180 Grad IT Bildmarke

Phishing-Angriff auf Ihr Unternehmen? – So können Sie sich schützen

Allgemein

Auf das „Petri Heil“ für einen guten Fischfang möchten wir an dieser Stelle verzichten, denn anders als beim Angeln geht es beim Phishing ziemlich konkret um Datendiebstahl. In unterschiedlichsten Formen verschaffen sich Cyberkriminielle Zugang zu persönlichen Informationen wie Adressen oder Kontodaten, um damit den Betroffenen zu schaden. Diese Form des Datenklaus ist aktuell wieder in einer Hochphase und viele Unternehmen werden dabei unbewusst zu Opfern.  Was Phishing genau ist, wie es sich äußert und wie Sie Ihr Unternehmen davor schützen können, erfahren Sie hier.

Was ist Phishing?

Unter dem Begriff des Identitätsdiebstahls lässt sich alles zusammenfassen, was das sogenannte Phishing ausmacht. Das Wort Phishing ist eine Wortneuschöpfung des englischen Begriffs fishing, also angeln, zusammen mit dem aus der Hacker-Sprache gebräuchlichen ph. Bei dieser seit Jahren bekannten Variante des Datendiebstahls geht es darum, die Nutzer durch täuschend echte E-Mails oder SMS auf nachgebaute Websites zu locken, um dort anhand von Formularen Kennungen und Passwörter abzugreifen. Diese werden später genutzt, um Konten zu plündern oder ganze Angriffsreihen auf Unternehmen durchzuführen.

Diese Form der Internetkriminalität setzt am vermutlich schwächsten Punkt der IT-Sicherheit eines jeden Unternehmens an: seinen Mitarbeitern. Diese werden getäuscht, um vermeintliche Sicherheitsrisiken zu umgehen und laufen damit direkt ins offene Messer. Das Vorgehen der Kriminellen beim Phishing ist bereits seit vielen Jahren bekannt und doch ist es eine der erfolgreichsten Angriffsmaschen bei nur geringem Aufwand.

Wie unterschiedlich Phishing betrieben werden kann, wird vor allem bei den Betroffenen deutlich. Die wohl häufigsten Angriffsmethoden sind Phishing-E-Mails, gefälschte Webseiten oder auch falsche Kurznachrichten.

Methoden der Täuschung

Phishing-E-Mails

Datendiebstahl über E-Mails ist die wohl häufigste Form beim Phishing. Sie treten in jeder nur denkbaren Form auf und werden inzwischen bis ins kleinste Detail originalen E-Mails nachgebaut. Der vermeintliche Absender variiert dabei ebenso stark wie die Darstellungsform: Vorgesetzte, Mitarbeiter, die eigene Bank. Online-Kaufhäuser oder viele mehr können als Absender eingesetzt und benutzt werden. Doch anhand verschiedener Merkmale lassen sich auch Phishing-Mails leicht enttarnen, sodass wachsame User die Chance haben, angemessen darauf zu reagieren.

Umso wichtiger ist es, mit einem Spam-Filter im E-Mail-Programm zu arbeiten. Diese können zumindest einen Großteil der gefährlichen Webmails herausfiltern. So kommt zumindest nur noch ein geringerer Prozentsatz auch tatsächlich bei Mitarbeitern oder Endverbrauchern an. Doch auch das beste Anti-Spam-Programm kann nicht zu einhundert Prozent entscheiden, ob es sich dabei um unerwünschte oder erwünschte Post handelt.

Spear-Phishing

Bei einem neueren Verfahren, dem sogenannten Spear-Phishing, werden gezielt Personengruppen angeschrieben, um die Relevanz einer gefälschten Phishing-Mail zu erhöhen und damit die mögliche Erfolgsquote des Datendiebstahls zu steigern. Die Phishing Mails werden damit quasi auf die Zielpersonen maßgeschneidert. Die konkreten Kontaktdaten werden über perfide Wege erreicht, teils wochenlang zusammengetragen und die Betroffenen dann mit vermeintlich wichtigen Nachrichten angesprochen. Durch die konkrete Adressierung zusammen mit der Relevanz des Themas wird erreicht, dass die Trefferquote höher ist als bei Standard-Phishing-Mails.

Webseite / Landing Page

Wenn Phishing über sogenannte Landing Pages versucht wird, ist der häufigste Weg über die Nachahmung eines vertrauenswürdigen Internetauftrittes. Die Täter bauen Webseiten von Banken, Shops oder mehr nach und kopieren dafür meist den gesamten Unternehmensauftritt mit Firmenlogo, Schriftarten oder Layouts. Das macht die Phishingseiten besonders schwer identifizierbar. Die potenziellen Opfer werden dann dazu aufgefordert ihre Daten in ein spezielles Formular einzugeben. Diese werden an unmittelbar mit Absenden des Formulars an die Kriminellen weitergeleitet.

Die Verbreitung dieser Webseiten findet nicht nur über E-Mails statt, sondern sie werden beispielsweise auch in Foren oder sozialen Netzwerken gestreut.

