Introducing G2.ai, the future of software buying.Try now
E-Mail-Anti-Spam Kategorie

Was ist Phishing? Wie man Angriffe erkennt und verhindert

18. Februar 2022
Mara Calvello
MC
von Mara Calvello

In diesem Beitrag

In diesem Beitrag

Im Kampf gegen Online-Betrug gibt es nie einen Punkt.

Bösartige Hacker suchen ständig nach Möglichkeiten, Schwachstellen auszunutzen und Phishing-Angriffe durchzuführen. Phishing ist ein Versuch, eine Person zu täuschen, um sensible Informationen preiszugeben, die Angreifer für Identitätsdiebstahl oder eine andere Art von Betrug verwenden. Sie treten in verschiedenen Formen auf und könnten Sie mit gefälschten E-Mails oder Anrufen täuschen, um Ihre persönlichen oder finanziellen Daten zu stehlen.

Cyberkriminelle nutzen Phishing hauptsächlich, um Informationen zu stehlen: Bankdaten, Kreditkartennummern, Kontologins, Passwörter usw. Die Gefahr, dass solche Informationen ausgenutzt werden, besteht darin, dass es zu Identitätsdiebstahl und finanziellem Verlust führen kann.

Viele Organisationen verwenden E-Mail-Anti-Spam-Software, um ihre Mitarbeiter vor Phishing-Kampagnen zu schützen.

Was ist Phishing?

Phishing ist eine Methode, um Benutzerinformationen durch betrügerische Kommunikation zu erhalten, die direkt auf Personen abzielt. Dies geschieht normalerweise durch betrügerische E-Mails, die als legitime getarnt sind und Menschen dazu bringen, sensible Informationen preiszugeben.

Im Wesentlichen besteht das Ziel eines Cyberkriminellen, der einen Phishing-Betrug durchführt, darin, Sie zu täuschen, normalerweise mit E-Mails als Waffe, um Ihnen die gewünschten Informationen zu entlocken. Angreifer täuschen Empfänger dazu, bösartige Links zu öffnen, was zu Malware- oder Ransomware-Infektionen führt.

Phishing-Angriffe können Teil eines größeren Datenlecks sein, wie z.B. einer Advanced Persistent Threat (APT). Bösartige Hacker täuschen Benutzer mit Phishing-Versuchen, um auf das geschlossene Netzwerk und sensible Informationen einer Organisation zuzugreifen. Unternehmen sollten ihre Belegschaft regelmäßig schulen, um sicherzustellen, dass Mitarbeiter und Auftragnehmer über moderne Phishing-Techniken informiert sind.

Ein Phishing-E-Mail kann beispielsweise den Empfänger dazu ermutigen, auf einen bösartigen Link zu klicken, einen Bildanhang zu öffnen oder eine Datei herunterzuladen. Es enthält normalerweise ein Element der Dringlichkeit, Angst oder manchmal Gier. Sie müssen vorsichtig mit E-Mails oder Phishing-Nachrichten sein, die über einen Kurznachrichtendienst (SMS) kommen und eines dieser Gefühle in Ihnen hervorrufen.

Wie Phishing funktioniert

Typischerweise verlassen sich Phishing-Angriffe auf verschiedene Methoden des sozialen Netzwerks, die auf E-Mail oder andere Kommunikationsmethoden wie Textnachrichten oder Instant-Messaging-Plattformen angewendet werden. Phisher können auch Social Engineering verwenden, um Informationen über das Opfer herauszufinden, einschließlich wo sie arbeiten, ihren Jobtitel, Hobbys, Interessen, Aktivitäten usw.

Angreifer verwenden diese Informationen, um eine glaubwürdige E-Mail-Nachricht zu verfassen. Diese bösartigen E-Mails beginnen typischerweise mit einem Link oder einem Anhang, den der Empfänger anklicken oder öffnen soll. Darüber hinaus ist der Inhalt in der Regel schlecht geschrieben mit falscher Grammatik.

Es läuft so ab: Sie erhalten eine Nachricht, die von einer Person zu stammen scheint, die Sie kennen, oder von einer Organisation, die Sie erkennen. Angreifer bewaffnen diese Nachricht mit einem bösartigen Dateianhang oder Link, der Phishing-Software enthält. 

