22-0527/
Blog
Phishing ist eine der am weitesten verbreiteten Formen der Internetkriminalität, und egal, wie viel wir über Phishing zu wissen glauben, wir fallen immer noch darauf herein.
Alles, was Sie über Phishing wissen müssen
Laut des 2022 State of the Phish Report von Proofpoint, waren im vergangenen Jahr 83% der Unternehmen von Phishing Attacken betroffen. Laut dem Verizon’s 2021 Data Breach Investigation Report, ist Phishing eine Methode, die in einem Viertel aller Datendiebstähle angewandt wird.
Was ist Phishing?
Wenn Angreifer schädliche E-Mails versenden, um Personen dazu zu verleiten, auf einen Betrug hereinzufallen, wird dies als Phishing bezeichnet. Häufig ist es das Ziel, Menschen dazu zu bringen, finanzielle Informationen, Systemkennwörter oder andere sensible Daten preiszugeben.
Mitte der 1990er Jahre begannen Hacker, mit Phishing-E-Mails nach Informationen von ahnungslosen Benutzern zu „fischen“ und prägten so das Wort „Phishing“. Da diese frühen Hacker häufig als „Phreaks“ bezeichnet wurden, wurde das Wort „Phishing“ geprägt. Mit Phishing-E-Mails wird versucht, die Empfänger dazu zu verleiten, den Köder zu schlucken. Und wenn der Köder erst einmal geschluckt wurde, haben sowohl der Benutzer als auch das Unternehmen ein großes Problem.
Phishing ist ein Beispiel für Social Engineering, d. h. eine Reihe von Taktiken, die von Betrügern eingesetzt werden, um den Verstand der Menschen zu kontrollieren. Fälschung, Irreführung und Lügen sind allesamt Strategien des Social Engineering, die bei Phishing-Versuchen eingesetzt werden können. Phishing-E-Mails nutzen im Grunde genommen Social Engineering, um Benutzer dazu zu bringen, ohne nachzudenken zu handeln.
Wie können Phishing-E-Mails gemeldet werden?
Wenn Sie glauben, Opfer eines Phishing-Angriffs geworden zu sein, sollten Sie als Erstes die zuständigen Behörden informieren. Es ist besser, dies den IT-Mitarbeitern im Unternehmensnetzwerk zu melden, damit sie die Nachricht auswerten können, um festzustellen, ob es sich um eine gezielte Kampagne handelt. Privatpersonen können Phishing und Betrug bei der FTC melden.
Wie erkennt man eine Phishing Email?
Der Hauptzweck von Phishing ist der Diebstahl von Anmeldedaten (Credential Phishing), sensiblen Informationen oder die Aufforderung, Geld zu geben. Seien Sie immer vorsichtig bei Nachrichten, die sensible Informationen anfordern oder einen Link enthalten, der eine sofortige Authentifizierung erfordert.
Verschiedene Angriff-Arten von Phishing
Phishing hat sich über den einfachen Diebstahl von Daten und Anmeldeinformationen hinaus entwickelt. Die Art des Phishings bestimmt, wie ein Angreifer eine Kampagne organisiert. Es gibt verschiedene Arten von Phishing, darunter:
Spear-Phishing: Beim Spear-Phishing wird eine E-Mail an eine kleine Gruppe von Personen innerhalb eines Unternehmens geschickt, in der Regel an Inhaber von Konten mit hohen Privilegien.
CEO Fraud: Diese Mails richten sich meist an Finanzfachleute, um ihnen vorzugaukeln, dass der CEO oder eine andere Führungskraft um eine Geldüberweisung bittet.
Malware: Benutzer, die dazu verleitet werden, auf einen Link zu klicken oder einen Anhang zu öffnen, können mit Malware infiziert werden.
Smishing: Angreifer verwenden SMS-Nachrichten, um Menschen dazu zu verleiten, bösartige Websites auf ihren Geräten zu besuchen.
Vishing: Angreifer hinterlassen eine Nachricht, in der sie ihre Opfer auffordern, eine Nummer anzurufen, bei der sie mit Hilfe einer Sprachveränderungssoftware betrogen werden können.
Wie können Phishing-Angriffe vermieden werden?
- Implementierung geeigneter technischer Lösungen
Setzen Sie starke Cybersicherheitsmaßnahmen ein, um zu verhindern, dass möglichst viele Phishing-Versuche Ihren Schutz überwinden, und um sicherzustellen, dass sie nicht weit kommen, wenn sie es doch tun.
- Schaffen Sie ein sicheres und geschütztes Umfeld
Erkennen Sie, dass Social Engineering funktioniert, weil die Täter geschickte Manipulatoren sind. Ermutigen Sie Ihre Mitarbeiter, Vorfälle zu melden, anstatt sie zu bestrafen, wenn sie Opfer werden. Wenn in Ihrem Unternehmen eine Kultur der Schuldzuweisung herrscht, werden sich Ihre Mitarbeiter weigern, einen Fehler einzugestehen, was Ihr Unternehmen in Gefahr bringt.
- Personalentwicklung
Da jeder Mitarbeiter Opfer eines Phishing-Angriffs werden kann, müssen alle Mitarbeiter über die Gefahr informiert werden.
Regelmäßige Schulungen zur Sensibilisierung der Mitarbeiter helfen jedem, die Warnzeichen eines Phishing-Angriffs und die daraus resultierenden Folgen zu verstehen. Gemäß den Unternehmensrichtlinien werden sie in der Lage sein, wahrscheinliche Phishing-E-Mails zu melden.
- Beurteilen Sie die Effektivität der Schulung
Simulierte Phishing-Angriffe ermöglichen es Ihnen, den Erfolg Ihrer Mitarbeiterschulung zu bewerten und festzustellen, welche Mitarbeiter möglicherweise weitere Schulungen benötigen.