Phishing ist eine aufwandsarme, erfolgreiche Methode für Angreifer, die unautorisierten Zugang suchen zu den Daten Ihrer Organisation.
Organisationen bestehen aus Menschen, und das Verhalten dieser Menschen treibt den Wandel auf der Verbraucherebene und auf Unternehmensebene voran. Sie verwenden Smartphones, Tablets, Smartwatches und mehr, um Arbeit und Personal Computing miteinander zu verbinden. Sie arbeiten immer häufiger an entfernten, verteilten Standorten und zu ungeraden Arbeitszeiten – Kommunikation, Daten und Anwendungen sollen bei Bedarf verfügbar sein.
Um auf dem heutigen Markt wettbewerbsfähig zu bleiben, sind daher Flexibilität und Anpassungsfähigkeit der Unternehmen erforderlich – und die Entwicklung und Unterstützung der Technologie, die dies ermöglicht – Cloud Computing, Web-Anwendungen, mobile und verbundene Geräte.
Dennoch ist es so einfach, dieses neue Unternehmensmodell für böswillige Gewinne auszunutzen. Phishing ist eine aufwandsarme, erfolgreiche Methode für Angreifer, die unbefugten Zugriff auf die Daten Ihres Unternehmens suchen.
Mit einem Passwort ist es für einen Angreifer trivial, Fernzugriff auf das Netzwerk Ihres Unternehmens zu erlangen, wo er sich seitlich innerhalb des Netzwerks bewegen kann – unentdeckt und unerschrocken. Diese Art von Angriff umgeht herkömmliche Sicherheitsmaßnahmen (wie Firewalls), die sich auf den Schutz des Netzwerkperimeters konzentrieren, das Innere aber nicht schützen können.
Dieser Leitfaden gibt Ihnen den folgenden Überblick:
- Wie Phishing funktioniert, wie es sich entwickelt hat und wie die neuen Taktiken den Benutzern legitim erscheinen
- Statistiken darüber, auf wen und welche Branchen Phisher abzielen, worauf Menschen am häufigsten klicken und was gestohlen wird
- Worauf Sie achten sollten, Tipps für Administratoren und Benutzer zum Schutz vor Phishing und wie ein Null-Vertrauen-Sicherheitsmodell zum Schutz Ihrer Organisation beitragen kann
Der Schutz Ihres Netzwerks sowohl nach außen als auch nach innen erfordert mehr Kontrollen als ein herkömmliches Sicherheitsmodell mit Perimeter und muss sich auf das Vertrauen in die Benutzeridentität und den Gerätezustand verlassen. Dies wird zur Sicherung des neuen “identitätsbasierten Perimeters” beitragen.
Was ist Phishing?
Social Engineering
Phishing ist eine Form des Social Engineering – der Akt der Täuschung oder das Ausnutzen des Vertrauens eines Benutzers, um ihn zu überzeugen, sensible Informationen preiszugeben.
Speer-Phishing
Spear-Phishing ist eine Art von Phishing-Angriff, der auf eine bestimmte Person oder eine Gruppe von Personen abzielt. Angreifer können ihre Ziele über soziale Mediennetzwerke und öffentlich zugängliche Informationen online recherchieren und die Daten nutzen, um eine glaubwürdige Botschaft zu erstellen.
Die Angreifer haben dabei das Ziel die Opfer davon zu überzeugen, zusätzliche, nicht-öffentliche Informationen anzuklicken, herunterzuladen oder weiterzugeben.
Gezielte Informationen bei Phishing-Versuchen:
Benutzernamen und Passwörter, die zur Anmeldung bei persönlichen und beruflichen Konten verwendet werden können
E-Mail-Adressen von Kollegen oder Familienmitgliedern und Freunden, die zum Versenden von überzeugenderen Phishing-E-Mails verwendet werden können
Persönlich identifizierbare Informationen wie Namen, physische Adressen, Geburtsdaten, Sozialversicherungsnummern usw., die für Identitätsdiebstahl verwendet werden können
Vertrauliche Unternehmensinformationen, wie Einzelheiten über Fusionen und Übernahmen, Forschung und Entwicklung und alle anderen Informationen, die zur Beeinflussung des Aktienhandels oder zur Erzielung von Wettbewerbsvorteilen genutzt werden können
Finanzdaten wie Kreditkartennummern oder Steuerinformationen, die verwendet werden können um Steuerbetrug zu begehen und Geld zu stehlen
Telefonnummern, die sowohl zur Umgehung der Zwei-Faktor-Authentifizierung als auch zur Durchführung von SMS-basierten Phishing-Kampagnen verwendet werden können
Medizinische Aufzeichnungen oder Krankenversicherungsinformationen wie Versicherungspolicen-IDs, die zum Betrug bei der Krankenversicherung verwendet werden können
Wie Phishing funktioniert
Angreifer konzentrieren sich auf Phishing-E-Mails und verwenden dabei diese Methoden:
- E-Mail an Benutzer senden
Angreifer stehlen die Daten, indem sie den Benutzer dazu beeinflussen:
- Sie senden den Angreifern direkt Informationen
- Klicken Sie auf einen Link, besuchen Sie eine gefälschte Website und geben Sie dann Benutzername und Passwort ein.
