Phishing: Angriffe, Gefahren und Schutz – Phishing-Leitfaden

Phishing ist eine aufwandsarme, erfolgreiche Methode für Angreifer, die unautorisierten Zugang suchen zu den Daten Ihrer Organisation.

Organisationen bestehen aus Menschen, und das Verhalten dieser Menschen treibt den Wandel auf der Verbraucherebene und auf Unternehmensebene voran. Sie verwenden Smartphones, Tablets, Smartwatches und mehr, um Arbeit und Personal Computing miteinander zu verbinden. Sie arbeiten immer häufiger an entfernten, verteilten Standorten und zu ungeraden Arbeitszeiten – Kommunikation, Daten und Anwendungen sollen bei Bedarf verfügbar sein.

Um auf dem heutigen Markt wettbewerbsfähig zu bleiben, sind daher Flexibilität und Anpassungsfähigkeit der Unternehmen erforderlich – und die Entwicklung und Unterstützung der Technologie, die dies ermöglicht – Cloud Computing, Web-Anwendungen, mobile und verbundene Geräte.

Dennoch ist es so einfach, dieses neue Unternehmensmodell für böswillige Gewinne auszunutzen. Phishing ist eine aufwandsarme, erfolgreiche Methode für Angreifer, die unbefugten Zugriff auf die Daten Ihres Unternehmens suchen.

Mit einem Passwort ist es für einen Angreifer trivial, Fernzugriff auf das Netzwerk Ihres Unternehmens zu erlangen, wo er sich seitlich innerhalb des Netzwerks bewegen kann – unentdeckt und unerschrocken. Diese Art von Angriff umgeht herkömmliche Sicherheitsmaßnahmen (wie Firewalls), die sich auf den Schutz des Netzwerkperimeters konzentrieren, das Innere aber nicht schützen können.

Dieser Leitfaden gibt Ihnen den folgenden Überblick:

  • Wie Phishing funktioniert, wie es sich entwickelt hat und wie die neuen Taktiken den Benutzern legitim erscheinen
  • Statistiken darüber, auf wen und welche Branchen Phisher abzielen, worauf Menschen am häufigsten klicken und was gestohlen wird
  • Worauf Sie achten sollten, Tipps für Administratoren und Benutzer zum Schutz vor Phishing und wie ein Null-Vertrauen-Sicherheitsmodell zum Schutz Ihrer Organisation beitragen kann

Der Schutz Ihres Netzwerks sowohl nach außen als auch nach innen erfordert mehr Kontrollen als ein herkömmliches Sicherheitsmodell mit Perimeter und muss sich auf das Vertrauen in die Benutzeridentität und den Gerätezustand verlassen. Dies wird zur Sicherung des neuen “identitätsbasierten Perimeters” beitragen.

Was ist Phishing?

Phishing ist ein Versuch Benutzer zu täuschen, um sensible Informationen zu stehlen, per E-Mail, Telefon oder Textnachricht.

Social Engineering

Phishing ist eine Form des Social Engineering – der Akt der Täuschung oder das Ausnutzen des Vertrauens eines Benutzers, um ihn zu überzeugen, sensible Informationen preiszugeben.

Speer-Phishing

Spear-Phishing ist eine Art von Phishing-Angriff, der auf eine bestimmte Person oder eine Gruppe von Personen abzielt. Angreifer können ihre Ziele über soziale Mediennetzwerke und öffentlich zugängliche Informationen online recherchieren und die Daten nutzen, um eine glaubwürdige Botschaft zu erstellen.
Die Angreifer haben dabei das Ziel die Opfer davon zu überzeugen, zusätzliche, nicht-öffentliche Informationen anzuklicken, herunterzuladen oder weiterzugeben.

