Phishing: Betrugsmaschen erkennen und vorbeugen

Cyberkriminelle nutzen immer raffiniertere Methoden, um Daten zu stehlen und Betrug zu begehen. Dennoch sind es oft die einfachsten Betrügereien, die sich als besonders lukrativ erweisen. Phishing-Betrügereien gehören zu den häufigsten Arten von Betrug. Ein erfolgreicher Phishing-Betrug gegen Ihr Unternehmen kann zu Datenschutzverletzungen und allen damit verbundenen Konsequenzen führen.

Laut IBM belaufen sich die durchschnittlichen Kosten eines Datenlecks auf fast 4 Millionen US-Dollar.

Besorgniserregend ist, dass trotz der Tatsache, dass Unternehmen erhebliche Summen in Schulungen und Sensibilisierungsprogramme für ihre Teams investieren, fast ein Drittel aller Nutzer Phishing-Nachrichten öffnen. Leider wissen wir nicht, wie viele davon dazu führen, dass jemand auf einen Link klickt oder sensible Informationen weitergibt, allerdings dürfte es sich hier um einen beträchtlichen Anteil der Empfänger handeln.

Phishing ist eine Art von Betrug, die am häufigsten als Cyberkriminalität kategorisiert wird, da sie häufig per E-Mail, SMS oder über soziale Medien erfolgt. Phishing kann jedoch auch über das Telefon erfolgen, entweder persönlich oder durch automatisierte Robocaller-Systeme.

Beim Phishing geben sich Kriminelle als seriöse Unternehmen oder Personen aus, um Nutzer dazu zu verleiten, sensible Daten preiszugeben. Oft haben es die Kriminellen auf Ihre Bank- oder Kreditkartendaten oder auf Informationen wie Passwörter abgesehen. Entscheidend dabei ist, dass Sie bei Phishing-Betrügereien nicht unbedingt Details preisgeben müssen, damit der Betrug funktioniert. Beispielsweise kann das bloße Öffnen einer betrügerischen E-Mail oder Textnachricht ausreichen, um eine Malware herunterzuladen, die anschließend gespeicherte Passwörter von Ihrem Webbrowser abgreift.

Sobald die Betrüger die gewünschten Daten haben, nutzen sie diese für finanziellen Gewinn. Die Kriminellen können die Informationen an andere Kriminelle weiterverkaufen oder versuchen, Ihre Daten selbst zu verwenden, um Einkäufe zu tätigen oder Geld von Ihrer Bank zu überweisen.

Sie und Ihre Kollegen müssen sich der folgenden beliebten Phishing-Techniken bewusst sein, die Cyberkriminelle einsetzen, um Ihr Unternehmen besser vor Angriffen zu schützen.

1. Email Phishing

Die meisten Phishing-Betrüge erfolgen per E-Mail. Wir werden uns weiter unten im Text damit befassen, wie Sie solche Betrüge erkennen können. Es lohnt sich auch, über bestimmte Arten des gezielten Phishings, wie die nächsten beiden Techniken, Bescheid zu wissen.

2. Spear-Phishing

Spear-Phishing ist ein gezielter Betrug, der oft in zwei Teilen abläuft. Nachdem die Betrüger Informationen über Sie erhalten haben, senden sie bösartige Kommunikation. Manchmal handelt es sich dabei um eine direkte Bedrohung, die die Dinge hervorhebt, die die Betrüger bereits über Sie wissen.

Spear-Phishing-Betrüge zielen darauf ab, Sie dazu zu verleiten, zusätzliche Informationen mit den Cyberkriminellen zu teilen.

3. Whaling

Whaling ist eine spezielle Art von Phishing, die auf Mitarbeiter der oberen Führungsebene abzielt.

Es ist oft subtil und wird von Kriminellen durchgeführt, die sich als andere Personen in höheren Positionen ausgeben, wie z. B. Buchhalter oder Anwälte, oder sogar Kollegen.

4. Smishing

Dies ist die spezielle Bezeichnung für Phishing-Betrügereien, die per SMS-Nachricht durchgeführt werden.

