Phishing bedeutet, dass Cyberkriminelle bösartige E-Mails versenden, um Internetnutzer zu betrügen. Es handelt sich dabei um eine Form des Social Engineering, bei der die Betrüger die menschliche Psychologie nutzen und Menschen dazu bringen, ohne nachzudenken zu handeln. Ziel ist es, an sensible Benutzerdaten wie Finanzinformationen, Systemanmeldeinformationen, Kreditkartennummern usw. zu gelangen.

Die gesendeten Phishing-E-Mails scheinen von einer seriösen Quelle zu stammen, und die Opfer werden dazu verleitet, sie zu öffnen. Einmal geöffnet, verbreiten diese E-Mails Malware und stehlen Daten. Normalerweise spielen Techniken wie Fälschung, Nachahmung und Irreführung eine wesentliche Rolle bei Phishing-Angriffen.

Geschichte des Phishings

Man könnte meinen, Phishing sei ein neues Konzept, aber es wird bereits seit Mitte der 1990er Jahre eingesetzt. Alles begann mit Hackern, die sich als AOL-Mitarbeiter ausgaben, um "fischen nach" Informationen. Da AOL zu dieser Zeit ein bekanntes Content-System war, gelang es den Betrügern, ihre Opfer zu täuschen. Sie brachten sie dazu, ihre Anmeldedaten preiszugeben, und kaperten dann ihre Konten.

In den 2000er Jahren wurde Cyber-Phishing dann auch im Bankensektor immer bekannter. Cyberkriminelle fanden Bankkonten profitabler und verleiteten die Nutzer dazu, ihre Finanzdaten preiszugeben. Phishing-E-Mails, die Bankmitteilungen imitierten, wurden massenhaft verschickt, um die Gelder ahnungsloser Benutzer zu stehlen.

Mit der Zeit hat sich das Phishing weiterentwickelt, und es kommen immer mehr Varianten auf, wie Paypal-Phishing, Amazon-Phishing, Apple-Phishing, Spear-Phishing usw. Die Betrüger werden immer raffinierter und imitieren seriöse Organisationen, indem sie ausgeklügelte E-Mails verwenden, die den echten ähneln. Bis heute ist Phishing ein Problem, mit dem Online-Communities täglich konfrontiert sind.

Phishing ist ein vorherrschendes Problem

Phishing ist eine weit verbreitete Form des Betrugs, da sie billig in der Durchführung ist. E-Mail-Adressen sind leicht zu bekommen, und die Kosten für den Versand von E-Mails sind gleich null. Daher sind Phishing-E-Mails eine einfache Geldquelle für Cyberkriminelle.

Die Auswirkungen von Phishing sind jedoch nicht billig. Die Kosten, die der Gesellschaft insgesamt entstehen, sind enorm, da täglich Millionen von Menschen betrogen werden. Die Einzelbeträge mögen gering sein, doch summieren sie sich zu Milliardenbeträgen. Nach Angaben des IC3 des FBI wurde ein Verlust von über 1,8 Milliarden durch Phishing gemeldet.

Abgesehen von finanziellen Verlusten hat Phishing auch zu erheblichen Datenschutzverletzungen geführt. In der Unternehmenswelt wird Phishing häufig dazu genutzt, um einen größeren Angriff zu starten. Wie bei Target im Jahr 2013 beginnen viele Datenschutzverletzungen mit einer einzigen Phishing-E-Mail und entwickeln sich dann zu großen Skandalen.

Phishing-Angriffe haben auch negative soziale Folgen. Da Phishing-E-Mails personenbezogene Daten wie Steuerunterlagen, medizinische Informationen und Finanzdaten preisgeben können, gibt es Bedenken hinsichtlich des Datenschutzes. Darüber hinaus können Phishing-Angriffe Cyberkriminellen direkten Zugang zu sozialen Medien und anderen Konten verschaffen und diese Plattformen zum Absturz bringen.

Phishing-Statistiken

Da Phishing-Angriffe sowohl für Einzelpersonen als auch für Unternehmen verheerende Folgen haben, sollten sie nicht ignoriert werden. Anhand der unten aufgeführten Phishing-Statistiken können Sie sich ein Bild von der Verbreitung und der Schwere von Phishing-Angriffen machen:

1. Allein 2020 wurden 241.324 Phishing-Angriffe gemeldet
2. Die Zahl der Phishing-Vorfälle ist zwischen 2019 und 2020 um satte 110 % gestiegen.
3. Von 100 Befragten in den USA sind 75 schon einmal Opfer eines Phishing-Versuchs geworden.

