Phishing-Angriffe abwehren und erkennen

So schützen Sie sich und Ihr Unternehmen

Die Daten in Ihrer Firma sind mehr wert als Ihre teuerste Maschine! Das Schützen dieser Daten hat oberste Priorität, denn Fremdzugriff auf Firmendaten kann schwere Konsequenzen mit sich tragen. Erfolgreiches Phishing kann nicht autorisierte Geldüberweisungen und den Diebstahl von Firmengeheimnissen zur Folge haben.

1. Wie funktioniert Phishing?

Beim Phishing versuchen Hacker sich über gefälschte Webseiten, E-Mails, Kurznachrichten oder telefonisch als vertrauenswürdige Kommunikationspartner auszugeben.

Ihr Ziel ist es Zugangsdaten und persönliche Informationen zu erhalten, oder die Opfer dazu zu bringen, Geldbeträge an sie zu überweisen.

Nachfolgend geben wir Ihnen einen kurzen Überblick über die gängigsten Arten des Phishings:

1.1. Spray and Pray

Die Art von Phishing der Sie vermutlich am häufigsten begegnen werden. Hierbei werden einfach massenhaft Spam E-Mails an Tausende von E-Mail-Adressen verschickt, in den E-Mails befinden sich Links die zu Webseiten führen in denen Opfer zur Eingabe von Daten und Passwörtern aufgefordert werden. Selbst wenn die Erfolgschancen gering sind, wegen des niedrigen Aufwandes reichen Wenige die darauf hereinfallen bereits aus, damit sich der Angriff für die Hacker lohnt.

1.2. Spear Phishing

Beim Spear Phishing werden Ziele vorab nach gewissen Kriterien ausgewählt. Beispielsweise werden Kundendaten von Netflix gehackt, um anschließend Phishing E-Mails im Namen von Netflix an die Kunden zu senden, mit beispielsweise einer Aufforderung zur Nachzahlung.

Da tatsächlich nur Kunden von Netflix diese E-Mail erhalten, sind die Erfolgschancen deutlich höher.

1.3. Whaling

Art von Spear Phishing, hier gelangen besonders lukrative Ziele ins Visier der Täter. Geschäftsleiter, IT-Administratoren oder sonstige Angestellte, deren Passwörter sehr wertvoll sind werden hier zum Ziel. Die Hacker recherchieren genau, zum Beispiel in dem Sie Social Media Profile studieren, Mülleimer durchwühlen oder bereits gesendete unverschlüsselte E-Mails mitlesen. Somit können Sie erkennen wann die Opfer anfällig für welche Phishing Attacke sind und wie die Nachrichten überzeugend gestaltet werden können. Es kann vorkommen, dass die Opfer mit Spitznamen angesprochen werden, die für gewöhnlich nur der vermeintliche Absender verwendet.

E-Mails werden genau mit bereits bekannten Daten des Opfers versehen, so wirkt die Nachricht besonders glaubwürdig und die Angreifer sichern sich hohe Erfolgschancen.

1.4. Pharming

Hier werden von Hackern Webseiten angelegt mit ähnlichen Namen wie bestehenden Websites. Ein Hacker könnte zum Beispiel eine Website mit dem Domainnamen „Facebok“ statt „Facebook“ anlegen. In der Hoffnung, dass Leute sich vertippen und die Website aus Versehen besuchen. So erhalten die Hacker stetig neue Zugangsdaten ohne großen Aufwand.

1.5. WLAN-Zwilling

An öffentlichen Orten wird ein vermeintlich kostenloses WLAN angeboten. Verbinden Menschen ihre Geräte damit, wird über einen schädlichen Router ihr Verlauf überwacht. Das heißt: melden Sie sich bei Ihrem Onlinebanking an, während Sie mit dem Router verbunden sind, erhalten die Hacker die Zugangsdaten.

1.6. Malware Trojaner

Ein weiteres Ziel von Phishing kann das Einschleusen von Malware-Trojanern sein. Diese verstecken sich in Anhängen, oder sollen auf verlinkten Webseiten heruntergeladen werden. Solche Schadprogramme können sich nach dem sie installiert sind auf dem Server einnisten. Danach spionieren sie im Hintergrunde unauffällig das Unternehmen aus. Besonders dreist wird teilweise der Firmenserver über diese Schadsoftware verschlüsselt und erst nach Zahlung eines Lösegeldes (meistens in Form von Kryptowährung) wieder entschlüsselt. Natürlich besteht keine Garantie, dass man den Code zur Freigabe tatsächlich erhält.