5. Vishing

Vishing oder Voice-Phishing ist die Bezeichnung für Phishing-Betrügereien, die über das Telefon durchgeführt werden.

6. Angler-Phishing

Angler-Phishing ist ein Betrug, bei dem in der Regel Malware über die Direktnachrichtenfunktionen von Social-Media-Plattformen versendet wird. Social-Media-Benutzern werden möglicherweise gefälschte URLs gesendet oder es wird ihnen mitgeteilt, dass sie in einem Status-Update erwähnt wurden, und wenn sie darauf klicken, lädt der Link Malware auf ihr Gerät herunter.

Haben Sie schon einmal von einem Freund einen seltsamen „50-Dollar-Rabatt bei Wal-Mart“ erhalten? Wenn ja, dann ist ihr Freund wahrscheinlich auf einen Phishing-Betrug hereingefallen, der es den Kriminellen ermöglicht hat, ihn an alle ihre Freunde und Verbindungen zu senden.

Haben Sie schon einmal eine E-Mail erhalten, die behauptet, vom Finanzamt, PayPal oder Netflix zu sein, die aber eindeutig nicht von diesen Quellen stammt?

Dies ist ein Phishing-Betrug und definitiv eine „Fake Mail“, wie Sie im Volksmunde auch gerne betitelt wird.

Phishing-Betrügereien an geschäftliche E-Mail-Adressen kommen oft von verschiedenen Quellen. Die meisten Leute verwenden ihre geschäftliche E-Mail-Adresse nicht für Netflix. Ein solcher Betrug wäre daher ziemlich offensichtlich und leicht zu erkennen.

Obwohl die „besten“ Phishing-Betrüge legitim aussehen, weshalb sie oft so erfolgreich sind, gibt es viele gemeinsame Merkmale, an denen Sie sie erkennen können.

Hier ist, worauf Sie achten sollten:

1. Um welche Uhrzeit wurde die E-Mail gesendet?

Haben Sie eine E-Mail erhalten, die angeblich von einem Kollegen in der gleichen Zeitzone um 1 Uhr nachts gesendet wurde? Viele von uns schätzen zwar die Flexibilität, von zu Hause aus zu arbeiten, aber wenn Sie normalerweise keine E-Mails von dieser Person zu einer solchen Uhrzeit erhalten, handelt es sich möglicherweise um Phishing. Lösungen wie UEBA helfen Unternehmen dabei, diese Art von ungewöhnlichem Verhalten automatisch zu erkennen.

2. Was steht in der Betreffzeile?

Phishing-Betrüger verwenden oft Betreffzeilen, die wie Antworten aussehen, um Sie zum Öffnen der E-Mail zu verleiten. Achten Sie auf Betreffzeilen wie „RE: Ihre letzte Nachricht“. Wenn Sie eine E-Mail mit einer solchen Betreffzeile erhalten und Sie ursprünglich keine E-Mail an die Person oder Organisation gesendet haben, von der die E-Mail stammt, sollten Sie diese löschen. Die Wahrscheinlichkeit ist groß, dass es sich um einen Phishing-Betrug handelt, der versucht, Malware auf Ihrem System zu installieren, sobald Sie die E-Mail öffnen.

Ein weiterer gängiger Trick ist, dass Betrüger Betreffzeilen im Stil von „Clickbait“ verwenden, der Inhalt der E-Mail jedoch nichts mit dem Betreff zu tun hat. Verwenden Sie die Vorschaufunktionen Ihres E-Mail-Programms, damit Sie solche E-Mails sofort erkennen und löschen können, wenn sie in Ihrem Posteingang landen.

