Phishing

Worum geht es?

Der Begriff Phishing ist eine Zusammensetzung aus den englischen Worten „Password“ und „Fishing“ und beschreibt sozusagen das „Fischen nach Passwörtern“. Angreifer verfolgen mit Phishing Angriffen also das Ziel, sich Zugangsdaten zu erschleichen.

Die Angriffe erfolgen in der Regel über E-Mail-Nachrichten, in denen der Angreifer dem Empfänger suggeriert, ein vertrauenswürdiger Kommunikationspartner zu sein (z.B. eine Bank oder der Geschäftsführer des Unternehmens). Die E-Mails enthalten dann die Aufforderung, auf einen Link zu klicken, der auf eine gefälschte Webseite führt, damit das Opfer dort seine Zugangsdaten in eine Maske einträgt. Als Gründe werden z.B. Sicherheitslücken, durch die sich eine Verifikation der Zugangsdaten bedingen würde, oder die Sperrung eines Kontos, die sich nur durch die Eingabe der Zugangsdaten verhindern ließe, angeführt. Gibt das Opfer die Zugangsdaten ein, werden diese an die Angreifer übermittelt. Diese nutzen die Daten dann für Identitätsdiebstähle, Kontoplünderungen oder um Schadsoftware innerhalb eines Unternehmens zu verbreiten.  

In manchen Fällen erfolgt auch die direkte Aufforderung, eine Überweisung zu tätigen.

Arten von Phishing

Es gibt verschiedene Techniken für Phishing Attacken. Die bekannteste Art des Phishings findet durch die spamartige Versendung von Massenmails statt. Diese werden wahllos an zahlreiche E-Mail-Adressen verschickt und sind in der Regel deutlich als falsche E-Mails erkennbar. 

Cyberkriminelle verbessern ihre Techniken jedoch kontinuierlich, um die Phishing Mails täuschend echt wirken zu lassen. Eine Methode ist das „Spear Phishing“. Hier versenden die Angreifer ihre E-Mails maßgeschneidert an die Opfer. Die Angreifer geben sich dabei zum Beispiel als Führungskraft des Unternehmens aus, um das Opfer zu den schädlichen Handlungen zu verleiten (sogenanntes „Social Engineering“).

Eine weitere Methode ist das Clone Phishing. Hierbei kopiert der Angreifer eine echte E-Mail und tauscht den darin vorhanden legitimen Link mit einem falschen Link aus. Um den Empfänger zu der gewünschten Handlung zu bewegen, wird dann zum Beispiel suggeriert, dass es Probleme bei der ersten E-Mail gab.

Jedoch agieren Cyberkriminelle nicht immer nur aus dem Verborgenen. Über das Vishing (Voicecall-Phishing) werden Kriminelle auch persönlich aktiv und rufen Personen an. Meist geben sie sich als IT-Service-Mitarbeiter von Microsoft oder der eigenen Unternehmens-IT aus. Häufig wollen die Personen Probleme entdeckt haben, für die sie zur Behebung entweder die Zugangsdaten benötigen, Personen auffordern, ihre Daten auf einer bestimmten Webseite zur Authentisierung einzutragen oder auch die Installation einer Software zur Fernwartung verlangen. Dabei können Telefonnummer-Emulatoren zum Einsatz kommen, um den Anschein zu erwecken, dass der Anruf tatsächlich aus dem Unternehmen stammt.

Phishing stellt eine reale Bedrohung für Unternehmen dar

Cyberkriminelle sind sehr kreativ, um an Daten zu gelangen, und verbessern ihre Techniken stetig weiter. Gut gemachte Phishing E-Mails können Mitarbeiter leicht dazu verleiten, Zugangsdaten an die Angreifer preiszugeben, was erheblichen Schaden für das Unternehmen bedeuten kann. Es ist daher essentiell, dass Sie Ihre Daten mithilfe von technischen und organisatorischen Maßnahmen vor Phishing Attacken schützen, um Schäden von Ihrem Unternehmen abzuwenden.

Wir von ENSECUR beraten Sie gerne. Nehmen Sie Kontakt mit uns auf!

Hilfreicher Link:

Verfasser: Bastian Maute, 24.09.2021

Sie wollen mehr erfahren? Lassen Sie sich von uns beraten und nehmen Sie jetzt Kontakt auf!