- Laden Sie einen E-Mail-Anhang herunter, der Malware ausführt
- Besuchen Sie eine bösartige Website, die ein Exploit-Kit beinhaltet, das Malware ausführt
Verschiedene Phishing Methoden
Schützen Sie sich gegen Phishing
Für IT-Administratoren
Implementierung und Einsatz einer Zwei-Faktor-Authentifizierung
Selbst wenn die Passwörter Ihrer Benutzer durch einen Phishing-Angriff kompromittiert werden, sind ihre Konten auf diese Weise durch einen zweiten Authentifizierungsfaktor geschützt. Angreifer können sich nicht einloggen, ohne im Besitz ihres physischen Geräts, wie etwa eines Telefons oder eines Sicherheitstokens, zu sein.
Die sicherste Methode erfordert die Verwendung eines U2F-kompatiblen (Universal 2nd Factor) USB-Geräts, das an den Computer des Benutzers angeschlossen wird, so dass dieser es einfach anzapfen kann, um sich schnell und sicher anzumelden.
Ermutigen Sie die Benutzer ihre Geräte rechtzeitig zu aktualiseren und aktualisieren Sie die Geräte ihrer Benutzer
Bei den verschiedenen Phishing-Methoden lädt der Benutzer einen bösartigen Anhang herunter, der sein Gerät auf Schwachstellen überprüft, bevor der Angreifer es kompromittiert.
Geräte, auf denen ältere Softwareversionen ohne aktivierte Sicherheitsfunktionen laufen, sind mit größerer Wahrscheinlichkeit von öffentlich bekannten Schwachstellen betroffen – was sie anfällig für eine Kompromittierung macht.
Verschaffen Sie sich einen Überblick über den Sicherheitsstatus der Geräte, die auf Ihr Netzwerk zugreifen
Viele Benutzer verwenden ihre persönlichen Smartphones und Laptops, um sich von verschiedenen Netzwerken und zu jeder Zeit bei den Ressourcen Ihrer Organisation anzumelden. Verwenden Sie eine Endpunktsicherheitslösung, um einen Einblick in den Sicherheitszustand jedes Geräts zu erhalten.
Verschaffen Sie sich einen Überblick über die persönlichen und unternehmenseigenen Geräte in Ihrem Netzwerk
Persönliche Geräte am Arbeitsplatz können mehrere Arbeits- und persönliche Konten haben, da die Grenze zwischen beiden verschwommen ist. BYOD kann Risiken mit sich bringen,
aber Ihr Team kann es unterstützen, indem es eine Endpunktlösung verwendet, um persönliche Geräte gegenüber Unternehmensgeräten zu identifizieren, und indem es Zugriffssicherheitsrichtlinien verstärkt, um strengere Sicherheitsprüfungen für persönliche Geräte, die auf Arbeitsanwendungen zugreifen, zu verlangen.
Für Benutzer
Geben Sie URLs selbst ein; klicken Sie nicht auf Links in E-Mails
Webadressen sind möglicherweise nicht das, wie sie in Ihren E-Mail-Nachrichten erscheinen – es ist besser, den Domänennamen selbst einzugeben, bevor Sie sensible Informationen in Webformulare eingeben.
Schalten Sie die Zwei-Faktor-Authentifizierung (2FA) für jedes Konto ein
Wenn Sie dazu in der Lage sind, verwenden Sie eine kostenlose mobile Anwendung zur Authentifizierung und richten Sie für alle Ihre Online-Konten eine auf Push-Authentifizierung basierende 2FA-Anwendung ein, um sich vor unbefugtem Zugriff durch Phishing zu schützen. Oder verwenden Sie auf Passcode basierende Methoden, wenn dies angeboten wird (richten Sie Ihre mobile Anwendung so ein, dass sie eindeutige Passcodes generiert, und geben Sie diese dann in Ihren Anmeldebildschirm ein).
Hüten Sie sich vor bestimmten sozialen Hinweisen, dringenden Bitten und Geschenk- oder Geldangeboten
Nachrichten, die als dringende Bitten um sofortige Bezahlung, Aktualisierungen Ihres Kontos, Passwortänderungen usw. erscheinen, spielen mit der reaktiven emotionalen Reaktion eines Benutzers, um schnell Informationen von ihm zu erhalten.
Vorsicht vor Social Media, Unterhaltungs- oder Belohnungsbetrug
Angriffe auf Social-Media-Plattformen haben sich laut PhishLabs seit dem letzten Jahr fast verdreifacht.
Diese Arten von Betrug nutzen das inhärente Vertrauen zwischen Nutzern und einer Plattform oder Marke. Indem sie auf Mitarbeiter abzielen, die persönliche und geschäftliche Praktiken vermischen, hoffen die Betrüger, dass die Mitarbeiter ihre Wachsamkeit für eine Botschaft, die sie auf persönlicher Ebene anspricht, verringern können.
Überprüfen Sie den Absender persönlich oder über einen anderen Kommunikationskanal
Wenn Sie dazu in der Lage sind, können Sie überprüfen, ob der Absender Ihnen die fragliche Nachricht tatsächlich gesendet hat, indem Sie ihn persönlich oder über einen anderen Nachrichtendienst fragen oder ihn anrufen.
Manchmal können diese Methoden auch kompromittiert oder gephisht werden. Wenn Sie sich also immer noch unsicher sind, senden Sie die Nachricht zur Überprüfung an Ihr IT- oder Sicherheitsteam.
Suchen Sie nach Aktualisierungen und führen Sie diese aus; verwenden Sie Software, die sich wann immer möglich automatisch aktualisiert
Ihre Software und Geräte auf dem neuesten Stand zu halten, ist eine Möglichkeit, sich vor Malware-Kompromittierungen und Datendiebstahl als Folge von Phishing zu schützen. Führen Sie diese häufig und rechtzeitig durch.