3. Achten Sie auf diese inhaltlichen Warnsignale

Phishing-E-Mails verwenden oft einige oder alle der folgenden Taktiken:

• Sie bieten etwas an, das Sie nicht erwartet haben, aber es ist plausibel, dass Sie es erhalten könnten, z. B. eine Rückerstattung für ein bestimmtes Produkt oder eine Dienstleistung.
• Ein Angebot, das zu schön ist, um wahr zu sein, wie z. B. E-Mails, in denen der Onkel von jemandem gestorben ist und 30 Millionen Dollar hinterlassen hat, die er mit Ihnen teilen möchte.
• Handlungsaufrufe zu einem dubiosen Link.
• Enthält Informationen über Sie, um Sie zu verunsichern und Sie daher dazu verleitet etwas zu unternehmen. Ein Phishing-Betrug erlangt oft häufig genutzte Passwörter. Ein zweiter Bescheid folgt und macht deutlich, dass die Betrüger Ihre Passwörter kennen und Bargeld fordern.

4. Gibt es Anhänge?

Anhänge sind aus geschäftlicher Sicht oft das größte Warnsignal, insbesondere wenn Unternehmen ausschließlich in der Cloud arbeiten.

Wenn Ihr Unternehmen eine Richtlinie zur Verwendung von OneDrive oder Dropbox hat, aber ein „Kollege“ physische Anhänge sendet, handelt es sich wahrscheinlich um Phishing.

Wenn Sie normalerweise Anhänge versenden, achten Sie auf ungewöhnliche Dateitypen oder den Erhalt von Dateien, die Sie nicht angefordert haben.

5. Wohin führen die Hyperlinks?

Einige Phishing-Betrügereien sind offensichtlich, indem sie lange Text-Hyperlinks enthalten, auf die Sie klicken sollen.

Bei raffinierteren Betrugsversuchen, bei denen ein Link mit einer Call-to-Action-Schaltfläche maskiert wird, können Sie mit dem Mauszeiger über die Schaltfläche fahren, um zu sehen, wohin der Link Sie führen wird.

Achten Sie auf:

• Links, die Sie woanders hinleiten, als in der E-Mail angegeben.
• Links, die Tippfehler enthalten, oft um legitim zu erscheinen.
• E-Mails, die Links und keine anderen Inhalte oder Informationen enthalten.

Wenn Sie auf einen Link klicken, werden Sie oft auf eine Website weitergeleitet, die wie eine schlecht gestaltete Version der echten Website aussieht. Es ist einfach, eine Website einzurichten, die wie PayPal aussieht, aber oft gibt es Fehler, die darauf hinweisen, dass es sich nicht um eine legitime Website handelt.

6. An wen wurde die E-Mail noch gesendet?

Phishing-E-Mails werden oft an Tausende von Personen auf einmal gesendet. Normalerweise können Sie die Empfänger im CC-Bereich sehen.

Achten Sie auf E-Mails, in denen Sie als CC für etwas eingetragen sind, um das Sie nicht gebeten haben oder für das Sie sich nicht angemeldet haben, und in denen Sie die E-Mail-Adressen aller anderen sehen können.

7. Woher kommt die E-Mail?

Die Quelle der E-Mail ist oft ein eindeutiger Hinweis darauf, dass es sich um einen Phishing-Betrug handelt.

Achten Sie auf E-Mails, die:

• von einer ungewöhnlichen E-Mail-Adresse stammen, von jemandem, den Sie nicht kennen, oder von jemandem, mit dem Sie normalerweise nicht kommunizieren würden.
• die von außerhalb Ihres Unternehmens kommen und nichts mit Ihrer beruflichen Tätigkeit zu tun haben.
• scheinbar von einer internen E-Mail-Adresse stammen, aber ungewöhnlich oder untypisch erscheinen.
• von verdächtig aussehenden E-Mail-Adressen stammen.

Achten Sie auf den Absender der E-Mail im Feld „Von“ und nicht darauf, wer laut Ihrem E-Mail-Programm der Absender ist. Einige Programme erlauben es Betrügern sogar, legitime E-Mail-Adressen als ihre eigenen auszugeben, sodass Sie doppelt wachsam sein müssen.

SMS-Phishing in einem geschäftlichen Kontext ist leicht zu erkennen. Wie oft sendet Ihr CEO SMS-Nachrichten, in denen er Sie um bestimmte Informationen bittet?

