt, müssen Sie sich auch selbst schützen.

Phisher können auch herausfinden, was die einzelnen Dienstanbieter von Ihnen als Kunde verlangen würden und dann eine Schwachstelle finden, um herauszufinden, ob Sie ein Kunde sind.

Bei ESPs können Betrüger beispielsweise Ihre öffentlichen DNS-Einträge (SPF, CNAME, TXT) überprüfen und versuchen, Informationen zu finden, die sie mit dem von Ihnen verwendeten ESP in Verbindung bringen können.

Wir haben jetzt die Grundlagen des Phishings, dessen Geschichte und Funktionsweise kennengelernt und können jetzt einige der häufigsten Arten von Phishing erforschen.

Wie Sie sich schützen können: Erkennen von Phishing

Noch vor einigen Jahren sahen Phishing-Versuche mit ihrer schlechten Grammatik, Rechtschreibfehlern, fehlerhaften E-Mail-Vorlagen und den veralteten Logos wie jede andere Spam-E-Mail aus.

Dann lernten die Betrüger, dass sie raffinierter sein und überzeugendere Phishing-E-Mails erstellen müssen und die jetzigen betrügerischen E-Mails sind oft schwer vom Original zu unterscheiden.

Wenn der Spammer wirklich an seinem Betrug interessiert ist, wird er alles tun, um die E-Mail, die er Ihnen schickt, legitim aussehen zu lassen.

Im Folgenden gehen wir auf einige Möglichkeiten ein, wie Sie raffinierte Phishing-Betrügereien erkennen können, darunter:

1. Die Absenderadresse

Die E-Mail-Adresse des Absenders gibt Ihnen die Infos, die Sie benötigen: Überprüfen Sie, ob Sie jemals etwas vom selben Absender erhalten haben.

Wenn der Phisher intelligent genug war, hat er die Absenderadresse gut maskiert und oft liegt der Unterschied bei nur einem Buchstaben, sodass Sie den Unterschied möglicherweise nicht einmal feststellen werden, wenn Sie nicht genau hinsehen.

2. Falsch geschriebene Domainnamen

Wenn Sie eine Nachricht von einem offiziellen Unternehmenskonto erhalten haben, (wie z. B. „support@mailjet-com.com“), müssen Sie unbedingt prüfen, dass es sich wirklich um die E-Mail Domain des Unternehmens handelt.

Selbst wenn die Nachricht mit der richtigen Rechtschreibung und Grammatik, der richtigen Formatierung und dem richtigen Firmenlogo legitim aussieht, kann es sich dennoch um ein betrügerisches Konto handeln.

Was unbedingt überprüft werden sollte: Enthält die Domain etwas anderes als gewöhnlich (z. B. das Hinzufügen eines Suffixes zu einem Domainnamen).

Noch wichtiger ist jedoch, dass seriöse Marken Sie niemals auffordern werden, persönliche Informationen per E-Mail zu übermitteln.

3. Schlechte Grammatik und Rechtschreibung

Auf den ersten Blick bemerkt man es oft nicht, aber Phishing-Mails verraten sich selbst durch kleine Tippfehler. Viele Phishing-Angriffe sind nicht sehr gut geplant, insbesondere „Spray and Pray“-Angriffe, und die Nachrichten können Rechtschreib- und Grammatikfehler enthalten.

Offizielle Nachrichten von größeren Unternehmen enthalten nur sehr selten Rechtschreib- oder Grammatikfehler. Nachrichten mit Fehlern oder schlechtem Stil sollten daher als sofortiger Hinweis darauf dienen, dass die Nachricht möglicherweise nicht legitim ist.

4. Verdächtige Anhänge/Links

Bei E-Mail Phishing-Nachrichten wird der Benutzer häufig aufgefordert, auf einen Link für eine gefälschte Phishing-Website zu klicken, die für böswillige Zwecke erstellt wurde. Die URL sieht legitim aus, es gibt jedoch kleine Fehler wie fehlende oder vertauschte Buchstaben.

Wenn die Nachricht seltsam erscheint, ist es immer ratsam, sich eine Sekunde Zeit zu nehmen, um den Link genauer zu prüfen, indem Sie mit dem Mauszeiger darüberfahren und so festzustellen, ob sich die Webadresse von der tatsächlichen unterscheidet. Klicken Sie zudem keinesfalls auf Dateianhänge.

Sie können die Marke jederzeit über ihre öffentliche E-Mail-Adresse oder Telefonnummer kontaktieren und zur Sicherheit nachfragen, bevor Sie etwas Verdächtiges anklicken.

5. Unpersönliche Begrüßung

Ist die E-Mail an Sie adressiert, oder handelt es sich um eine allgemeine Begrüßung wie "Hallo, Herr oder Frau" oder nur “geehrter Kunde”. Wenn eine seriöse E-Mail nach persönlichen Daten fragt, werden Sie wahrscheinlich persönlich angesprochen.

