Tausende Mitarbeiter von Unternehmen fallen jährlich auf Phishing-Angriffe herein. Über gefälschte Websites gelangen Kriminelle zielgerichtet an die Zugangsdaten ihrer Opfer. Die Folgeschäden sind riesig, weil die Täter oft große Geldbeträge erbeuten.
Trotz moderner Spam-Filter lässt sich die E-Mail Flut nur schwer eindämmen. Nahezu täglich landen Spam und Phishing Mails in den E-Mail Konten von Unternehmen. Die hiermit verbundenen Risiken werden gerne unterschätzt. Denn zum einen geben sich die Angreifer mehr Mühe, zum anderen droht im Ernstfall ein erheblicher Schaden.
Angreifer haben es auf Zugangsdaten abgesehen
Vorbei sind die Zeiten, in denen Spammer auf den Verkauf wertloser Produkte abzielten. Zunehmend mehr Spammer sind aktive Angreifer und haben es auf IT-Systeme von Unternehmen abgesehen. Insbesondere Cloud-Dienste stehen hoch im Kurs. Angreifer möchten Zugangsdaten erbeuten, um beispielsweise auf Konten bei Dropbox, Google oder Microsoft Office 365 zugreifen zu können.
Die hiermit verbundene Zielsetzung kann verschieden sein. Einige der Angreifer haben es auf die Daten ihrer Opfer abgesehen. Sie erhoffen sich verwertbare Informationen, die sie z.B. im Anschluss verkaufen oder als Druckmittel für Erpressungen einsetzen können. Andere möchten hingegen Systeme übernehmen und Nutzer aussperren, um anschließend Geld für eine Freigabe der Systeme zu erpressen.
So laufen Phishing-Angriffe ab
Angreifer locken ihre Opfer mit einem Vorwand auf gefälschte Internetseiten, wie z.B. die Website einer Bank. Meist geschieht dies mit Verweis auf eine dringend notwendige Aktion, da sonst ein Übel droht, wie beispielsweise eine Sperrung des Kontos oder Erhebung von Gebühren.
Die Zielseiten sind gut gefälscht, sodass Nutzer meinen, sich auf den echten Seiten zu befinden. Sobald ein Nutzer versucht, sich dort einzuloggen, werden die eingegebenen Zugangsdaten abgefangen. Die Kriminellen können die Daten anschließend nutzen, um sich selbst Zugang zu verschaffen und beispielsweise Geldüberweisungen zu tätigen.
Typischerweise erfolgen Phishing-Angriffe über gefälschte E-Mails, die den Eindruck erwecken, als kämen sie von vertrauenswürdigen Quellen wie Unternehmen, Banken oder sogar Regierungsbehörden. Diese E-Mails enthalten Links zu den gefälschten Websites.
Mit ihren Phishing-Mails versuchen Angreifer häufig ein Gefühl von Dringlichkeit zu erzeugen. Dies soll den Nutzer zu schnellem und unüberlegten Handeln bewegen, sodass er seine Daten leichter preisgibt. Zur Erreichung dieses Ziels greifen die Cyberkriminellen gerne auf folgende erfundene Vorwände zurück:
-
Zahlung erforderlich
Notwendigkeit einer Zahlung, z.B. wegen einer unbezahlten Rechnung. -
Ware in Zustellung
Es ist Handeln erforderlich, damit eine Ware zugestellt wird. -
Technische Schwierigkeiten
Es droht die Schließung eines Nutzerkontos, wenn die Person nicht handelt.
Die gefälschten Zielseiten sind oft täuschend echt und nahezu identisch mit den originalen Seiten, was Nutzer dazu verleitet, leicht auf sie hereinzufallen. Diese hochwertigen Nachbildungen können selbst erfahrene Internetnutzer täuschen und zu unbedachten Handlungen verleiten.
Derartige Angriffe fallen bereits in den Bereich des Social Engineering. Zwar wird in diesem Umfeld tendenziell eher zum Telefonhörer gegriffen, um noch authentischer zu wirken oder gar Druck auszuüben. Doch selbst per E-Mail ist es möglich, überraschend viele Mitarbeiter zu täuschen und damit zu Opfern zu machen.
Wie erkennt man Phishing?