SMS

Beim SMS-Phishing, oder auch SMi Shing, werden Infolinks verschickt, die bei einem Klick sogenannte Malware, wie etwa Trojaner, auf das System lassen. Ein gutes Beispiel sind hier Bestätigungslinks für Newsletter. Wer den Newsletter nicht möchte klickt auf „Abmelden“, doch hier lauert die Gefahr des Datendiebstahls.

Systeme, Netzwerk und Anwender schützen

Mobile Device Management

Worauf es Cyber-Kriminelle abgesehen haben

Beim Phishing gibt es ein klares Ziel: Mit jeder Maßnahme sollen persönliche Daten im Internet abgegriffen werden, um damit den Betroffenen unmittelbar zu schaden. Angriffsziele sind dabei vor allem Zugangsdaten beispielsweise für Onlineshops, Online-Banking oder bargeldlose Bezahlsysteme wie Kreditkarten, PayPal und andere. Hat ein Hacker diese Daten abgefischt, kann er sich damit problemlos Zugang zu persönlichen Konten verschaffen und mit der Identität des Opfers Schaden anrichten. So etwa durch Überweisungen auf fremde Konten, ohne, dass es der Eigentümer eines Kontos zunächst merkt.

Phishing enttarnen, Betrüger auffliegen lassen

Wer mit offenen Augen im Internet unterwegs ist, kann bereits viele Phishing-Versuche von vornherein enttarnen. Eine gesunde Skepsis ist dabei immer die beste Verteidigung. Doch auch anhand grafischer und inhaltlicher Ungereimtheiten lassen sich Phishing-Versuche schnell enttarnen.

Für einen Überblick haben wir die häufigsten Abweichungen einmal zusammengestellt, anhand denen man die Echtheit einer Phishing-Attacke nachprüfen kann

  • Rechtschreibung, Grammatik und Zeichensetzung

    Wer in einer E-Mail bereits in der ersten Zeile zahlreiche grammatikalische Fehler entdeckt, bei dem sollten die Alarmglocken angehen. Bei diesem Punkt sind gefälschte Mails am schnellsten zu durchschauen: Fehler in der Rechtschreibung, falsche Satzstellung oder fehlende Satzzeichen sind Indizien dafür, dass ein Online-Übersetzer im Spiel war. Auch Buchstaben aus einem anderen Zeichensystem, wie kyrillisch oder arabisch, sollten zur Vorsicht anleiten.

  • Mails in fremder Sprache

    Auch wer nicht regelmäßig Informationen und E-Mails aus dem Ausland in fremder Sprache erhält, sollte bei fremdsprachigen Nachrichten vorsichtig sein. Hat man nicht sowieso mit ausländischen Unternehmen oder Banken zu tun, könnte auch in der Sprache ein Indiz für ungewöhnliche Anfragen liegen. Bei einer deutschen Bank können Sie sich sicher sein, dass diese, wenn überhaupt, auch nur primär deutschsprachige Informationen zukommen lassen wird.

  • Fehlende Kontaktinformationen

    Ganz klar: wichtige Informationen erhalten Sie stets personalisiert. Ansprachen wie „Sehr geehrter Kunde“ zeigen bereits an, dass es sich um meine Massenmail handelt. Doch vor allem beim Spear-Phishing kann es sein, dass die Täter bereits ihren Namen kennen. Dadurch verleihen sie der Nachricht Glaubwürdigkeit. Wenn aber dennoch Kontaktmöglichkeiten fehlen sollte man weiterhin skeptisch bleiben.

  • Kurze Fristen für eine Reaktion

    Online-Kriminelle möchten Zeitdruck ausüben, denn die Zeitspanne bis die Täuschung auffällt, ist kurz. Wenn E-Mails dringende Aufforderungen enthalten, kurze Fristen, in denen man schnellst möglich handeln sollte, zeigen, dass man erst einmal langsam machen kann. Vor allem dann, wenn gleichzeitig auch mit möglichen Konsequenzen gedroht wird.

  • Eingabe von Geheimdaten

    Ein Grundgesetz beim Online-Banking oder digitalen Zahlungsdienstleistern: Niemals werden persönliche Daten wie PINs oder TANs telefonisch oder über eine E-Mail abgefragt. Sollte das jemals vorkommen, können Sie mit Sicherheit davon ausgehen, dass es sich um eine Phishing-Nachricht handelt. Im Zweifel ist die Rücksprache mit dem Unternehmen oder der Bank ratsam.

  • Dateianhang öffnen

    Eine bekannte Masche im Netz, die trotzdem in unzähligen Fällen funktioniert, ist das Phishing per Dateianhang. Empfänger einer Phishing-Mail werden darin aufgefordert eine Datei im Anhang oder in einem Downloadlink zu öffnen. Zu schnell ist der Klick geschehen und ein Malwareprogramm heruntergeladen. Doch vor allem bei unbekannten Absendern oder nicht erwarteten E-Mails sollte man solche Anhänge niemals herunterladen oder öffnen. Ist man unsicher, ob es sich wirklich um wichtige Anhänge handelt, sollte man kurz Rücksprache mit dem eigenen Systemadministrator halten oder bei dem Absender nachfragen was und wozu der Dateianhang gedacht ist.

