• Neueste Einträge

  • Kategorien

  • Blog-Übersicht
    • Phishing

    Phishing – Was ist das und was sollten Sie beachten?

    5. März 2024
    Immer auf dem Laufenden bleiben
    und hier den Newsletter abonnieren.

    Im Jahr 2020 verzeichnete das Bundeskriminalamt einen drastischen Anstieg von Phishing-Websites und Phishing E-Mails im Zusammenhang mit der Corona Pandemie. Im ersten Quartal 2023 wurde mit weltweit 1.624.144 gemeldeten Vorfällen bei der Anti-Phishing Working Group (APWG) der bisherige Höchststand in der Statistik erreicht.

    Was ist Phishing?

    Durch Phishing versuchen Kriminelle im Internet an persönliche Informationen wie Zahlungsdaten, Passwörter oder andere vertrauliche Informationen zu gelangen. Dafür geben Sie sich als vertrauenswürdige Quelle aus, etwa in Form von gefälschten E-Mails, Webseiten, Textnachrichten oder Popup-Benachrichtigungen. Ziel dieser Angriffe ist es, die Empfänger dazu zu bringen auf einen betrügerischen Link zu klicken, wodurch diese unter anderem sensible Daten preisgeben oder Malware herunterladen.

    Wie funktioniert Phishing?

    Phishing-Angriffe können für Einzelpersonen und Unternehmen gleichermaßen verheerende Folgen haben, von finanziellen Verlusten bis hin zu Datenschutzverletzungen und Rufschäden. Um die unterschiedlichen Methoden der Täter besser erkennen zu können, habe ich nachfolgend eine kurze Übersicht von sechs gängigen Vorgehensweisen zusammengestellt:

    1. Eine der bekanntesten Methoden ist das E-Mail-Phishing, bei der eine Massen-E-Mail an eine große Anzahl von Empfängern gesendet wird.Die das Opfer erhalten bei dieser Vorgehensweise eine E-Mail, die allem Anschein nach von einem vertrauenswürdigen Absender stammt. Klickt man auf den enthaltenen Link, wird z. B. Maleware auf das eigene Gerät heruntergeladen oder Sie werden aufgefordert, Ihre Daten auf einer vermeintlich bekannten Website zu aktualisieren. Damit geben Sie unbemerkt sensible Daten an die Täter preis.
    2. Das sogenannte Spear-Phishing richtet sich gezielter gegen einzelne Personen oder Organisationen. Die Angreifer recherchieren dafür persönliche Informationen ihrer potenziellen Opfer, etwa Name, die Position im Unternehmen und persönliche Interessen. Mit Hilfe dieser Informationen werden personalisierte E-Mails erstellt, die auf den Adressaten wirken, als seien sie von einem Kollegen, Vorgesetzten oder Bekannten versendet worden. Auch hier ist das Ziel der Diebstahl sensibler Daten, wie etwa der Zugriff auf Nutzerkonten oder ganze Unternehmensnetzwerke.
    3. Eine für die Täter noch aufwändigere Methode ist das sogenannte Whaling. Ziel einer solchen Phishing-Attacke sind „die ganz großen Fische“:  Geschäftsführer, CEOs oder andere Menschen mit wichtigen Positionen in Unternehmen. Diese Form der Betrugsmasche ist für die Täter mit sehr viel Recherche und Aufwand in der Vorbereitung der eigentlichen Tat verbunden. Gelingt der „unbemerkte Angriff“ jedoch, verschaffen sie sich so Zugriff auf wertvolle Firmendaten oder autorisieren unbemerkt Geldtransfers von großen Summen.
    4. Beim Popup-Phishing kommen Popup-Meldungen auf Websites zum Einsatz. Diese sollen die Nutzer dazu bringen, Schadsoftware herunterzuladen oder (Finanz-) Daten preiszugeben. Oft sind solche Popups als Update-Benachrichtigungen getarnt oder preisen sagenhafte Deals an, die Sie dazu verleiten sollen, vermeintliche Schnäppchen zu kaufen und dafür Ihre Zahlungsdaten preiszugeben.
    5. Fast jeder besitzt mittlerweile ein Smartphone – das machen sich Betrüger für Smishing zunutze. Das Grundprinzip, bei dem der Empfänger eine Nachricht mit einer einschlägigen Aufforderung von einem vermeintlich vertrauenswürdigen Absender erhält, bleibt gleich. Nur der Kanal wechselt – gesendet werden hier Textnachrichten via SMS oder über eine der diversen Messenger-Apps.
    6. Zuletzt möchte ich noch das Angler-Phishing erwähnen, bei dem sich Betrüger die Öffentlichkeit von Social-Media-Portalen zunutze machen. Beschwert sich etwa ein Nutzer über die Qualität eines Produktes, geben sich die Täter in einer Direktnachricht als Kundendienst des jeweiligen Anbieters aus. Das Hilfsangebot ist geknüpft an die Preisgabe vermeintlicher Kundendaten oder dem Login auf einer einschlägigen Internetseite. So können auch hier wieder Daten „gefischt“ oder Maleware auf dem System des Opfers installiert werden.

