/ Was ist Phishing?
Was ist Phishing?
Wie funktioniert Phishing?
Der einfachste Weg, jemanden auszurauben, besteht vermutlich darin, die Opfer davon zu überzeugen, dass sie gar nicht bestohlen werden. Genau das ist das gängige Vorgehen der Phishing-Betrüger.
Phishing-Angriffe beginnen üblicherweise mit E-Mails, Telefonanrufen, SMS oder Social-Media-Beiträgen, die scheinbar von einer seriösen Quelle stammen. Danach kann der Angreifer alle möglichen Ziele verfolgen, beispielsweise das Opfer dazu verleiten, Kontodaten preiszugeben, eine PayPal-Überweisung vorzunehmen oder getarnte Malware herunterzuladen.
Sehen wir uns ein gängiges Beispiel an. Ein Angreifer verschafft sich Zugang zur E-Mail-Adresse oder Telefonnummer eines Opfers. Anschließend erhält das Opfer eine E-Mail oder Textnachricht, scheinbar von seiner Bank. In der Phishing-Nachricht wird von einem auslaufenden Sonderangebot, einem vermuteten Identitätsdiebstahl oder Ähnlichem gesprochen. Das Opfer wird aufgefordert, sich bei seinem Bankkonto anzumelden. Es wird auf eine gefälschte Anmeldewebseite verwiesen und das Opfer legt dem Angreifer unwissentlich seine Anmeldedaten offen.
Wie bei den meisten Phishing-Angriffe besteht auch in diesem Beispiel dringender Handlungsbedarf, wodurch das Opfer seine Wachsamkeit vernachlässigt und nicht überprüft, ob die Nachricht verdächtig ist. Die gebotene Vorsicht an den Tag zu legen ist jedoch leichter gesagt als getan, denn die Angreifer haben eine ganze Reihe von Tricks auf Lager.
Arten von Phishing-Angriffen
Angreifer haben eine Vielzahl von Phishing-Techniken entwickelt, um verschiedene Technologien, Trends, Branchen und User auszunutzen. Hier ist ein Überblick über einige gängige Methoden:
- E-Mail-Phishing: Mithilfe einer E-Mail von einem scheinbar legitimen Absender soll der Empfänger dazu verleitet werden, auf einen bösartigen Link zu klicken und/oder eine infizierte Datei herunterzuladen. E-Mail-Adressen und URLs in Phishing-E-Mails können durch Spoofing aussehen, als stammten sie von einer seriösen Quelle.
- Smishing/SMS-Phishing: Über Textnachrichten an Mobilgeräte versuchen Angreifer, Opfer dazu zu verleiten, personenbezogene Daten wie Kreditkarten- oder andere Kontonummern preiszugeben.
- Vishing/Voice-Phishing: Diese Angriffe werden über Telefonanrufe durchgeführt. Angreifer haben es wie beim Smishing auf Kreditkarteninformationen oder andere sensible Daten abgesehen.
- Angler-Phishing: Angreifer geben sich in den sozialen Medien als bekannte Organisationen aus und bieten beispielsweise Geschenkkarten oder Rabatte an, um an die persönlichen Daten der Opfer heranzukommen.
- Pop-up-Phishing: Bei diesem häufigen Angriff auf Apple-, Android- oder andere Smartphones wird in einem Pop-up ein Angebot oder eine Warnmeldung angezeigt, die im Allgemeinen einen bösartigen Link enthält, um das Opfer dazu zu verleiten, persönliche Daten preiszugeben.
- Spear-Phishing: Bei den meisten Phishing-Versuchen werden die Opfer zufällig ausgewählt, doch Spear-Phishing zielt auf ganz bestimmte Personen ab, zu denen die Angreifer bereits einige Informationen gesammelt haben. Dadurch steigt die Wahrscheinlichkeit, dass der Angriff erfolgreich ist.
- Whaling-Angriffe: Angreifer versuchen, Führungskräfte oder andere wichtige Mitglieder einer Organisation per Phishing zu erreichen und so an Informationen zu gelangen, die ihnen privilegierten Zugriff auf die Zielumgebung verschaffen.
- Klon-Phishing: Phisher senden ihren Opfern gefälschte E-Mails, die scheinbar von Absendern stammen, denen das Opfer vertraut, beispielsweise von Finanzinstituten oder akkreditierten Unternehmen wie Amazon. Es handelt sich um eine Weiterentwicklung des Spear-Phishings und ist eine gängige Taktik im Zusammenhang mit Business Email Compromise (BEC).
- Evil-Twin-Phishing: Angreifer ködern ihre Opfer mit einem vertrauenswürdig erscheinenden WLAN-Hotspot und führen dann „Man-in-the-Middle“-Angriffe durch, bei denen sie die Daten abfangen, die Opfer über diese WLAN-Verbindung senden.
- Pharming: Angreifer manipulieren einen DNS-Server (Domain Name System), sodass User auf eine bösartige, gefälschte Website umgeleitet werden, selbst wenn sie eine harmlose URL eingeben.