Wenn Sie dieses Detail erkennen, überprüfen Sie, ob es sich bei der E-Mail um einen Phishing-Versuch oder um eine seriöse E-Mail handelt, und achten Sie auf andere Warnhinweise.

6. Erfragen von persönlichen Informationen

Die meisten Bankdienste und andere seriöse Unternehmen werden Sie niemals unaufgefordert nach persönlichen oder finanziellen Daten fragen. Wenn Sie nach persönlichen Daten gefragt werden, sollten Sie überprüfen, ob der Absender der E-Mail echt ist.

7. Gefühl der Dringlichkeit

Viele Phishing-Angriffe enthalten Nachrichten, die vor Problemen mit Ihrem Konto oder mit Ihrer Zahlung warnen. Der Phisher versucht so, Sie schnell und unüberlegt zum Handeln zu bewegen.

Wenn Sie einen dringenden Handlungsbedarf erhalten, denken Sie daran, dass die meisten Unternehmen Ihre Kunden nicht mit Drohungen einer Sperrung oder kurzfristigen Zahlungen per E-Mail kontaktieren würden.

In diesen Fällen ist es noch wichtiger, die Links in der Nachricht und die Absenderadresse zu überprüfen. Am besten ist es, wenn Sie sich auf der Website des Unternehmens anmelden und dort schauen, ob Sie eine Nachricht bekommen haben.

8. Die Nachricht ist zu schön, um wahr zu sein

Es tut uns leid, Ihre Blase zum Platzen zu bringen, aber bei jeder Nachricht, die angibt, dass Sie einen Gutschein oder Preis gewonnen haben, handelt es sich höchstwahrscheinlich um einen Phishing-Angriff.

Wir sind uns sicher, dass es wesentlich mehr Arbeit erfordert, als nur Ihre persönlichen Daten in eine Webseite einzugeben. Sie müssen also sehr vorsichtig sein und alle wichtigen Give-aways überprüfen.

Sie haben eine Phishing-Mail erhalten?

Wenn Sie glauben, dass Sie eine Phishing-E-Mail erhalten haben, folgen Sie unserer Empfehlung.

• Klicken Sie nicht auf Links, öffnen Sie keine Anhänge oder Bilder.

• Versuchen Sie nicht, dem Absender zu antworten.

Wir empfehlen stattdessen die folgenden Schritte:

• Melden Sie den Betrug (leiten Sie die E-Mail an die FTC weiter: spam@uce.gov).

• Löschen Sie die E-Mail von Ihrem Computer.

Informieren Sie das gefälschte Unternehmen und den E-Mail-Service-Provider (ESP), von dem die Phishing-E-Mail stammt. Sobald sie auf die Situation aufmerksam gemacht wurden, können das betreffende Unternehmen und der E-Mail-Anbieter daran arbeiten, die Reichweite des Spammers, der diese Nachrichten verschickt, zu verringern.

Was Sie tun sollten, wenn Sie Opfer eines Phishing-Angriffs geworden sind

Wenn Sie Opfer eines Phishing-Angriffs geworden sind, müssen Sie zuerst unbedingt sofort alle Ihre Passwörter ändern. Es empfiehlt sich, nicht nur das Passwort für den Dienst zu ändern, dessen Identität der Phisher möglicherweise annimmt, sondern alle Passwörter.

Verwenden Sie künftig einen Passwortmanager, um das Risiko zu verringern, und stellen Sie sicher, dass Sie eine Antiviruslösung mit aktuellen Funktionen für sicheres Surfen im Internet installiert haben.

Außerdem ist es immer gut, sich an den Dienstanbieter zu wenden, der in der Phishing-Attacke nachgeahmt wurde, und dessen zusätzliche Anweisungen zu befolgen.

Best Practices für Unternehmen: Wie Sie Ihre Kunden vor E-Mail-Phishing schützen können

In diesem Abschnitt erfahren Sie, wie Sie effektive Schutzmaßnahmen implementieren können, um sich und Ihre Kunden vor den Gefahren des E-Mail-Phishings zu bewahren.

Stellen Sie beispielsweise sicher, dass Sie eine Zwei-Faktor-Authentifizierung und andere Sicherheitsmaßnahmen (SMS, Authentifizierungs-App, Hardware-Token usw.) verwenden, um zu verhindern, dass Kriminelle die Anmeldedaten eines Mitarbeiters stehlen und so möglicherweise auf sensible Informationen zugreifen können.

Schulen Sie Ihre Mitarbeiter über aktuelle Sicherheitsverfahren

Bevor es zu einem Phishing-Angriff kommt, sollten Sie Ihr Unternehmen bestmöglich schützen, indem Sie proaktiv handeln.

Dies geschieht, indem Sie sicherstellen, dass Ihre Mitarbeiter entsprechend geschult sind, um einen Angriff zu erkennen. Führen Sie regelmäßige Sicherheitsschulungen für Ihre Mitarbeiter durch, damit diese einen Phishing-Angriff erkennen können, und wissen, was in einem solchen Fall zu tun ist.