Deshalb sollte sich jeder über Phishing informieren, um sich zu schützen. Lesen Sie weiter, um mehr Details zu diesem massiven Problem zu erfahren, das vorherrscht.

Erkennen einer Phishing-E-Mail

Um sich vor Phishing-Angriffen zu schützen, sollte man zunächst wissen, wie man eine bösartige E-Mail erkennt. Diese E-Mails enthalten ein typisches Muster, das leicht erkannt werden kann:

Der Wortlaut:

Die meisten Betrüger nutzen Angst, um unschuldige Nutzer zu ködern. Sie erzeugen in ihrer E-Mail ein Gefühl der Dringlichkeit, damit die Leser ohne nachzudenken handeln. Leider können selbst Menschen mit Phishing-Kenntnissen diesen Betrügereien zum Opfer fallen, da die Angst sie besser macht.

In den meisten Phishing-E-Mails wird Benutzern mitgeteilt, dass ihre Konten eingeschränkt werden oder sich Malware auf ihren Geräten ausbreitet, wenn sie nicht auf den angegebenen Link klicken. Der Link ist es, der Malware verbreitet und Hackern Zugang zu sensiblen Daten verschafft.

Manchmal verwenden Cyberkriminelle Anreize, um Neugierige zu ködern. Häufig verwenden die Angreifer Formulierungen wie "Investieren Sie 40 Dollar und erhalten Sie 400 Dollar zurück", "Sie haben soeben ein Lotterielos von 1000 Dollar gewonnen" usw. Sie lassen es echt und lukrativ klingen, so dass die Benutzer die Warnzeichen ignorieren und auf sie hereinfallen. Da die meisten Benutzer denken, dass sie wenig zu verlieren haben, antworten sie auf solche E-Mails und verlieren am Ende viel.

Die folgende Abbildung zeigt eine Standard-Phishing-E-Mail:

Wie Sie oben sehen können, ist die Begrüßung der Phishing-E-Mails generisch und wird in Massen verschickt. Seien Sie also sehr vorsichtig und halten Sie Ihre Augen offen. Wenn Sie sich nicht sicher sind, ob eine E-Mail echt ist oder nicht, überprüfen Sie die Absenderadresse, um die Legitimität festzustellen. Wenn es sich um eine Phishing-E-Mail handelt, gibt es eine kleine Diskrepanz, die Sie in Alarmbereitschaft versetzt.

Der verwendete Mechanismus

Nachdem der E-Mail-Text echt aussieht, folgt bei Phishing-E-Mails in der Regel ein Mechanismus zum Diebstahl von Informationen. Hauptsächlich nutzen die Betrüger drei Möglichkeiten. Entweder hängen sie eine bösartige Datei an, fügen einen Weblink ein oder verwenden betrügerische Formulare zur Dateneingabe. Wir haben jeden dieser Wege einzeln beschrieben.

Bösartige Weblinks

Dies ist der häufigste Mechanismus, der von Betrügern verwendet wird. Bei dieser Technik fügen die Betrüger bösartige Links ein, die die Benutzer auf Phishing-Websites oder mit Malware infizierte Betrugsseiten leiten.

Diese URLs sind so getarnt, dass sie wie echte Links von einer seriösen Website aussehen, weisen aber geringfügige Unterschiede in der Syntax auf. Sie können auch in Logos und Bilder eingebettet sein, die in der E-Mail enthalten sind. Klicken Sie also nicht versehentlich auf irgendetwas.

Phishing-Links sind praktikabler als Anhänge und Datenformulare, da die Benutzer sie als weniger riskant empfinden. Sie klicken sie an, ohne groß nachzudenken, und geraten leicht in die Falle.

Hier ist ein Beispiel für eine E-Mail mit einem bösartigen Link.

Bösartige Anhänge

Anstelle eines Weblinks können Phishing-E-Mails auch Dateien als Anhang enthalten. Sie imitieren legitime Anhänge, sind aber mit Malware infiziert, die das Betriebssystem Ihres Computers gefährdet.