Sie sollten auch nach Nachrichten Ausschau halten:

• die von ungewöhnlich langen Telefonnummern stammen.
• die behaupten, Sie hätten Anspruch auf eine Rückerstattung irgendeiner Art.
• die Sie auffordern, ein Produkt oder eine Mitgliedschaft zu reaktivieren oder zu validieren.

Telefon-Phishing beinhaltet typischerweise einen Anruf von jemandem, der vorgibt, von einer bestimmten Organisation zu sein, und Sie bittet, Daten wie Bankdaten oder Passwörter zu bestätigen, um die „Sicherheit zu gewährleisten“. Seriöse Anrufer werden Sie niemals am Telefon nach diesen Informationen fragen, deshalb sollten Sie auflegen. Kriminelle verwenden häufig Robocall-Anrufer und gefälschte Anruf-ID-Daten, um einen Anruf legitim erscheinen zu lassen. Wenn Kriminelle Ihren Standort kennen, rufen sie häufig auch von einer „lokalen“ Nummer an, um die Wahrscheinlichkeit zu erhöhen, dass Sie den Anruf annehmen.

Im Jahr 2020 kam es aufgrund der COVID-19-Pandemie zu einem deutlichen Anstieg von Phishing-Betrügereien.

Zeiten der Unsicherheit und Krise sind der perfekte Zeitpunkt für Cyberkriminelle, um die Ängste der Menschen auszunutzen. Wenn Menschen ihren Job verloren haben und in Geldnot sind, steigt die Wahrscheinlichkeit, dass sie auf einen Link klicken, der ihnen eine Steuerrückzahlung verspricht, massiv an.

Unternehmen, insbesondere im Finanzsektor und staatliche Organisationen, verzeichnen in solchen Zeiten typischerweise mehr Phishing-Versuche. Eine erhöhte Anzahl von Kreditanträgen, als Beispiel, setzen Kreditgeber stärker unter Druck, die dadurch in manchen Fällen nicht so sorgfältig sind wie sonst. Der erhöhte Druck macht sie sowohl für Phishing als auch für andere Arten von Cyberkriminalität anfällig.

Unabhängig davon, ob Sie diesen Leitfaden in einem privaten oder geschäftlichen Zusammenhang lesen, sind die Möglichkeiten, Phishing-Angriffe zu verhindern und Opfer solcher Betrügereien zu werden, ähnlich.

Grundsätzlich ist der bewusste Umgang mit externen Mitteilungen die wichtigste Methode, um Phishing vorzubeugen. Stellen Sie jedoch ebenfalls sicher, dass Sie die folgenden Vorkehrungen getroffen haben:

• E-Mail-Spamfilter, die verhindern, dass die meisten Phishing-Mails Ihren Posteingang erreichen. Cyber-Kriminelle sind jedoch immer geschickter darin, Filter zu umgehen, daher müssen Sie wachsam bleiben.
• Ein aktuelles Sicherheitssystem für Ihre Geräte oder Ihr Netzwerk. Im geschäftlichen Kontext sollten Sie darauf bestehen, dass Ihre Mitarbeiter, die von unterwegs arbeiten oder Arbeitsfunktionen auf ihren mobilen Geräten nutzen, auch auf diesen Geräten über einen angemessenen Schutz verfügen.
• Verwenden Sie Tools wie „Should I Answer?“ und ähnliche Apps, um potenziell betrügerische eingehende Anrufe und SMS-Nachrichten zu erkennen.
• Richten Sie, wenn möglich, eine Multi-Faktor-Authentifizierung für alle Konten ein. Selbst wenn Betrüger an die Zugangsdaten gelangen, werden sie es schwer haben, diese zu nutzen.
• Beschränken Sie den Zugriff auf sensible Daten auf so wenige Personen wie möglich in Ihrem Unternehmen. Je weniger Personen von Betrügern ins Visier genommen werden können, um sich zu bereichern, desto geringer ist die Wahrscheinlichkeit, dass jemand Ihrem Unternehmen zum Opfer fällt.
• Erstellen Sie Backups Ihrer Daten und stellen Sie sicher, dass Sie diese unabhängig von Ihrem Hauptnetzwerk zu Hause oder im Unternehmen speichern.

