5 Arten von Phishing-Angriffen, auf die Sie achten sollten
Phishing tritt in vielen Formen auf, da Betrüger über E-Mail und andere Kommunikationskanäle versuchen, Ihr Unternehmen zu bestehlen.
Wichtige Punkte
- Die Arten von Phishing-Angriffen haben sich weiterentwickelt und von E-Mail auf Text, Sprache und soziale Medien ausgeweitet.
- Betrüger nutzen Social-Engineering-Taktiken für ausgefeiltere Angriffe, bei denen sie sich als Mitarbeiter, Vorgesetzte und Geschäftspartner ausgeben.
- Schulungen sind der Schlüssel zur Abwehr aller Arten von Phishing, zusammen mit Automatisierungs- und Technologiewerkzeugen, die Ihre Systeme schützen und laufenden Betrug erkennen.
Der Begriff "Phishing" kam 2005 offiziell in den Sprachgebrauch, als das Oxford American Dictionary das Wort hinzufügte und es definierte als "die Aktivität, Menschen auszutricksen, indem sie dazu gebracht werden, ihre Identität, Bankkontonummern usw. über das Internet oder per E-Mail anzugeben, und diese dann zu benutzen, um Geld von ihnen zu stehlen". Aber Phishing-E-Mails sind so alt wie die E-Mail selbst. Die ersten Phishing-Angriffe per E-Mail gab es Mitte der 1990er Jahre, [i] und Phishing ist auch im Jahr 2021 noch ein großes Problem. Infolge der Umstellung auf Fernarbeit während der COVID-19-Pandemie berichten Unternehmen über einen Anstieg der verschiedenen Arten von Phishing-Angriffen. [ii]
Was ist ein Phishing-Angriff?
Die Auflistung der verschiedenen Phishing-Arten beginnt mit den offensichtlichen Spam-E-Mails - z. B. "Klicken Sie hier und fordern Sie einen Preis an" -, die den Empfänger dazu verleiten, auf den Köder zu klicken und die bösen Jungs auf seinen Computer zu lassen - und darüber hinaus. Dann gibt es noch raffiniertere Arten von Phishing, bei denen Social-Engineering-Taktiken eingesetzt werden, um die Zielperson zur Weitergabe vertraulicher Informationen oder zum Hochladen von Malware zu verleiten. Social Engineering - die Nutzung persönlicher und unternehmensinterner Informationen, um Benutzer dazu zu bringen, auf verschiedene Arten von Phishing-E-Mails hereinzufallen - ist in der Tat ein wachsendes Problem. Sieben von zehn Unternehmen sind der Meinung, dass das Verhalten der Mitarbeiter ihr Unternehmen einem Risiko für verschiedene Arten von E-Mail-Phishing aussetzt, so die Studie von Mimecast State of Email Security 2021 (SOES).
Wie funktioniert Phishing?
Die Betrüger sammeln oft Hintergrundinformationen wie E-Mail-Adressen von Unternehmen sowie Namen und Berufsbezeichnungen von Zielpersonen aus öffentlich zugänglichen Datenbanken und sozialen Netzwerken, um ihre Nachrichten glaubwürdiger zu gestalten. Sie erstellen auch gefälschte Websites, um private Informationen wie Passwörter und Kreditkartennummern zu sammeln.
Die Quintessenz ist, dass die Art des Phishing-Angriffs, der auf bestimmte Benutzer abzielt, davon abhängt, welche Schwachstellen die Bösewichte finden und ausnutzen können. Die Abwehr dieser Angriffe erfordert ebenfalls mehrere Verteidigungsmaßnahmen.
Arten von Phishing-Angriffen
Cyber-Bedrohungen per E-Mail sind im Jahr 2020 um 64 % gestiegen, aber E-Mail ist nicht der einzige Kommunikationskanal für Phishing. Es gibt so viele verschiedene Arten von Phishing-Angriffen, wie es Kommunikationsmedien gibt, über die sie durchgeführt werden.
Neben den vielen Arten von Phishing-E-Mails, die weltweit versendet werden, haben Betrüger auch Kanäle wie Text- und Sprachdialogsysteme genutzt, um die Arten von Phishing zu erweitern und verschiedene Personen und Organisationen anzusprechen. Die folgenden fünf Arten von Phishing-Angriffen, auf die Ihr Unternehmen im Jahr 2021 achten sollte, werden im Folgenden ausführlich beschrieben:
- E-Mail-Phishing
- Speer-Phishing
- Walfang
- Smishing und Vishing
- Angler Phishing
E-Mail-Phishing wirft ein weites Netz aus
Die ursprüngliche Phishing-Masche aus der Zeit der Einwahlmodems ist eine Spam-E-Mail, die an Hunderte oder Tausende von Empfängern geschickt wird und die Nutzer dazu bringen soll, Geld zu überweisen, auf einen Link zu klicken (der in der Regel eine Malware auf ihrem Computer hinterlässt) oder eine Website aufzurufen, die von den Betrügern eingerichtet wurde, um Geld zu stehlen, persönliche Daten zu entwenden oder Malware einzuschleusen. Denken Sie an die alte E-Mail, in der behauptet wird, sie stamme von einem Regierungsminister einer turbulenten Republik, und in der Millionen im Austausch für eine kleine Vorauszahlung angeboten werden. Überraschenderweise fallen die Menschen immer noch auf diese Art von Nachrichten herein. Laut der SOES-Umfrage geben 40 % der Unternehmen an, dass ihre E-Mail-Sicherheit unzureichend ist, während 13 % über kein E-Mail-Sicherheitssystem verfügen.
Einige einfache Präventivmaßnahmen können die Benutzer davor bewahren, auf Phishing hereinzufallen. Das Center for Internet Security gibt einige grundlegende Ratschläge: Seien Sie bei allen E-Mails vorsichtig und klicken Sie nicht auf Links oder Anhänge, die verdächtig aussehen. [iii] Ein Phishing-Filter, der in Ihrer E-Mail-Anwendung und in Ihrem Webbrowser installiert ist, reduziert Phishing-Versuche; ein Popup-Blocker kann ebenfalls dazu beitragen, ein anderes Mittel zu stoppen, das Betrüger häufig einsetzen, um an persönliche Daten zu gelangen.
Speer-Phishing wird persönlich
Dabei handelt es sich um eine speziellere Art von Phishing-Angriffen, die dank persönlicher Informationen aus Online-Quellen auf einen bestimmten Nutzer abzielen. Neben der Schriftart der sozialen Medien können Betrüger jetzt ganze Datenbanken mit Informationen im Dark Web kaufen, was es einfacher macht, eine Nachricht zu erstellen, die ankommt.
Spear-Phishing-E-Mails werden oft so gestaltet, dass sie den Anschein erwecken, von einem vertrauenswürdigen Kollegen oder einem Unternehmen zu stammen, mit dem der Zielnutzer zusammenarbeitet (so genannte "Imitationsangriffe"), mit einer gefälschten Adresse oder Website, die der echten ähnlich sieht. Man kann sie erkennen, wenn man genau auf die Rechtschreibung und Zeichensetzung der Adresse achtet. Einige Betrüger verwenden eine andere Domäne (.net statt .com) oder fügen einer legitimen Adresse zusätzliche Zeichen hinzu, z. B. einen Unterstrich oder Bindestrich. Manche verwenden ähnlich aussehende Zeichen, wie z. B. eine Null anstelle eines "o" oder ein "l" anstelle eines "i", um das Phishing-Ziel zu verwirren.
Technologie und Automatisierung können bei der Abwehr dieser Art von E-Mail-Angriffen hilfreich sein. E-Mail-Authentifizierungsprotokolle wie Domain-based Message Authentication, Reporting & Conformance (DMARC) und Sender Policy Framework (SPF) können dabei helfen, die gefälschten Adressen auszusortieren, die für Impersonation-Angriffe verwendet werden. Künstliche Intelligenz kann das Scannen von E-Mails, die das System durchlaufen, automatisieren, um Anomalien wie gefälschte Websites zu finden. Darüber hinaus können einige Sicherheitstools dank maschinellem Lernen Kommunikationsmuster erkennen, die nicht in den E-Mail-Verkehr des Unternehmens passen, und dann Phisher kennzeichnen.
Walfang trifft Senior Management
Wie der Name schon sagt, handelt es sich beim Walfang um eine Art von Phishing-E-Mail, die auf einen großen Fisch abzielt. Diese noch speziellere Variante des Spear-Phishings zielt auf einen bestimmten Benutzer in der Hierarchie eines Unternehmens ab. Dies ist auch als CEO- oder CFO-Betrug bekannt und beinhaltet das Versenden einer betrügerischen E-Mail an die Führungskraft, in der behauptet wird, ein Untergebener oder Kollege zu sein. Die E-Mail hat oft einen dringenden Ton und bittet um schnellen Zugang zu sensiblen Informationen, ein Passwort oder eine Geldüberweisung, um eine Unternehmensfunktion auszuführen.
Die Abwehrmaßnahmen gegen Whaling ähneln denen gegen Spear-Phishing und andere Arten von Phishing-E-Mails, einschließlich Schulungen zum Sicherheitsbewusstsein und Filtern zum Scannen von E-Mail-Anhängen auf Malware oder zur Überprüfung des E-Mail-Textes auf falsch geschriebene Adressen, die Phishing-E-Mails verraten.