Die Dateien enthalten in der Regel ein Ms. Office-Dokument mit einem bösartigen Makro oder einem Shell-Skript. Wenn sie heruntergeladen werden, verbreiten sie Malware wie Ransomware, die die Dateien auf einem PC einfriert. Diese Dateien können auch verwendet werden, um einen Keystroke Logger auf Ihrem Gerät zu installieren, der alles aufzeichnet, was Sie eingeben, z. B. Passwörter und andere vertrauliche Informationen.

Ps: Es ist wichtig zu wissen, dass Phishing, das solche Malware enthält, nicht auf ein einzelnes Gerät beschränkt ist. Sie verbreiten die Infektionen von einem System zum anderen über verbundene Netzwerke, Cloud-Systeme und gemeinsam genutzte Festplatten. Daher kann sich Phishing sehr schnell verbreiten.

Hier ist ein Beispiel für eine E-Mail mit einem bösartigen Anhang

Betrügerische Dateneingabeformulare

Ein weiterer in Phishing-E-Mails häufig verwendeter Mechanismus sind Dateneingabeformulare. Sie dienen hauptsächlich dazu, sensible Informationen wie Benutzer-IDs, Kreditkartennummern und Kennwörter zu sammeln. Die E-Mails sind in einem Ton verfasst, der den Leser dazu auffordert, die Informationen auf der Stelle auszufüllen und zu übermitteln.

Sobald die Nutzer ihre Daten bereitwillig preisgeben, können Cyberkriminelle sie für persönliche Zwecke missbrauchen. In der Regel imitieren die Betrüger Regierungsbehörden und bringen ahnungslose Personen dazu, betrügerische Formulare für Steuererklärungen und andere zivile Zwecke auszufüllen.

Aber Sie sollten es besser wissen, als dass Regierungen die Bürgerinnen und Bürger nicht per E-Mail kontaktieren oder auf diesem Weg nach vertraulichen Daten fragen. Diese Formulare sollten also eine rote Fahne wecken.

Hier ist ein Beispiel für eine gefälschte E-Mail, die ein Dateneingabeformular enthält:

Betreffzeile

Die Betreffzeile ist ein weiterer wichtiger Aspekt der E-Mail, der Ihnen helfen kann, zwischen echten und Phishing-E-Mails zu unterscheiden. Bei einem Phishing-Angriff spielt die Betreffzeile eine entscheidende Rolle, da sie bestimmt, ob der Benutzer den Köder schluckt oder nicht.

Die Angreifer sorgen also dafür, dass der Betreff der E-Mail entweder Angst oder Neugierde weckt. Beide Emotionen können, wenn sie gut eingesetzt werden, Benutzer dazu bringen, auf bösartige E-Mails zu klicken.

In der Regel werden in den Betreffzeilen die Probleme der Nutzer hervorgehoben, z. B. Versandprobleme, Probleme mit dem Bankkonto usw. Wenn ein Benutzer nicht auf die Domäne in der Absenderadresse achtet, kann er oder sie leicht dazu verleitet werden, die E-Mail zu öffnen. Sobald eine E-Mail geöffnet wird, steigt die Wahrscheinlichkeit, dass die Betrüger sensible Informationen preisgeben.

Hier ist ein Beispiel für eine E-Mail mit einer generischen Betreffzeile, auf die die meisten Menschen hereinfallen:

Arten von Phishing-Angriffen

Selbst wenn man die Grundlagen des Phishings kennt, können Nutzer, auch Sicherheitsexperten, Opfer solcher Angriffe werden. Das liegt daran, dass die Cyberkriminellen ihre Methoden ständig aktualisieren. Mit dem technologischen Fortschritt und der Zunahme von Online-Transaktionen entwickeln sich auch die Phishing-Angriffe weiter, so dass es immer schwieriger wird, sie zu umgehen.

Phishing ist nicht mehr auf Massen-Spam und einfachen Datendiebstahl beschränkt. Stattdessen lassen sich die Angreifer immer neue Wege einfallen, um massive Kampagnen zu starten. Diese Angriffe können sich je nach Art des Phishings an jeden richten.

Zu den wichtigsten Arten von Phishing gehören:

1. Speer-Phishing:

Eine gezielte Form des Phishings ist das Versenden von personalisierten E-Mails an bestimmte Personen, insbesondere an hochrangige Mitarbeiter und Inhaber sensibler Informationen.