Gezielte Informationen bei Phishing-Versuchen:

Benutzernamen und Passwörter, die zur Anmeldung bei persönlichen und beruflichen Konten verwendet werden können

E-Mail-Adressen von Kollegen oder Familienmitgliedern und Freunden, die zum Versenden von überzeugenderen Phishing-E-Mails verwendet werden können

Persönlich identifizierbare Informationen wie Namen, physische Adressen, Geburtsdaten, Sozialversicherungsnummern usw., die für Identitätsdiebstahl verwendet werden können

Vertrauliche Unternehmensinformationen, wie Einzelheiten über Fusionen und Übernahmen, Forschung und Entwicklung und alle anderen Informationen, die zur Beeinflussung des Aktienhandels oder zur Erzielung von Wettbewerbsvorteilen genutzt werden können

Finanzdaten wie Kreditkartennummern oder Steuerinformationen, die verwendet werden können um Steuerbetrug zu begehen und Geld zu stehlen

Telefonnummern, die sowohl zur Umgehung der Zwei-Faktor-Authentifizierung als auch zur Durchführung von SMS-basierten Phishing-Kampagnen verwendet werden können

Medizinische Aufzeichnungen oder Krankenversicherungsinformationen wie Versicherungspolicen-IDs, die zum Betrug bei der Krankenversicherung verwendet werden können

Wie Phishing funktioniert

Unterschiedliche Methoden und Ziele
Phishing-Methoden und -Ziele variieren von Credential- und Datendiebstahl bis hin zur Malware-Infektion und Computer-Kompromittierung. Das Verstehen des “Choose-your-own-Adventure”-Arbeitsablaufs gibt Aufschluss darüber, welche Präventivmaßnahmen Sie zum Schutz vor Phishing-Folgen ergreifen müssen.

Angreifer konzentrieren sich auf Phishing-E-Mails und verwenden dabei diese Methoden:

  • E-Mail an Benutzer senden

Angreifer stehlen die Daten, indem sie den Benutzer dazu beeinflussen:

  • Sie senden den Angreifern direkt Informationen
  • Klicken Sie auf einen Link, besuchen Sie eine gefälschte Website und geben Sie dann Benutzername und Passwort ein.
  • Laden Sie einen E-Mail-Anhang herunter, der Malware ausführt
  • Besuchen Sie eine bösartige Website, die ein Exploit-Kit beinhaltet, das Malware ausführt

Verschiedene Phishing Methoden

Die Ziele und Methoden von Phishing-Versuchen können unterschiedlich sein – und zu verstehen, wie Malware verbreitet und Zugangsdaten gestohlen werden, ist die halbe Miete.
Ziel 1: Daten stehlen
Angreifer sendet E-Mail –> Benutzer öffnet E-Mail –> Benutzer klickt auf den Link in der E-Mail –> Link öffnet gefälschte Webseite mit einem Login Feld –> Benutzer gibt Anmeldedaten ein –> Zugangsdaten werden an den Angreifer gesendet
Ziel 2: Computer kompromittieren über Dateianhang
Angreifer sendet E-Mail –> Benutzer öffnet E-Mail –> Benutzer lädt Anhang herunter –> Benutzer öffnet Anhang –> Malware prüft Computer auf Schwachstellen –> Angreifer kompromittiert Computer
Ziel 3: Computer kompromittieren mit bösartigem Link
Angreifer sendet E-Mail –> Benutzer öffnet E-Mail –> Benutzer klickt auf den Link in der E-Mail –> Link öffnet mit Malware infizierte Webseite –> Webseite startet ein Exploit-Kit und prüft den Computer des Benutzers auf Schwachstellen –> Angreifer kompromittiert Computer

Schützen Sie sich gegen Phishing

Für IT-Administratoren

Implementierung und Einsatz einer Zwei-Faktor-Authentifizierung

Selbst wenn die Passwörter Ihrer Benutzer durch einen Phishing-Angriff kompromittiert werden, sind ihre Konten auf diese Weise durch einen zweiten Authentifizierungsfaktor geschützt. Angreifer können sich nicht einloggen, ohne im Besitz ihres physischen Geräts, wie etwa eines Telefons oder eines Sicherheitstokens, zu sein.

Die sicherste Methode erfordert die Verwendung eines U2F-kompatiblen (Universal 2nd Factor) USB-Geräts, das an den Computer des Benutzers angeschlossen wird, so dass dieser es einfach anzapfen kann, um sich schnell und sicher anzumelden.

Ermutigen Sie die Benutzer ihre Geräte rechtzeitig zu aktualiseren und aktualisieren Sie die Geräte ihrer Benutzer

Bei den verschiedenen Phishing-Methoden lädt der Benutzer einen bösartigen Anhang herunter, der sein Gerät auf Schwachstellen überprüft, bevor der Angreifer es kompromittiert.

Geräte, auf denen ältere Softwareversionen ohne aktivierte Sicherheitsfunktionen laufen, sind mit größerer Wahrscheinlichkeit von öffentlich bekannten Schwachstellen betroffen – was sie anfällig für eine Kompromittierung macht.