Es fordert Sie auf, Malware auf Ihrem Gerät zu installieren oder Sie auf eine gefälschte Website umzuleiten, die Sie dazu verleitet, Ihre persönlichen Informationen wie Passwörter oder Kreditkarteninformationen einzugeben.

Oder Sie erhalten eine E-Mail vom CEO Ihres Unternehmens, wobei die E-Mail-Adresse nur leicht falsch geschrieben ist. Die Nachricht lautet: "Geben Sie mir Ihre Nummer, ich brauche Sie, um eine Aufgabe für mich zu erledigen." Da dies der CEO Ihres Unternehmens ist (oder Sie denken es zumindest), antworten Sie mit Ihrer Telefonnummer, nur um eine SMS zu erhalten, die Sie auffordert, eine Aufgabe zu erledigen, die keinen Sinn ergibt, wie z.B. eine Menge Amazon-Geschenkkarten zu bestellen. Ich spreche nicht aus Erfahrung oder so.

Möchten Sie mehr über E-Mail-Anti-Spam-Software erfahren? Erkunden Sie E-Mail-Anti-Spam Produkte.

Arten von Phishing-Angriffen

Genau wie es viele Fische im Meer gibt, gibt es mehrere Arten von Phishing-Versuchen, denen Sie zum Opfer fallen könnten.

  • Spear Phishing: Spear Phishing ist ein E-Mail-Betrug, der auf eine Einzelperson, ein Unternehmen oder eine Organisation abzielt, um persönliche Daten wie Finanzinformationen oder Kontozugangsdaten zu stehlen, um die Person dazu zu bringen, zu glauben, dass sie eine reale Verbindung zum Absender hat.
  • Whaling-Angriff: Whaling ist ähnlich wie Spear Phishing, jedoch in einem viel größeren Maßstab. Diese E-Mails haben normalerweise eine Betreffzeile über eine "kritische" geschäftliche Angelegenheit und werden an jemanden in der oberen Führungsebene innerhalb eines bestimmten Unternehmens oder einer Organisation gesendet. Das Ziel von Whaling-Angriffen ist es, einen Computer mit Malware zu infizieren und die Geschäftsemail-Zugangsdaten von Führungskräften zu erhalten, um betrügerische Überweisungen durchzuführen.
  • CEO-Betrug: Wenn ein Whaling-Angriff erfolgreich ist, tritt CEO-Betrug auf. Angreifer imitieren erfolgreich die E-Mail des CEOs und missbrauchen sie, um Überweisungen an ein Finanzinstitut ihrer Wahl zu genehmigen.
  • Pharming: Diese Methode stammt aus einer Manipulation des Domain Name System (DNS)-Caches. Das Internet verwendet DNS-Server, um Webseitennamen in numerische IP-Adressen umzuwandeln. Der Angreifer zielt dann auf den DNS-Server ab und ändert die IP-Adresse, sodass der Angreifer Benutzer auf eine bösartige Website umleiten kann, selbst wenn sie die richtige URL eingeben.
  • Voice Phishing: Auch bekannt als Vishing, ist dies eine Form des Phishings über Sprachkommunikationsmedien. Mithilfe von Sprachsynthesesoftware hinterlässt ein Angreifer eine Voicemail, die das Opfer über verdächtige Aktivitäten auf seinem Bankkonto oder Kreditkonto informiert und das Opfer auffordert, zu antworten, um seine Identität zu verifizieren. Dies führt zu Identitätsdiebstahl, nach dem Betrüger kompromittierte Kreditkartennummern für ihre bösartigen Zwecke verwenden.

Wie man einen Phishing-Versuch erkennt

Es kann schwieriger sein, als Sie denken, eine Phishing-E-Mail zu erkennen, da sie normalerweise von einem bekannten Unternehmen oder jemandem (von dem Sie denken) gesendet wird, den Sie kennen. Vor allem, wenn es das richtige Firmenlogo enthält, was es legitim erscheinen lässt. Angreifer strukturieren Links so, dass sie so echt wie möglich aussehen, mit nur einem oder zwei Zeichen Unterschied. Dies sind die Warnzeichen, auf die Sie achten sollten, damit Sie nicht Opfer eines Phishing-Angriffs werden.

  • Der Link enthält eine Subdomain oder eine falsch geschriebene URL.
  • Es wird von einem Gmail-Konto anstelle eines Unternehmens- oder Geschäftsemail-Kontos gesendet.
  • Die Nachricht besitzt ein Gefühl der Dringlichkeit oder Angst.
  • Die Nachricht fordert Sie auf, persönliche Informationen wie ein Passwort zu verifizieren.
  • Es ist schlecht geschrieben mit Rechtschreib- und Grammatikfehlern.
  • Die Nachricht ist nicht persönlich an Sie adressiert und lautet stattdessen "Sehr geehrter Kunde".
  • Der Inhalt ist zu gut, um wahr zu sein, wie z.B. dass Sie ein iPhone oder einen üppigen Preis gewonnen haben.
  • Die Nachricht enthält Drohungen, die implizieren, dass schlimme Umstände eintreten werden, wenn Sie nicht folgen.

Zusätzlich dazu, die roten Flaggen zu kennen, auf die man achten sollte, können Sie auch einen Schritt weiter gehen, indem Sie Spam-Filter verwenden, um E-Mail-Nachrichten, Inhalte und Anhänge auf potenzielle Bedrohungen zu scannen.

Nachfolgend sind führende E-Mail-Anti-Spam-Software aufgeführt, die Organisationen verwenden können, um sich gegen E-Mail-Phishing-Angriffe zu schützen. 

 

  1. Proofpoint Email Security and Protection

  2. Avanan Cloud Email Security

  3. SaneBox

  4. SpamTitan Email Security

  5. Everest (ehemals 250ok und Return Path)

*Dies sind fünf führende E-Mail-Anti-Spam-Software aus dem G2 Winter 2022 Grid Report.

Beispiele für Phishing-Angriffe

Moderne Angreifer verstehen, wie Organisationen ihre Vermögenswerte schützen. Hacker entwickeln neue Wege, um Zugang zu Systemen zu erhalten, indem sie diese Verteidigungen austricksen, und möglicherweise der einfachste Weg ist, Menschen zu täuschen. Menschen sind das schwächste Glied in der Cybersicherheit einer Organisation. 

Nachfolgend sind einige Beispiele für Phishing-Angriffe aufgeführt, die bösartige Hacker durchführen, um auf sensible Informationen zuzugreifen.

  • Angreifer geben sich als CEO oder Führungsteam eines Unternehmens aus und fordern dringende Aufmerksamkeit für einen Bericht oder einen Anhang. Mitarbeiter reagieren schnell auf verdächtige E-Mails aus Angst oder einem Verantwortungsgefühl gegenüber dem Unternehmen und seiner Führung.
  • Passwort-Reset-E-Mails fallen in Ihren Posteingang, um Sie an ein ablaufendes Passwort zu erinnern. 
  • Bösartige Hacker geben sich als Ihr Kollege aus und senden E-Mails über ein sensibles Dokument mit Ihrem Namen, das im Druckerfach liegt. Sie könnten ein erfundenes Bild anhängen, das beim Herunterladen Malware bereitstellen kann.
  • Manchmal leiten Angreifer Sie auf eine bösartige Seite um, die genau wie die echte aussieht, und zwingen Sie, Benutzeranmeldeinformationen einzugeben. Andererseits können Angreifer Schwachstellen ausnutzen und Sitzungscookies durch aktivierte bösartige Skripte kapern, was zu einem reflektierten Cross-Site-Scripting (XSS)-Angriff führt.

Während Phishing alltäglichen Menschen passiert, gab es einige Angriffe, die in den Mainstream-Medien für Aufsehen gesorgt haben.

Zum Beispiel veröffentlichte das Federal Bureau of Investigation (FBI) am 16. Februar 2022 eine Warnung über US-Auftragnehmernetzwerke, die ins Visier genommen wurden, um auf sensible Verteidigungsdaten zuzugreifen. Die Cybersecurity and Infrastructure Security Agency (CISA) beobachtete, dass Bedrohungsakteure Spear Phishing, Credential Harvesting und Brute-Force-Angriffe gegen schwache Netzwerke und Konten einsetzten. Das FBI fügte hinzu: "Böse Akteure nutzen unethisch ahnungslose Mitarbeiter, ungepatchte Systeme und einfache Passwörter aus, um anfänglichen Zugang zu erhalten, bevor sie sich seitlich durch das Netzwerk bewegen, um Persistenz zu etablieren und Daten zu exfiltrieren."