    Wie kann ich mich vor Phishing schützen?

    Grundsätzlich hilft es, eine gewisse Skepsis gegenüber unerwarteten Nachrichten an den Tag zu legen, auch wenn der Absender bekannte erscheint. Wirkt etwas an einer Nachricht ungewöhnlich, stimmt vielleicht ein Buchstabe in der Adresse des Absenders nicht oder ist die Farbe des mitgeschickten Firmenlogos anders als sonst? Wenn Sie skeptisch sind, überprüfen Sie die Authentizität des Absenders. Dazu können Sie unter anderem das betreffende Unternehmen über deren offizielle Kanäle kontaktieren und sich darüber die Echtheit der Nachricht bestätigen lassen. 

    Verdächtige Links in einer Nachricht sollten Sie niemals anklicken und Anhänge in verdächtigen Nachrichten niemals öffnen! Besonders wenn Sie bereits in der zugehörigen Nachricht aufgefordert werden, persönliche Informationen preiszugeben, ist Vorsicht geboten. Versuchen Sie stattdessen, die genannte Webseite über die Startseite der betroffenen Organisation zu erreichen.

    Um gezielte Phishing-Angriffe auf Sie persönlich zu vermeiden, helfen außerdem einfache Sicherheitsmaßnahmen:

    • Beenden Sie jede Online-Session durch einen regulären Log-Out, anstatt nur das Browserfenster zu schließen.
    • Geben Sie Ihre persönlichen Daten niemals auf Webseiten mit unverschlüsselter Verbindung preis. Ohne ein httpS:// in der Adresszeile ist eine Internetseite nicht verschlüsselt.
    • Achten Sie darauf, dass Ihre Firewall aktiv ist und Sie eine aktuelle Antivirus-Software nutzen.
    • Geben Sie keine oder möglichst wenig persönlichen Daten in öffentlichen Social-Media-Profilen preis. Diese könnten von Tätern für einen Angriff gegen Sie verwendet werden.

    Wer verdächtige Aktivitäten erkennt und angemessen reagiert, unterstützt damit auch andere. Durch das Melden von Phishingangriffen oder -versuchen helfen Sie, die Verbreitung von Phishing einzudämmen und die Sicherheit aller zu stärken. Die Verbraucherzentrale bietet dafür ein „Phishing Radar“ an. Hier können Sie aktuelle Warnungen abrufen sowie (privat) verdächtige Nachrichten weiterleiten und überprüfen lassen. Im Rahmen Ihrer beruflichen Tätigkeit sollten Sie Phishing direkt bei der IT Ihres Arbeitgebers melden.

    Bildquellen:

    • Login Information Attached To Large Hook Hanging In Front Of Com: Philip Steury (533250305) | stock.adobe.com

    Newsletter

    Bleiben Sie immer auf dem Laufenden, was wir zum Daten- und Informationsschutz zu berichten haben

    Abonnieren Sie jetzt gleich unseren Newsletter.

    Zur Anmeldung