2. CEO-Betrug:

Hierbei handelt es sich um eine Form des Spear-Phishings, bei dem jedoch nicht die höheren Angestellten des Unternehmens, sondern die jüngeren Mitarbeiter angegriffen werden. Die Betrüger imitieren hochrangige Beamte wie CEOs, um ihre Untergebenen unter Druck zu setzen, damit sie Geld überweisen oder unethisch handeln.

3. Smishing:

Dies ist die Abkürzung für SMS-Phishing, bei dem Betrüger SMS-Nachrichten verwenden, um Benutzer zum Öffnen bösartiger Websites zu verleiten.

4. Vishing:

Voice-Phishing ist eine Form des Phishings, bei der eine Stimmveränderungssoftware eingesetzt wird und die Opfer mit einer sehr überzeugenden und dringenden telefonischen Nachricht angesprochen werden.

5. Amazon-Phishing und Paypal-Betrugs-E-Mails

Amazon, eBay, Apple und Paypal sind große Akteure in ihren jeweiligen Branchen und daher ein beliebtes Ziel für Betrüger. Mit Millionen von Nutzern auf diesen Plattformen ist es für Cyber-Kriminelle ein Leichtes, E-Mails zu versenden, die diese angesehenen Marken imitieren. Dazu gehören unter anderem gefälschte PayPal-E-Mails, Apple-Phishing-E-Mails, Amazon-Betrugs-E-Mails, Apple-Phishing-E-Mails usw.

6. "Böser Zwilling" Wi-Fi:

Wie der Name schon sagt, nutzen die Betrüger bei diesem Phishing-Angriff kostenloses WLAN und verleiten die Nutzer dazu, sich mit einem bösartigen Hotspot zu verbinden. Sobald sie mit ihrem Opfer verbunden sind, missbrauchen sie diesen, um Man-in-the-Middle-Angriffe durchzuführen.

Denken Sie jedoch daran, dass Phishing nicht nur auf die oben genannten Arten beschränkt ist. Mit der Zeit kommen immer mehr Formen ans Licht. Da neue Online-Plattformen immer beliebter werden, entstehen dort auch neue Phishing-Arten. Zum Beispiel hat die steigende Zahl der Netflix-Nutzer dazu geführt, dass Netflix-Betrugs-E-Mails immer häufiger vorkommen.

Um sich und Ihr Unternehmen zu schützen, sollten Sie die verschiedenen Formen von Phishing kennen und entsprechende Maßnahmen ergreifen. Um Ihnen das Verständnis zu erleichtern, wie Phishing abläuft, haben wir einige bekannte Orte aufgeführt, an denen Phishing vorkommt.

Phishing um Sie herum

Phishing ist überall um Sie herum. Es ist wichtig zu erkennen, dass jeder Bürger diesen Angriffen zum Opfer fallen kann, wenn er Zugang zum Internet und seinen Tools hat. Sie können sogar mit den Folgen eines Phishing-Angriffs konfrontiert werden, selbst wenn Sie nicht direkt daran beteiligt sind.

Vorsicht ist also der einzige Weg, um sich vor Phishing und seinen vielen Formen zu schützen. Wir haben einige Stellen aufgelistet, an denen Phishing-E-Mails häufig zu finden sind:

Im Privatleben

• Bankkonten.
• Kredit-Transaktionen
• Steuererklärungen
• Online-Einkauf
• Darlehen und Hypotheken
• Soziale Medien.

Bei der Arbeit

• Übertragung von Unternehmensgeldern.
• Verlust von vertraulichen Informationen über Kunden und Mitarbeiter.
• Aufgedeckte Geschäftsgeheimnisse
• Eingefrorene Systeme und infizierte Dateien
• Geschädigter Ruf.
• Sanktionen aufgrund von Verstößen gegen die Vorschriften.
• Verlust von Marktanteilen
• Schwindendes Vertrauen der Investoren.

In der Industrie:

• Elektronischer Geschäftsverkehr
• Finanzmärkte
• Zahlungssysteme
• IT- und Telekommunikationsunternehmen.
• Lieferfirmen.

Beliebte nachgeahmte Marken:

• Google
• Amazon
• Bank von Amerika
• Microsoft
• Apfel
• FedEx
• LinkedIn

Diese Liste ist keineswegs vollständig, da Phishing-Angriffe überall durchgeführt werden können. Sie soll Ihnen nur ein Beispiel dafür geben, wie weit verbreitet Phishing ist und warum Bewusstsein und Schutz so wichtig sind.