Unternehmen sollten außerdem sicherstellen, dass bestimmte Richtlinien zur Risikominderung vorhanden sind, z. B. die Verwendung von Software zur Überwachung aller E-Mails, die von außerhalb des Unternehmens empfangen werden, z. B. von Freiberuflern oder Auftragnehmern, und eine Richtlinie, die vorsieht keine Anhänge zu schicken.

Am besten ist es, die Kommunikation sofort zu löschen und in keiner Weise mit ihr zu interagieren. Wenn Sie sicherstellen, dass die E-Mail-Vorschaufunktionen in Ihrem E-Mail-Client aktiviert sind, können Sie potenzielles Phishing erkennen, ohne eine E-Mail zu öffnen und einen Malware-Download auszulösen. Markieren Sie die E-Mail auch in Ihrem E-Mail-Client als Spam.

Wenn Sie eine verdächtig aussehende E-Mail von einer Quelle erhalten, von der Sie eine Nachricht erwarten, sollten Sie nicht auf einen Link klicken oder irgendwelche Telefonnummern in der E-Mail anrufen. Gehen Sie stattdessen direkt auf die Website und melden Sie sich in Ihrem Konto an, um alle Nachrichten zu überprüfen oder die in der E-Mail genannten Maßnahmen zu ergreifen. Wenn die Kommunikation legitim war, können Sie nach dem Einloggen die erforderliche Aktion durchführen. Wenn es nichts mit Ihrem Konto zu tun hat, wissen Sie, dass die E-Mail ein Betrug war.

Wenn Ihr Unternehmen über ein spezielles internes System oder eine Richtlinie für die manuelle Meldung eines Phishing-Versuchs verfügt, melden Sie dies dementsprechend.

Wenn Sie eine E-Mail geöffnet haben, bei der Sie später feststellen, dass es sich um Phishing handelt, sollten Sie sofort einen Sicherheitsscan durchführen. Wenn Ihre Sicherheitssoftware auf dem neuesten Stand ist, wurde der Download von Malware wahrscheinlich ohnehin schon blockiert.

Wenn Sie Informationen an eine Website übermittelt haben, von der Sie glauben, dass es sich um einen Betrug handelt, sollten Sie Maßnahmen ergreifen, je nachdem, was Sie übermittelt haben. Möglicherweise müssen Sie Ihre Bank oder Ihren Kreditkartenanbieter benachrichtigen, die Ihre Karte sperren oder eine Warnung für Ihr Konto einrichten können, um zusätzliche Prüfungen auf ungewöhnliche Aktivitäten durchzuführen. Wenn Sie z. B. ein Kennwort eingegeben oder ein bestimmtes Kennwort zur „Anmeldung“ auf einer Phishing-Website verwendet haben, sollten Sie das Kennwort für diese Website und alle anderen Websites, auf denen Sie dasselbe Kennwort verwenden, ändern.

Wenn Sie Geschäfts- oder Kundendaten übermittelt haben und den Verdacht haben, dass Sie betrogen wurden, sollten Sie dies, wie beim Erhalt einer Mitteilung, abhängig von Ihren internen Verfahren melden.

Hier bei LogPoint können wir Ihnen helfen, Ihr Unternehmen und Ihre Teammitglieder vor Phishing-Betrug zu schützen. Von gewöhnlichen Betrügereien wie CEO-Betrug bis hin zu Phishing-Betrügereien, die es auf Ihre Kundendaten abgesehen haben.

Erfahren Sie mehr darüber, wie unsere SIEM-Lösung Ihr Unternehmen davor schützen kann, Opfer von Betrug zu werden.

Nehmen Sie Kontakt mit uns auf und erfahren Sie, warum sich führende Marken für LogPoint entscheiden: