Anzeige

Phishing

Phishing hat während der Corona-Krise stärker als zuvor zugenommen. Kriminelle nutzen die Verunsicherung und die Homeoffice-Situation gezielt aus, um an sensible Daten zu kommen, mit denen sie großen Schaden anrichten können.

Hier erfahren Sie, welche Phishing-Methoden derzeit besonders beliebt sind und wie Sie sich davor schützen können.

„Sehr geehrte Kundinnen und Kunden, Ihre Sicherheit und Gesundheit und auch die unserer Mitarbeiter liegen uns sehr am Herzen.“ So beginnt die E-Mail einer Bank, die während der Pandemie ihre kleineren Filialen schließen muss und sich deshalb nun digital an ihre Kunden wendet. „Bitte nehmen Sie sich zwei Minuten Zeit, um Ihre Daten zu überprüfen und zu aktualisieren, um weiterhin eine reibungslose Kommunikation gewährleisten zu können.“ 

Die täuschend echt aussehende E-Mail mit dem Link stammt aber tatsächlich nicht von jener Bank. Sie wurde von Betrügern aufgesetzt, um direkt Konto- und Adressdaten von ahnungslosen Nutzern abzugreifen, die eigentlich dachten, sie tun das genau Richtige – ihre Daten in Zeiten erschwerter Kommunikation zu aktualisieren. Dabei appelliert die E-Mail am Ende noch einmal besonders emotional an das Gewissen der Empfänger: „Prävention ist keine Hysterie, und Ignoranz ist auch kein Mut! Wir hoffen sehr auf Ihre Solidarität und Ihr Verständnis!“

Faktor Mensch beim Thema IT-Sicherheit

Beim „Phishing“ werden per E-Mail, Social Media oder sogar per Telefon emotionale Köder ausgeworfen, in der Hoffnung, dass jemand „anbeißt“. Und das ist in Ausnahmesituationen wie einer weltweiten Pandemie viel wahrscheinlicher. „Cyber-Kriminelle nutzen die Verunsicherung und das allgemeine Bedürfnis nach Schutz und Informationen gezielt aus“, heißt es vom Bundesamt für Sicherheit in der Informationstechnik (BSI), das seit Beginn des vergangenen Jahres einen hohen Anstieg an Phishing-Mails mit Corona-Bezug verzeichnet hat. „Unternehmen müssen den Faktor Mensch nun intensiver in Maßnahmen zur Stärkung der IT-Sicherheit miteinbeziehen, um wenig Angriffsfläche zu bieten.“ Das bedeutet: Mitarbeiter müssen gezielt geschult werden.



Phishing-Mails ködern mit Angst-Szenarien

Denn bei Phishing-Attacken hilft eine gute Antiviren-Software nur bedingt weiter. Zwar kann sie beispielsweise auf gefährliche Links und Anhänge in E-Mails hinweisen – doch Phishing zielt tatsächlich gar nicht auf technische Sicherheitslücken ab, sondern auf den Menschen, der hinter dem Rechner sitzt. Damit wird es zur einfachsten Art des Cyberangriffs, aber auch zur gefährlichsten. Bei allen Arten geben die Versender vor, jemand zu sein, der sie nicht sind – eine seriöse Bank, ein Internetanbieter oder ein anderer Dienstleister. Erfolg hat das Phishing in der Regel, wenn der Empfänger zufällig einen Bezug zum vermeintlichen Versender hat – also zum Beispiel, weil er zufällig Kunde bei der Bank ist, von der die E-Mail vermeintlich stammt. Eine andere Strategie der Cyber-Kriminellen ist auch, den Betreff so zu formulieren, dass er geradezu nach einer Reaktion schreit, wie zum Beispiel „Ihr Konto wurde gesperrt“ oder „Ihr System wurde erfolgreich gehackt“. Viele Empfänger öffnen bei so einem angsteinflößenden Szenario die E-Mail und können so schneller zum Opfer einer Phishing-Attacke werden, weil sie glauben, direkt handeln zu müssen.

Phishing-Gefahren im Homeoffice

Wie schon das Beispiel zu Beginn mit der Bank zeigte, versprechen subtile Phishing-Attackenden Kriminellen in Corona-Zeiten nicht nur mehr Erfolg, weil sie emotional an das Gewissen der Menschen appellieren und ihre Unsicherheit ausnutzen. Ihnen hilft auch, dass auf einmal vieles nur noch digital läuft. Da ein Großteil der Mitarbeiter im Homeoffice ist, fehlt die Face-to-Face-Kommunikation – das meiste läuft per Telefon, Chat oder E-Mail. Gerade da setzt das sogenannte Spear-Phishing an. Im Gegensatz zu den meisten Phishing-Aktionen, bei denen massenhaft E-Mails, SMS oder Direct Messages in der Hoffnung versendet werden, dass einige Personen anbeißen (sog. „Spray and Pray Phishing“), wird Spear-Phishing ganz gezielt ausgeführt. Bei dieser Attacke suchen die Kriminellen systematisch Informationen von einer Person inklusive ihrer Verbindungen zu anderen Angestellten im Unternehmen (sog. Social Engineering), um auf diese Weise eine besonders glaubwürdige Nachricht eines Kollegen oder Vorgesetzten vorzutäuschen. So gibt sich der Angreifer zum Beispiel als Geschäftsführer des Unternehmens aus und drängt darauf, entweder eine bedeutende Zahlung anzuweisen oder schnell Informationen herauszugeben, auf die er aufgrund der aktuellen Lage angeblich keinen Zugriff hat.