Phishing-Schutz

Da Phishing immer raffinierter wird und die Betrüger Phishing-Kits verwenden, um unerkannt zu bleiben, ist die Notwendigkeit eines Schutzes noch deutlicher geworden. Hinzu kommt, dass Phishing-Kampagnen immer umfangreicher werden, da die Kriminellen Dutzende von Domänen nutzen, um weitere Personen anzusprechen.

Da sich die Cybersicherheitslandschaft ständig weiterentwickelt, ist es für Unternehmen von entscheidender Bedeutung, ihre Mitarbeiter über die neuesten Phishing-Techniken aufzuklären und ihnen zu zeigen, wie man sie verhindern kann. Die Sensibilisierung der Mitarbeiter für die neuesten Bedrohungen und die Vermittlung von Cybersicherheit kann dazu beitragen, erfolgreiche Phishing-Versuche zu vermindern.

Im Folgenden werden einige Möglichkeiten zum Schutz vor Phishing in Unternehmen vorgestellt:

1. Anti-Phishing-Schulungssuiten

Mit Hilfe von Schulungspaketen, die Simulationsübungen und Beispiele aus der Praxis enthalten, können Mitarbeiter für Phishing-Szenarien sensibilisiert werden. In der Regel senden Sicherheitsexperten ähnlich aussehende Phishing-E-Mails an die Mitarbeiter und prüfen, ob sie diese erkennen können oder nicht.

Diese praktische Anwendung hilft den Mitarbeitern, Phishing im Voraus zu erkennen und das Risiko zu verringern, in Zukunft bei tatsächlichen Angriffen kompromittiert zu werden. Eine solche Schulung der Mitarbeiter stellt sicher, dass die Organisation nicht das nächste Phishing-Opfer wird und schützt die Mitarbeiter in ihrer persönlichen Eigenschaft.

2. E-Mail-Gateway-Lösungen

Unternehmen können Lösungen installieren, die Phishing-E-Mails abfangen und klassifizieren können. Eines der effektivsten Tools zur Erkennung und Filterung verdächtiger E-Mails sind E-Mail-Gateway-Lösungen.

Mithilfe von Analysen überwacht dieses Überwachungstool den Datenverkehr ständig auf ungewöhnliche Muster und stellt verdächtige Nachrichten unter Quarantäne. Sie alarmieren den Administrator, wenn es viele In-Page-Exploits und Downloads gibt. Diese Informationen können dann verwendet werden, um die Mitarbeiter zu warnen und so die Wahrscheinlichkeit eines erfolgreichen Phishing-Versuchs zu verringern.

3. Anti-Virus-Installation

Auch wenn dies nicht unter den Phishing-Schutz fällt, hilft es Ihnen, den Schaden eines Phishing-Angriffs zu begrenzen. Wenn Sie einem Betrug zum Opfer fallen, kann die Installation von Antiviren-Software auf Ihrem Gerät dazu beitragen, die darauf folgende Malware zu erkennen und zu entfernen. Vergewissern Sie sich einfach, dass Ihre Antiviren-Software die neuesten Patches installiert hat und auf dem neuesten Stand ist.

4. Phishing melden

Dies muss nach einem Phishing-Angriff erfolgen. Wenn Sie einem Phishing-Versuch zum Opfer gefallen sind oder glauben, dass Sie das nächste Ziel eines Phishing-Betrugs sind, müssen Sie dies der zuständigen Behörde melden.

Auf Unternehmensebene können Sie es der IT-Abteilung melden, die es überprüfen und Präventivmaßnahmen ergreifen kann. Für Privatpersonen ist es am besten, Phishing der FTC (Federal Trade Commission) zu melden, die Betrüger aufspüren und Ihnen sogar helfen kann, Ihren Verlust zu mindern!

Schlussfolgerung

Die automatisierte DMARC-Lösung von Skysnag stärkt den Schutz vor Phishing und Spoofing, indem sie bestätigt, dass eine E-Mail-Nachricht von der Domäne stammt, von der sie behauptet, zu stammen. Skysnag erstellt DMARC-Berichte für Sie, die bei der Untersuchung potenzieller Sicherheitsprobleme und der Identifizierung möglicher Risiken durch Phishing-Angriffe helfen. Starten Sie mit Skysnag und melden Sie sich über diesen Link an.