Verschaffen Sie sich einen Überblick über den Sicherheitsstatus der Geräte, die auf Ihr Netzwerk zugreifen

Viele Benutzer verwenden ihre persönlichen Smartphones und Laptops, um sich von verschiedenen Netzwerken und zu jeder Zeit bei den Ressourcen Ihrer Organisation anzumelden. Verwenden Sie eine Endpunktsicherheitslösung, um einen Einblick in den Sicherheitszustand jedes Geräts zu erhalten.

Verschaffen Sie sich einen Überblick über die persönlichen und unternehmenseigenen Geräte in Ihrem Netzwerk

Persönliche Geräte am Arbeitsplatz können mehrere Arbeits- und persönliche Konten haben, da die Grenze zwischen beiden verschwommen ist. BYOD kann Risiken mit sich bringen,
aber Ihr Team kann es unterstützen, indem es eine Endpunktlösung verwendet, um persönliche Geräte gegenüber Unternehmensgeräten zu identifizieren, und indem es Zugriffssicherheitsrichtlinien verstärkt, um strengere Sicherheitsprüfungen für persönliche Geräte, die auf Arbeitsanwendungen zugreifen, zu verlangen.

Für Benutzer

Geben Sie URLs selbst ein; klicken Sie nicht auf Links in E-Mails

Webadressen sind möglicherweise nicht das, wie sie in Ihren E-Mail-Nachrichten erscheinen – es ist besser, den Domänennamen selbst einzugeben, bevor Sie sensible Informationen in Webformulare eingeben.

Schalten Sie die Zwei-Faktor-Authentifizierung (2FA) für jedes Konto ein

Wenn Sie dazu in der Lage sind, verwenden Sie eine kostenlose mobile Anwendung zur Authentifizierung und richten Sie für alle Ihre Online-Konten eine auf Push-Authentifizierung basierende 2FA-Anwendung ein, um sich vor unbefugtem Zugriff durch Phishing zu schützen. Oder verwenden Sie auf Passcode basierende Methoden, wenn dies angeboten wird (richten Sie Ihre mobile Anwendung so ein, dass sie eindeutige Passcodes generiert, und geben Sie diese dann in Ihren Anmeldebildschirm ein).

Hüten Sie sich vor bestimmten sozialen Hinweisen, dringenden Bitten und Geschenk- oder Geldangeboten

Nachrichten, die als dringende Bitten um sofortige Bezahlung, Aktualisierungen Ihres Kontos, Passwortänderungen usw. erscheinen, spielen mit der reaktiven emotionalen Reaktion eines Benutzers, um schnell Informationen von ihm zu erhalten.

Vorsicht vor Social Media, Unterhaltungs- oder Belohnungsbetrug

Angriffe auf Social-Media-Plattformen haben sich laut PhishLabs seit dem letzten Jahr fast verdreifacht.
Diese Arten von Betrug nutzen das inhärente Vertrauen zwischen Nutzern und einer Plattform oder Marke. Indem sie auf Mitarbeiter abzielen, die persönliche und geschäftliche Praktiken vermischen, hoffen die Betrüger, dass die Mitarbeiter ihre Wachsamkeit für eine Botschaft, die sie auf persönlicher Ebene anspricht, verringern können.

Überprüfen Sie den Absender persönlich oder über einen anderen Kommunikationskanal

Wenn Sie dazu in der Lage sind, können Sie überprüfen, ob der Absender Ihnen die fragliche Nachricht tatsächlich gesendet hat, indem Sie ihn persönlich oder über einen anderen Nachrichtendienst fragen oder ihn anrufen.
Manchmal können diese Methoden auch kompromittiert oder gephisht werden. Wenn Sie sich also immer noch unsicher sind, senden Sie die Nachricht zur Überprüfung an Ihr IT- oder Sicherheitsteam.

Suchen Sie nach Aktualisierungen und führen Sie diese aus; verwenden Sie Software, die sich wann immer möglich automatisch aktualisiert

Ihre Software und Geräte auf dem neuesten Stand zu halten, ist eine Möglichkeit, sich vor Malware-Kompromittierungen und Datendiebstahl als Folge von Phishing zu schützen. Führen Sie diese häufig und rechtzeitig durch.