Perfide Unterart: Clone-Phishing

Eine ebenso perfide Unterart des Phishings ist das sogenannte Clone-Phishing. Dabei erstellen die Angreifer eine Kopie von einer zuvor gesendeten, echten E-Mail aus dem Unternehmen, die einen Link oder einen Anhang enthält. Die Kriminellen ersetzen jedoch Link oder Anhang durch einen bösartigen Ersatz und versenden sie erneut mit einem täuschend ähnlich aussehenden E-Mail-Kopf. Klicken die Empfänger dann darauf, weil sie glauben, die Original-E-Mail vor sich zu haben, kann Malware ins System geraten, die dann weitere Schäden anrichten; z. B. verschlüsselt sie wichtige Daten und macht diese somit unbrauchbar. Im schlimmsten Fall erlangen die Angreifer die Fremdkontrolle über das System, wodurch sie Zugriff auf alle Daten erhalten. Ein solcher Angriff ist in der Regel nur möglich, wenn zuvor schon das Postfach gehackt und sich die Phisher so illegal Zugang zu den E-Mails verschafft haben, um sie als Vorlagen verwenden zu können.

Wie schütze ich mich vor Phishing-Attacken?

Der sicherste Schutz vor Phishing-Attacken ist, alle E-Mails, in denen Sie zu etwas aufgefordert werden, einmal genauer unter die Lupe zu nehmen – und auf bestimmte Signale zu achten. Zum Beispiel: Ist das wirklich die richtige Absenderadresse, oder ist da bei genauerem Hinsehen ein Buchstabendreher zu finden? Wo führen die Links hin? Sind Anrede und Inhalt seltsam allgemein gehalten? Wenn nach PINs oder TANs gefragt wird, ist das ebenfalls ein häufiges Anzeichen für einen Phishing-Versuch.

Es gibt viele kleine Details, für die auch die Mitarbeiter in Schulungen sensibilisiert werden können. Insbesondere das Buchhaltungspersonal wird gezielt für das Spear-Fishing ausgewählt und sollte daher im Fall der Fälle wissen, wie es mit mutmaßlichen Phishing-Nachrichten umgehen sollte, um die Attacke abzuwehren – zum  Beispiel, die IT-Kollegen rechtzeitig zu benachrichtigen. Denn nur so kann gewährleistet werden, dass es in einer sonst technisch einwandfreien IT-Security keine Einfallstore für Cyberkriminelle gibt.

www.m2solutions.de


Artikel zu diesem Thema

Cybercrime
Mär 02, 2021

Phishing- und Malware-Kampagnen mit COVID-19-Bezug

Das IT-Sicherheitsunternehmen Tenable veröffentlichte vor Kurzem eine fundierte Analyse…
Cybercrime
Feb 24, 2021

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken…
Social Media
Feb 22, 2021

Social Media: Welche Formate dieses Jahr wichtig sind

Letztes Jahr lief einiges anders als erwartet und viele Menschen suchten sich auf den…

Weitere Artikel

Log-In

Deutsche haben Angst vor dem Vergessen ihrer Log-Ins

LastPass veröffentlicht die Ergebnisse einer neuen Umfrage zum Passwortverhalten der Deutschen. Die Studie zeigt, dass die Deutschen noch immer große Angst davor haben, ihre Anmeldedaten zu vergessen und den Zugriff auf Webkonten, Onlineshops oder…
Cyber Security

Den Angreifer ins Visier nehmen – Proaktiver Schutz vor Cyber-Bedrohungen

Der Fall Acer hat gezeigt, dass neue Business-Modelle für Kriminelle, wie Ransomware-as-a-Service (RaaS), zunehmend an Popularität gewinnen. Ein Kommentar von Markus Auer, Regional Sales Manager Central Europe bei ThreatQuotient.
Phishing

WeTransfer-Phishing-Kampagne kann die Daten von Empfängern gefährden

Avanan hat aktuell eine Phishing-Kampagne beobachtet, die sich als WeTransfer ausgibt, um die Anmeldedaten der Benutzer zu stehlen. In der Betreffzeile der E-Mail heißt es: „Sie haben einige wichtige Dateien über WeTransfer erhalten!“

Die Schlüsselrolle der UX in der Cybersicherheit

Im Dienst einer effizienten Cybersicherheit kann sich UX als echter Trumpf erweisen und die Verteidigungslinie eines Unternehmens sowie das digitale Vertrauen der Mitarbeiter stärken.

Wenn legitime Tools missbraucht werden, zählt jede Minute

Was tun, wenn kurz vor Feierabend ein Angriff gemeldet wird? Zwar ist das CrowdStrike Falcon Complete-Team auf beiden Hemisphären vertreten und bietet seinen Kunden so einen 24-Schutz. Dennoch gibt es Fälle, in denen beide Teams zusammenarbeiten müssen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.