Wie gefährlich sind Phishing-Angriffe?
Phishing-Angriffe können äußerst gefährlich sein. Groß angelegte Phishing-Angriffe haben potenziell Auswirkungen auf Millionen von Menschen. Angreifer stehlen vertrauliche Daten, schleusen Ransomware oder anderen Schadcode ein und verschaffen sich Zugang zu den sensibelsten Bereichen der Unternehmenssysteme.
Zu den möglichen Folgen eines erfolgreichen Phishing-Angriffs gehören vor allem der Verlust oder die Kompromittierung sensibler Daten wie Finanzdaten. Zudem haben Unternehmen mit Imageschäden und rechtlichen Konsequenzen zu rechnen.
Welche Auswirkungen hat Phishing auf Unternehmen?
Auf Unternehmensebene können die Folgen eines erfolgreichen Phishing-Angriffs weitreichend und schwerwiegend sein. Finanzielle Verluste können durch ein kompromittiertes Unternehmenskonto entstehen. Datenverlust kann durch Phishing entstehen, das zu einem Ransomware-Angriffführt. Jede Verletzung sensibler Daten, die eine öffentliche Bekanntgabe erforderlich macht, kann dem Ruf eines Unternehmens großen Schaden zufügen.
Denn jeder der genannten Punkte kann noch gravierendere Konsequenzen nach sich ziehen. Cyberkriminelle könnten beispielsweise gestohlene Daten im Dark Web verkaufen, auch an skrupellose Konkurrenten. Auch müssen die meisten Verstöße gegenüber verschiedenen Aufsichtsbehörden offengelegt werden, die möglicherweise Geldstrafen oder andere Sanktionen verhängen. Vielleicht wird das Unternehmen sogar in Ermittlungen wegen Cyberkriminalität verwickelt – eine zeitaufwendige Angelegenheit, die negative Schlagzeilen mit sich bringt.
Wie schütze ich mein Unternehmen vor Phishing-Angriffen?
Glücklicherweise kann den meisten Arten von Phishing mit den richtigen Vorsichtsmaßnahmen wirkungsvoll begegnet werden:
- Nutzen Sie wirksame Gegenmaßnahmen zur Cybersicherheit. Moderne Antiviren- und Anti-Phishing-Lösungen sowie wirksame Spamfilter können viele Phishing-Versuche abwehren.
- Betriebssysteme und Browser immer auf dem neuesten Stand halten. Softwareanbieter beheben regelmäßig neu entdeckte Sicherheitslücken in ihren Produkten und veröffentlichen Updates, damit Ihre Systeme stets geschützt sind.
- Schützen Sie Ihre Daten mit automatischen Backups. Implementieren Sie einen Prozess zur regelmäßigen Sicherung der Systemdaten, damit Sie diese im Falle einer Sicherheitsverletzung wiederherstellen können.
- Verwenden Sie die erweiterte Multifaktor-Authentifizierung (MFA). Zero-Trust-Strategien wie eine mehrstufige Authentifizierung schaffen eine zusätzliche Verteidigungslinie zwischen Angreifern und internen Systemen.
- Schulen Sie alle User. Cyberkriminelle entwickeln ständig neue Strategien, und Ihr E-Mail-Sicherheitssystem kann nicht alle erkennen und abfangen. Ihre User und Ihr gesamtes Unternehmen sind sicherer, wenn alle User wissen, wie sie verdächtige E-Mails erkennen und Phishing melden.
Woran erkennt man Phishing?
Bei einem Phishing-Angriff sind diejenigen User am sichersten, die die Situation am besten einschätzen können und sich nicht in die Falle locken lassen. Eine kurze Zusammenfassung ist zwar kein Ersatz für eine gezielte Sicherheitsschulung, trotzdem finden Sie hier einige wichtige Erkennungsmerkmale von Phishing-Versuchen:
- Unstimmigkeiten bei Domainnamen: E-Mail-Adresse und Webdomain sind nicht identisch. Wenn Sie beispielsweise eine E-Mail erhalten, die angeblich von einer bekannten Marke stammt, stimmt die E-Mail-Adresse eventuell nicht mit der Domain der Marke überein.
- Rechtschreibfehler: Obwohl Phishing-Angriffe mittlerweile viel ausgeklügelter sind als früher, enthalten die Nachrichten nach wie vor häufig Rechtschreib- oder Grammatikfehler.
- Ungewöhnliche Grußformeln: Manchmal deutet bereits der Stil einer Gruß- oder Schlussformel darauf hin, dass etwas nicht stimmt. Wenn ein Kollege in E-Mails normalerweise „Hallo!“ schreibt, Sie aber plötzliche eine Nachricht erhalten, die mit „Lieber Freund“ beginnt, ist das ein eindeutiges Warnzeichen.
- Kurz und knapp: Phishing-E-Mails enthalten oft nur wenige Informationen und sind zweideutig, um Opfer in die Irre zu führen. Wenn zu viele wichtige Details fehlen, deutet das auf einen Phishing-Versuch hin.