  • Formulare

    Vor allem bei Banken kann man sicher sein, dass wichtige Informationen niemals per E-Mail kommen werden. Und noch wichtiger: Unter keinen Umständen werden persönliche Bankdaten in einem Formular abgefragt. Erhält man eine Mail, die dazu auffordert können Sie sich sicher sein, dass gerade ein Phishing-Angriff auf Sie gestartet wurde.

    Aber auch bei anderen Online-Diensten werden Formulare regulär nicht per E-Mail verschickt. Misstrauisch sollte man vor allem dann werden, wenn man bisher keinerlei Kundenbeziehung zu dem Absender hatte.

180° Tipp

Für jemanden, der sich mit dem Aufbau einer E-Mail schon etwas auskennt, gibt es noch eine Variante, gut gefälschte Phishing-Mails zu enttarnen. Selbst wenn keiner der vorherigen Hinweise auf möglicherweise falsche Mails zutrifft, gibt der sogenannte Mail-Header genaueren Aufschluss. Hier sind alle Angaben zum Absender und Empfänger über Programmiersprache hinterlegt. Unter anderem auch die IP-Adresse des Absenders. Diese kann nicht gefälscht werden und zeigt deshalb genau an, woher die E-Mail stammt.

Schutz vor Phishing – Das können Sie tun

Auch wenn viele Indizien für einen Phishing-Versuch bereits bekannt sind, gibt es doch immer wieder perfide Methoden der Täuschung, die Ahnungslose schnell zum Opfer eines Datenklaus machen. Umso wichtiger ist es, Mitarbeiter für solche Gefahren zu sensibilisieren. Nur wenn die Gefahr dieser Angriffe bewusst ist, ist man auch bereit, entsprechende Sicherheitsmaßnahmen umzusetzen. Denn ein falscher Klick kann bereits großen Schaden anrichten. Doch wie kann man sich und sein Unternehmen nun schützen?

  1. Links genau prüfen
  2. Daten nur auf verschlüsselten Seiten (Webadresse mit https) eingeben
  3. Auch Nachrichten von Freunden und Familie genau prüfen. Die Bekannten könnten auch gehackt worden sein.
  4. Bei Zweifeln: Nachfragen.
  5. Herkunft der Nachricht prüfen, auch wenn die Seite täuschend echt aussieht.
  6. Links nicht anklicken, sondern die URL manuell in das Browser-Fenster eintippen.
  7. Phishing-Attacke melden, sobald sie enttarnt ist und damit helfen, Täter zu stoppen.
  8. Im öffentlichen WLAN vermeiden Bankgeschäfte zu tätigen, denn auch öffentliche Netzwerke können gefälscht werden.
  9. Betriebssystem, Browser und Mailprogramm aktuell halten und regelmäßig updaten.
  10. Maßnahmen zum Schutz der IT-Infrastruktur ergreifen, um potenzielle Bedrohungen besser herauszufiltern

Technisch vorsorgen

Auch wenn es keinen 100 prozentigen Schutz vor einem Hackerangriff oder Identitätsdiebstahl geben kann, sind einige technische Maßnahmen Grundvoraussetzung, damit der Datendiebstahl nicht unkontrollierbare Ausmaße annimmt.

Eine funktionierende Firewall zum Schutz ihrer Infrastruktur stellt dabei ein notwendiges Minimum dar. Außerdem kann ein Sperrkatalog eingespielt werden, der mithilfe eines Webfilters regelmäßig um gefälschte Webseiten erweitert wird. Spamfilter und Virenfilter sorgen dafür, dass kritische E-Mails bereits von vornherein herausgefiltert werden. Mit einer Erkennung von 99,9 % arbeiten diese Systeme bereits sehr gut für den Schutz und können einen großen Anteil der Spam-Mails blocken. Regelmäßige System-Backups sorgen dafür, dass im Ernstfall schneller alle wichtigen Daten wiederhergestellt werden können. Auch Systeme und Anwendungen sollten regelmäßig upgedatet werden, um einen aktuellen Stand hinsichtlich der systemeigenen Sicherheitsvorkehrungen zu erhalten.

IT-Sicherheitscheck zeigt Risiken auf

Wer von den vielen Aufgaben hinsichtlich der IT-Sicherheit jetzt erst einmal überfordert ist, für den lohnt es sich, einen IT-Sicherheitscheck durchführen zu lassen. Dieser gibt Aufschluss darüber, welche Vorkehrungen bereits getroffen wurden und wo noch etwas zu tun ist. Der Check wird von professionellen IT-Dienstleistern durchgeführt und zeigt Schwachstellen und Risiken so auf, dass man darauf reagieren kann. Auch bei der Umsetzung und Durchführung entsprechender Präventionsmaßnahmen können IT-Dienstleister helfen, damit nicht noch mehr Unternehmen dem Phishing zum Opfer werden.

Auch interessant

Vorheriger Beitrag
Microsoft beendet Support für Windows 7 – Das können Sie jetzt tun

Ähnliche Beiträge

Menü