Wie man Phishing-Angriffe verhindert

In den letzten Jahren ist Phishing zu einem bedeutenden Problem für Unternehmen geworden. Da Phishing-E-Mails schwerer zu identifizieren sind, rutschen sie wahrscheinlich durch die Maschen, wenn sie an die Posteingänge der Mitarbeiter gesendet werden. 

Während Spam- und Phishing-Versuche schwer zu identifizieren sein können, gibt es einige wesentliche Unterschiede, die Ihnen helfen können, das Echte vom Falschen zu trennen. Spam-E-Mails können wie legitime Unternehmens-E-Mails aussehen, mit offiziellen Logos oder Formulierungen, die sie vertrauenswürdig erscheinen lassen, aber sie haben oft Rechtschreibfehler in den Kopfzeilen oder Betreffzeilen. Phishing-E-Mails sind formeller in ihrer Sprache, enthalten jedoch Unregelmäßigkeiten, die verdächtig aussehen.

Zum Beispiel wäre eine E-Mail, die um eine dringende Überweisung bittet, ziemlich ungewöhnlich, wenn sie von der Finanzabteilung eines Unternehmens gesendet wird. Die verwendete E-Mail-Adresse kann auch sehr unterschiedlich sein.

Es ist ein Missverständnis, dass Phishing normalerweise Menschen passiert, die das Internet zu viel nutzen. Das ist nicht der Fall. Jeder kann Opfer von Phishing werden, selbst wenn Sie das Internet nur selten nutzen. Der beste Weg, sich vor Online-Betrug zu schützen, besteht darin, Ihren Computer sicher zu halten und einige grundlegende Schritte zu befolgen, wenn Sie online sind.

Seien Sie sich bewusst, auf welche Links Sie klicken

Stellen Sie sicher, dass der Link, auf den Sie klicken möchten, direkt zur Website führt, die er vorgibt zu sein. Seien Sie vorsichtig bei Links, die wie andere aussehen, aber einen seltsamen Domainnamen in der URL haben (der Domainname ist die Adresse der Website). Dies kann auf einen Phishing-Betrug hinweisen.

Vermeiden Sie es, persönliche Daten preiszugeben

Wenn jemand Sie anruft oder Ihnen eine E-Mail sendet und nach persönlichen Informationen fragt, stellen Sie sicher, dass er seine Identität beweist. Es ist einfach für einen Betrüger oder Hacker, sich als jemand anderes auszugeben, also vertrauen Sie niemandem, es sei denn, Sie kennen ihn persönlich oder haben sichergestellt, dass er legitim ist.

Verwenden Sie sichere Websites

Wenn Sie online einkaufen, stellen Sie sicher, dass Sie eine Website mit Sicherheitsfunktionen wie einer grünen Leiste am unteren Bildschirmrand oder https:// vorne verwenden. HTTPS steht für Hypertext Transfer Protocol Secure, das sichere Kommunikation über ein Computernetzwerk ermöglicht. 

Niemand will der Köder sein

Vor allem, wenn es um einen Phishing-Angriff geht, kann es jedem passieren, also seien Sie besonders vorsichtig, bevor Sie eine mysteriöse E-Mail öffnen und auf einen Link klicken. Mit der Menge an persönlichen Informationen, auf die Sie online zugreifen können, ist es wichtiger denn je, dass Sie den zusätzlichen Schritt unternehmen, um sicherzustellen, dass Sie nicht zum Köder eines Cyberangriffs werden.

Erfahren Sie mehr über verschiedene Arten von Cyberangriffen und wie Sie Ihr Unternehmen dagegen schützen können.

Mara Calvello
MC

Mara Calvello

Mara Calvello is a Content and Communications Manager at G2. She received her Bachelor of Arts degree from Elmhurst College (now Elmhurst University). Mara writes content highlighting G2 newsroom events and customer marketing case studies, while also focusing on social media and communications for G2. She previously wrote content to support our G2 Tea newsletter, as well as categories on artificial intelligence, natural language understanding (NLU), AI code generation, synthetic data, and more. In her spare time, she's out exploring with her rescue dog Zeke or enjoying a good book.

Weitere G2-Artikel erkunden

Beste Vertriebsintelligenz-Software
Top-bewertete Apps für das Vergütungsmanagement
Beste Zeiterfassungssoftware für kleine Unternehmen
Welche Merkmale sollte ich bei einem sicheren Datenraum für M&A beachten?