Es gibt einige Anzeichen, an denen man Phishing-E-Mails erkennen kann:
- Unpersönliche Anrede
Phishing-E-Mails verwenden oft generische Anreden wie „Sehr geehrter Kunde“ anstelle des Namens vom Adressaten. - Unerwartete Anfragen
Wenn Sie unerwartet nach sensiblen Informationen gefragt werden, sollten Sie skeptisch sein. - Fehlerhafte Grammatik und Rechtschreibung
Viele Phishing-E-Mails enthalten Grammatik- und Rechtschreibfehler. - Verdächtige Links
Überprüfen Sie Links, indem Sie mit der Maus darüber fahren, ohne sie zu klicken. Die tatsächliche URL wird angezeigt – wenn diese nicht zur erwarteten Website führt, ist Vorsicht geboten.
Entwicklung der vergangenen Jahre
Ein Trend besteht darin, dass der initiale Kontakt nicht mehr zwangsläufig per E-Mail erfolgt. Zunehmend häufiger erfolgt die Kontaktaufnahme per Instant-Messenger oder SMS. Im Fall der SMS wird auch von einem Smishing-Angriff gesprochen.
Klassicherweise haben es die Angreifer auf den Zugang zu Systemen abgesehen, über die sie an Geld kommen. Im Fokus stehen Zugänge zu Online-Banking-Plattformen oder Online-Bezahlanbietern, wie z.B. Paypal. Bei modernen Angriffen werden Nutzer, nachdem ihre Zugangsdaten abgefangen wurden, auf die tatsächlichen Websites weitergeleitet, sodass sie weniger Verdacht schöpfen
Die Mehrheit der Phishing-Mails wird an Millionen E-Mail-Postfächer gesendet. Damit nehmen die Angreifer in Kauf, dass die meisten Empfänger auf die Masche nicht hereinfallen. Allerdings zeigt die Praxis, dass Angreifer zunehmend ihre Opfer gezielt auswählen und attackieren. Dies erfordert zwar mehr Wissen über die Opfer, jedoch erhöht der Aufwand auch die Aussichten auf Erfolg. Derartige Angriffe werden als Spear Phishing bezeichnet.
Ein weiterer Trend ist der Einsatz von Schadsoftware. Sie wird durch die Hintertür eingeschleust, meist per E-Mail. Anstatt Opfer auf gefälschte Websites zu locken, findet eine Überwachung im Hintergrund statt. So können die Angreifer in aller Ruhe Daten sammeln, um später einen umso größeren Schaden anzurichten. Dieser muss sich nicht auf den Missbrauch von Online-Banking beschränken. Zunehmend häufiger gelangt Ransomware zum Einsatz, um die Systeme der Opfer zu verschlüsseln und anschließend Lösegelder zu erpressen.
Wie Unternehmen vorbeugen
Unternehmen können das Risiko erfolgreicher Phishing-Angriffe minimieren.
- Ergreifung technischer Maßnahmen
Leistungsstarke und gut konfigurierte Spam-Filter befinden sich in der Lage, den Großteil der Phishing-E-Mails abzublocken. Als Folge werden Mitarbeiter mit solchen E-Mails gar nicht erst konfrontiert. Weitere Maßnahmen können z.B. die Einrichtung einer 2-Faktor Authentifizierung (2FA) oder die Verwendung eines Browsers, der gefälschte Urls erkennt, sein. - Sich der Risiken bewusst sein
Die zweite Sicherheitsmaßnahme besteht darin, Mitarbeiter grundlegend zu schulen. Sind sich Mitarbeiter des Risikos nicht bewusst, geben sie eher Zugangsdaten oder ähnlich sensible Informationen preis. Gezielte Schulungen zum Thema Phishing helfen Mitarbeitern, Betrugsversuche als solche zu erkennen. Zugleich wird im Rahmen einer guten Schulung vermittelt, welche Optionen dem Mitarbeiter zur Verfügung stehen, um die Echtheit einer E-Mail zu verifizieren. Im Zweifelsfall sollten Mitarbeiter immer erst einen Spezialisten des Help Desks bzw. aus der IT-Abteilung kontaktieren, bevor sie auf einen Link klicken oder gar einen E-Mail Anhang öffnen.
Ihre Experten für Datenschutz
Als Datenschutzexperten unterstützen wir Unternehmen beim betrieblichen Datenschutz, indem wir ganzheitliche Datenschutzkonzepte entwickeln und Hilfe bei deren Umsetzung leisten. Wir sind bundesweit tätig, z.B. mit unseren Kooperationspartnern in Erlangen oder Dresden. Gerne stehen wir auch Ihnen zur Verfügung, Sie erreichen uns telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular. Wir freuen uns auf Ihre Anfrage.