2. Wie erkenne ich Phishing?

Phishing ist dazu designt nicht erkannt zu werden. Es gibt jedoch einige verbreitete Auffälligkeiten, die sich in vielen Phishing Methoden wieder finden lassen.

Es folgen 9 Grundsatztipps, mit denen Sie sich schützen können.

    1. Vertrauen Sie nicht auf den angezeigten Namen. Überprüfen Sie in Zweifelsfällen, ob die E-Mail-Adresse oder Telefonnummer korrekt ist.
    2. Vorsicht bei dringenden Aufforderungen. Beim Phishing werden die Opfer oft unter Druck gesetzt, somit sollen sie dazu verleitet werden schnell zu handeln, ohne eine zweite Meinung einzuholen.
    3. Klicken Sie nicht auf Links. Lassen sie bei Icons den Mauszeiger über die Schaltfläche schweben und sehen Sie, ob der angezeigte Link zum Rest der Mail passt. Noch sicherer ist es Links per Hand in den Browser einzutragen, dies ist vor allem bei sensiblen Daten sinnvoll.
    4. Achten Sie auf die Ansprache. Werden Sie beim Namen genannt oder werden Floskeln verwendet wie „Sehr geehrter Kunde“. Dies ist jedoch vor allem gängig bei „Spray and Pray“, bei gezieltem Phishing/Whaling sind Hacker bestens informiert.
    5. Wird nach persönlichen Informationen gefragt. Die wenigsten Firmen erfragen persönliche Informationen in E-Mails.
    6. Achten Sie auf die E-Mail-Signatur. Die meisten legitimen Absender geben eine volle Fußzeile mit Kontaktinformationen an.
    7. Seien Sie vorsichtig mit Anhängen. Öffnen Sie im Zweifel niemals Anhänge, selbst wenn sie unscheinbare Symbole wie das von Microsoft Word anzeigen, können sich Trojaner dahinter verbergen.
    8. Vertrauen Sie Ihrem inneren Zyniker. Wenn Sie sich unsicher sind, gehen Sie lieber auf Nummer sicher.
    9. Wenden Sie sich an die IT-Abteilung. IT-Abteilungen prüfen lieber auch ab und zu legitime E-Mails, als mit einem Cyberangriff kämpfen zu müssen.

Gerade bei Spam Nachrichten die auf gut Glück an Tausende E-Mail-Adressen versendet werden, haben Sie gute Chancen, wenn sie diese Tipps berücksichtigen.

3. Wie kann ich mein Unternehmen vor Phishing schützen?

Wer bereits früh Schutzmaßnahmen ergreift, kann sich auf lange Sicht einiges an Ärger ersparen. Nachfolgend geben wir Ihnen einige Empfehlungen, mit denen Sie Ihr Unternehmen absichern können.

3.1. E-Mails verschlüsseln und Spam verhindern

Ein erster Schritt, um Phishing vorzubeugen kann das Verwenden von entsprechender Software zum Verschlüsseln von E-Mails sein. Unverschlüsselte E-Mails können mit einfachen Mitteln von Hackern ausgelesen und deren Inhalt kann verändert werden. Somit können sie Phishing E-Mails deutlich überzeugender erstellen und erhöhen die Chancen für einen erfolgreichen Angriff auf Ihr Unternehmen um ein Vielfaches.

Maleware Trojaner - IT Sicherheit - Toowoxx IT- Ulm

Ein ausgereifter Spamschutz verringert das Risiko noch weiter, außerdem sorgt Spamschutz für eine Entlastung der Angestellten, da sie keine Zeit mehr auf diese Mails verschwenden müssen.

Informieren Sie sich gerne hier zu den IT-Lösungen die Toowoxx für mehr Sicherheit bietet.

3.2. Risikofaktor Anhang

Dateien im Anhang können Gefahren bergen. Vor allem wenn es sich um Dateien mit ausführbaren Funktionen handelt. Wenn diese Funktionen automatisch ausgeführt werden, hat der Anwender keine Chance mehr einzugreifen. Nach Ausführung werden beispielsweise Webseiten besucht und dort Schadsoftware heruntergeladen.