Testen Sie danach die Effektivität Ihrer Schulungen. Durch simulierte Phishing-Angriffe können Sie die Effektivität der Bewusstseinsschulung für die Mitarbeiter ermitteln und feststellen, bei welchen Mitarbeitern noch Wissenslücken bestehen.

Verwenden Sie Browsererweiterungen für einen erhöhten Schutz. Installieren oder aktivieren Sie ein Web-Tool, das schädliche Webseiten für Sie identifiziert, um so festzustellen, dass die von Ihnen gefundene Webseite legitim ist. Beispiel:  Signal Spam Plugin.

Verwenden Sie die BIMI-Authentifizierung

BIMI (Brand Indicators for Message Identification) ist ein innovatives E-Mail-Authentifizierungsprotokoll, das Markenlogos direkt im E-Mail-Posteingang anzeigt, um die Legitimität zu bestätigen.

Mit BIMI wird die Echtheit des Absenders durch bestehende Authentifizierungsmethoden wie DMARC, SPF und DKIM verifiziert. Es erleichtert es, legitime E-Mails von vertrauenswürdigen Quellen zu erkennen, wodurch das Risiko minimiert wird, dass Ihre Kunden auf Phishing-Betrüger hereinfallen, die sich als Ihr Unternehmen ausgeben könnten.

Klären Sie Ihre Kunden über bewährte Sicherheitspraktiken auf

Geben Sie ihren Kunden das richtige Werkzeug an die Hand und versuchen Sie die Informationen kurz und bündig zu vermitteln. Teilen Sie beispielsweise folgende Tipps mit ihnen:

• Geben Sie bei unaufgeforderten Informationsanfragen keine persönlichen Daten preis.

• Seien Sie vorsichtig bei Websites, die kein "HTTPS" in ihrer Webadresse haben.

• Bevor Sie auf die Nachricht antworten oder auf einen Link klicken, sollten Sie sich bei dem Unternehmen erkundigen, ob die E-Mail legitim ist.

• Umgehen Sie den Link in der Nachricht und geben Sie selbst eine vertrauenswürdige URL auf der Website des Unternehmens ein oder nutzen Sie die Lesezeichen-Funktion

• Öffnen Sie keine Nachrichten von unbekannten Absendern.

• Melden Sie Nachrichten sofort, bei denen Sie den Verdacht haben, dass es sich um Spam handelt.

• Verwenden sie die Zwei-Faktor-Authentifizierung (2FA).

Unterstützen Sie Ihre Kunden, wenn sie von einem Phishing-Angriff betroffen sind

Wenn Benutzer einen Phishing-Versuch erhalten, der scheinbar von Ihrem eigenen Unternehmen stammt, muss das Unternehmen sofort Maßnahmen ergreifen, um Benutzer zu unterstützen und zu schützen.

Seien Sie verfügbar und reagieren Sie sofort. Informieren Sie Ihre Mitarbeiter, wie sie zu reagieren haben und welche Informationen an Kunden gegeben werden sollen.

Überprüfen Sie die Bedrohung, um das Ausmaß und die Auswirkungen zu beurteilen. Stellen Sie fest, ob die Bedrohung innerhalb des Unternehmens entstanden ist oder ob es sich um eine gefälschte E-Mail handelt. Das Verstehen der Art der Bedrohung ist entscheidend für die Ausarbeitung einer wirksamen Reaktion.

Geben Sie Ihren Kunden ausdrückliche Hinweise zum Umgang mit verdächtigen E-Mails. Ermutigen Sie sie, nicht auf Links zu klicken, keine Anhänge herunterzuladen und persönliche Informationen nicht weiterzugeben.

Schaffen Sie ein zugängliches System für Benutzer, um Phishing-Versuche zu melden. Beauftragen Sie ein spezielles IT- oder Sicherheitsteam mit der Analyse dieser Berichte und der Rückverfolgung der Quelle des Angriffs. Dieser proaktive Ansatz kann Muster aufdecken und dazu beitragen, zukünftige Versuche zu verhindern.

Fazit: Vorsicht ist besser als Nachsicht

Es gibt diese Betrugsmethode schon seit fast 20 Jahren, aber Phishing stellt aus zwei Gründen auch weiterhin eine Bedrohung dar - es ist einfach durchzuführen und funktioniert.

Wenn Sie also auf eine Popup-Nachricht oder verdächtige E-Mails von einer unbekannten Person stoßen oder auf ein Unternehmen, dessen Service Sie nicht nutzen - klicken Sie nichts an.

Sie können nie vorsichtig genug sein, wenn es um die Nutzung des Internets geht. Treffen Sie vorbeugende Maßnahmen und stellen Sie sicher, dass Sie auf der sicheren Seite sind, wenn Sie Online-Einkäufe tätigen, oder Benutzernamen und Passwörter eingeben.