Smishing- und Vishing-Angriffe auf Mobiltelefone
Weltweit gibt es Milliarden von Mobiltelefonen, und sie werden für immer mehr Funktionen genutzt, sowohl zu Hause als auch am Arbeitsplatz. Es war also nur eine Frage der Zeit, bis Betrüger einen Weg finden würden, verschiedene Arten von Phishing mit Hilfe von Smartphones zu entwickeln. Beim Smishing werden Texte oder SMS verwendet, um die Arbeit zu erledigen, die beim herkömmlichen Phishing von E-Mails übernommen wird, während beim Vishing Sprachnachrichten und Robo-Anrufe für den gleichen Effekt eingesetzt werden. Ein Anruf oder eine SMS, die vorgeben, von der Sozialversicherungsbehörde oder dem Internal Revenue Service zu kommen, und in denen dringend eine Antwort verlangt wird - oder eine Betrugswarnung von "Cardmember Services" - ist in der Regel mit einer Aufforderung zur Angabe persönlicher Daten oder einem Link verbunden, auf den man klicken soll.
Die Federal Communications Commission hat eine Reihe von Richtlinien mit gesundem Menschenverstand zusammengestellt, die einzelnen Nutzern dabei helfen sollen, diese Betrügereien zu vermeiden, z. B. die Installation von Anti-Malware-Software und die Sicherstellung, dass die Betriebssysteme auf allen Geräten auf die neueste Version aktualisiert sind. [iv] Unternehmen können ihre Systeme auch schützen, indem sie eine BYOD-Richtlinie (Bring-your-own-device) für alle Mitarbeiter einführen, die Sicherheitsfunktionen enthält und die Aktionen und den Zugriff auf diese Geräte einschränkt, falls sie Opfer von Smishing oder Vishing werden.
Angler-Phishing zielt auf soziale Medien
Soziale Medien sind ein Segen für Kundendienstorganisationen, aber sie bieten Betrügern auch eine andere Art von Phishing-Angriffsmodell. Diese Art von Phishing-Angriff nutzt die eigenen Social-Media-Aktivitäten eines Kunden als Social-Engineering-Vektor, um Zugang zu persönlichen Informationen zu erhalten.
Der Angler bemerkt beispielsweise einen Social-Media-Beitrag, in dem er sich über den Service eines Unternehmens beschwert, fängt die Kommunikation ab, antwortet dem verärgerten Kunden per E-Mail oder in einer Social-Media-Direktnachricht und bietet ihm an, die Dinge wieder in Ordnung zu bringen. Dazu muss der Kunde persönliche Daten preisgeben, auf einen Link klicken oder eine vom Betrüger angegebene Website-Adresse aufrufen. Wie beim Spear-Phishing-Angriff werden auf der ähnlich aussehenden Website persönliche Daten abgeschöpft, Malware eingeschleust und andere böswillige Handlungen auf dem System des Opfers vorgenommen.
Um sich gegen diese Art von Phishing-Angriffen zu schützen, muss man bei Interaktionen in sozialen Medien aufmerksam sein. Nutzer müssen auf verräterische Anzeichen eines gefälschten Social-Media-Kontos achten, z. B. ein fehlendes blaues Häkchen, das bei verifizierten Twitter-Konten auftaucht. Das gefälschte Unternehmen muss seine Social-Media-Präsenz schützen und seine Kunden auf denselben Social-Media-Kanälen warnen, wenn es einen Phishing-Angriff entdeckt, und ihnen Alternativen zur Kontaktaufnahme mit dem Kundendienst anbieten.
Ausbildung erweist sich als unerlässlich
Schulungen sind die erste Verteidigungslinie gegen alle Arten von Phishing, damit die Mitarbeiter auf der Hut sein können. Benutzertests, Phishing-Übungen und andere außerplanmäßige Schulungen, die einen tatsächlichen Phishing-Angriff simulieren, können dazu beitragen, dass die Benutzer auf der Hut sind.
Cyberkriminelle werden weiterhin nach Möglichkeiten suchen, in Ihre Systeme einzudringen, solange sich das Verbrechen lohnt. Und da sich neue Kommunikationskanäle öffnen, werden die Betrüger mit verschiedenen Arten von Phishing-Angriffen nicht lange auf sich warten lassen. Je früher Ihr Unternehmen ein Bewusstsein für seine Schwachstellen entwickelt, desto besser wird es in der Lage sein, diese zu bekämpfen.
Die Quintessenz
Die Bedrohung durch Phishing-Angriffe gehört für Unternehmen zum Alltag. Sie können Phishing-Angriffe vielleicht nicht ganz verhindern, aber Sie können die meisten von ihnen vom Erfolg abhalten. Mit einer Kombination aus defensiven Tools zum Schutz Ihrer Systeme und Schulungen, die Ihren Mitarbeitern helfen, Betrug zu erkennen, lässt sich die Wahrscheinlichkeit, dass Ihr Unternehmen Opfer von Phishing-Angriffen wird, erheblich verringern.
[i] " Die Geschichte des Phishings ," Verizon
[ii] 2020 Data Breach Investigations Report , Verizon
[iii] "Schützen Sie sich vor Phishing-Betrug", Center for Internet Security
[iv] "Vermeiden Sie die Verlockung des Smishing-Betrugs", Federal Communications Commission
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!