Ein geläufiges Beispiel hier sind Excel Arbeitsmappen mit Makros. Diese erkennen Sie an der Endung xlsx. Microsoft selbst ist schon stark gegen diese Dateien vorgegangen. Seit April 2022 sind Makros in Exceldateien, die aus E-Mails oder von nicht vertrauenswürdigen Webseiten heruntergeladen wurden, standartmäßig blockiert. Wenn von der IT-Abteilung diese Standarteinstellung aus unternehmensinternen Gründen verändert wurde, ist es höchst wichtig die Mitarbeiter präzise über die Risiken aufzuklären.

Auch PDF-Anhänge können gefährlich werden. Gängige Softwareprodukte, die zum Ansehen und Bearbeiten von PDF-Dokumenten verwendet werden, so genannte PDF-Viewer beinhalten riskante Schwachstellen. Eine Einfache Schutzmaßnahme kann es sein PDFs im Browser zu öffnen. Machen Sie dazu einen Rechtsklick auf die Datei, und wählen Sie unter „Öffnen mit“ ihren Browser.

Einer der Wege schädliche Anhänge zu verbreiten sind Bewerbungen. Weil es in der Natur der Sache liegt, dass eine Bewerbung von einer unbekannten E-Mail-Adresse gesendet wird, wird diese Gefahr häufig übersehen. Hacker die sich Mühe geben, richten den Text der E-Mail an der Stellenanzeige aus, um möglichst authentisch zu wirken. Auch wenn nur die wenigsten Hacker sich so viel Mühe beim Erstellen der Phishing-Mail machen, sind solche E-Mail nur sehr schwer als Phishing zu erkennen.

Den besten Schutz bietet es nur Bewerbungen im PDF-Format anzunehmen, da dieser Dateityp bei Ansicht im Browser (wie erwähnt) recht sicher ist. Kommen Dateien in anderen Formaten müssen Bewerber noch nicht abgelehnt werden, eine Antwort mit der bitte die Bewerbung im richtigen Format zu schicken genügt. Noch sicherer ist es den Bewerbungsprozess von E-Mails auf Onlinebewerbungen umzustellen. So wird das Dateiformat von der eigenen Website vorgegeben.

3.3. Geschulte Augen sehen mehr

Der beste Schutz gegen Phishing, ist es die Mitarbeiter für das Thema zu sensibilisieren. Mit entsprechenden Schulungen kann den Mitarbeitern aktiv vermittelt werden, wie sie die Bedrohungen erkennen.

Whaling - Spear Phishing - Blog TooKnow

Phishing Awareness Training hilft den Mitarbeitern dabei, die Anzeichen zu achten von Phishing zu erkennen. Außerdem werden die Mitarbeiter darauf vorbereitet, wie sie sich in solchen Fällen am besten verhalten. Durch eine Investition in Schulungen verringern Sie deutlich das Risiko, das Ihr Unternehmen zum Opfer einer Phishing-Attacke wird. Darüber hinaus werden entsprechende Schulungen oft für IT-Sicherheitszertifizierungen benötigt.

Es ist ein weit verbreitetes Missverständnis, dass nur naive und technisch inkompetente Menschen auf Phishing hereinfallen. Hinter Phishing verbirgt sich weit mehr als die schon fast klischeehaften E-Mails afrikanischer Prinzen. Hacker werden immer kreativer, um ihre Opfer zu überlisten. Selbst Experten fällt es oft schwer, gut vorbereitete Phishing-Angriffe zu erkennen.

Über die Schulungen unseres Tochterunternehmens IQunit IT GmbH können Sie Ihren Mitarbeitern wertvolle Fähigkeiten im Umgang mit Phishing und anderen Sicherheits- und Datenschutzrisiken vermitteln.

Wir legen in unseren Schulungen großen Wert auf einen offenen Dialog. Es ist uns Wichtig zu vermitteln, dass die Schuld bei den Hackern liegt und nicht bei den Opfern. Durch bewährte Schulungskonzepte mit praxisnahen Beispielen und interaktivem Austausch, bringen wir Ihr Unternehmen auf die sichere Seite.

Bei Interesse kontaktieren Sie uns gerne per E-Mail unter info@iqunit.com oder telefonisch unter +49 731 953495-0 und lassen Sie sich zu unseren Angeboten beraten. Sie können sich auch hier einen weiteren Überblick über unsere Schulungen verschaffen.