- Ungewöhnliche Anliegen: Eine E-Mail, in der Sie ohne weitere Erklärung aufgefordert werden, etwas Ungewöhnliches zu tun, ist ein deutliches Warnzeichen. Beispielsweise könnte eine Phishing-Nachricht so aussehen, als käme sie von Ihrem IT-Team, und Sie ohne Angabe von Gründen dazu auffordern, eine Datei herunterzuladen.
Phishing und KI
Bei KI-gestützten Phishing-Angriffen werden KI-Tools eingesetzt, um die Kampagnen noch raffinierter und effektiver zu gestalten. KI automatisiert und personalisiert verschiedene Aspekte des Angriffsprozesses, wodurch Phishing noch schwieriger zu erkennen ist. Beispielsweise werden häufig Chatbots verwendet, um äußerst überzeugende und fehlerfreie Phishing-E-Mails zu verfassen. Darüber hinaus machen sich Angreifer zunehmend fortschrittliche KI-Services wie Video- und Audio-Deepfakes zunutze, um sich als seriöse Organisationen oder Personen auszugeben und ihre Opfer zu täuschen. Sie nutzen verschiedene Kommunikationskanäle, darunter E-Mail, Telefon- und Videoanrufe, SMS und verschlüsselte Messaging-Anwendungen.
Generative KI verändert die Phishing-Bedrohungslandschaft in rasantem Tempo und macht Automatisierung und Effizienz in zahlreichen Phasen der Angriffskette möglich. Mit generativer KI lassen sich öffentlich zugängliche Daten schnell analysieren, beispielsweise Informationen über Organisationen und Führungskräfte. Dadurch sparen Bedrohungsakteure Zeit bei der Zielfindung und können gezielte Angriffe mit größerer Präzision durchführen. Durch die Korrektur von Rechtschreib- und Grammatikfehlern erhöhen generative KI-Tools die Glaubwürdigkeit von Phishing-Nachrichten. Darüber hinaus kann generative KI schnell ausgefeilte Phishing-Seiten erstellen oder Malware und Ransomware für sekundäre Angriffe generieren. Da sich generative KI-Tools und -Taktiken schnell weiterentwickeln, werden Phishing-Angriffe von Tag zu Tag dynamischer (und schwieriger zu erkennen).
Die wachsende Popularität und Nutzung generativer KI-Tools wie ChatGPT und Drift wirkt sich bereits jetzt auf Phishing-Aktivitäten und die Zunahme KI-gestützter Angriffe aus. Länder wie die USA und Indien, in denen diese Tools laut ThreatLabz-Report 2024 zur KI-Sicherheit stark genutzt werden, sind die beliebtesten Ziele für Phishing-Betrügereien und waren im vergangenen Jahr mit der höchsten Anzahl verschlüsselter Angriffe konfrontiert, von denen ein Teil auf Phishing-Angriffe entfällt.
Phishing-Schutz mit Zscaler
Die Kompromittierung von Usern ist eine der größten Herausforderungen im Bereich der Sicherheit, da sie auf der Ausnutzung der menschlichen Natur beruht. Um aktive Sicherheitsverletzungen zu erkennen und den Schaden zu minimieren, den erfolgreiche Angriffe verursachen können, müssen Sie wirksame Kontrollen zur Phishing-Prävention als Teil einer umfassenderen Zero-Trust-Strategie implementieren.
Die Zscaler Zero Trust Exchange™ basiert auf einer ganzheitlichen Zero-Trust-Architektur und stellt leistungsstarke Funktionen bereit, mit denen Unternehmen ihre Angriffsfläche verkleinern, Kompromittierung verhindern, die laterale Ausbreitung von Bedrohungen stoppen und Datenverluste unterbinden. Folgende Merkmale unterstützen Sie bei der Vermeidung von Phishing-Angriffen:
- Angriffe werden verhindert: Durch Funktionen wie lückenlose TLS/SSL-Überprüfung, Browser-Isolierung und richtlinienbasierte Kontrollen werden Zugriffe auf schädliche Websites blockiert.
- Laterale Ausbreitung wird gestoppt: Sobald sich Malware in Ihrem System befindet, kann sie sich verbreiten und noch mehr Schaden anrichten. Dank der Zero Trust Exchange verbinden sich User direkt mit den benötigten Anwendungen und nicht mit Ihrem Netzwerk, sodass sich Malware keinesfalls darin ausbreiten kann.
- Insider-Bedrohungen werden unterbunden: Unsere Cloud-Proxy-Architektur verhindert, dass private Anwendungen ausgenutzt werden, und erkennt mithilfe der vollständigen Inline-Überprüfung selbst die ausgefeiltesten Angriffstechniken.
- Datenverluste werden verhindert: Die Zero Trust Exchange überprüft sowohl ruhende als auch in Übertragung befindliche Daten, um potenziellen Datendiebstahl im Zuge eines laufenden Angriffs zu verhindern.