Was ist Phishing und wie kann man sich davor schützen?

Einführung

Mit der raschen Entwicklung der Technologie nimmt die Komplexität von Phishing-Angriffen zu. Je weiter die Menschen technologisch fortschreiten, desto fortschrittlicher werden auch die Phishing-Angriffe. Nicht zuletzt steigt die Zahl der Phishing-Angriffe, da heute jeder mehr Zeit online verbringt. Im Folgenden finden Sie eine kurze Anleitung zu einfachen Dingen, die Sie beachten sollten, um sich vor Phishing-Angriffen zu schützen, wenn Sie online surfen. 

Was ist Phishing?

Phishing wurde ca. 1995 geboren, nur 4 Jahre nach dem Erscheinen der ersten Website, und bezieht sich auf die Praxis, betrügerische E-Mails und Websites zu verwenden, um illegal persönliche und Unternehmensdaten von Benutzern zu erhalten. Informationen wie – Benutzernamen, Passwörter und Kreditkartendaten werden später dazu verwendet, entweder Geld oder weitere Informationen zu stehlen.

Aber was bedeutet Phishing? Das Wort “Phishing” selbst ist eine Kombination aus “fishing” und “phreaks”, wie sich die Hacker früher nannten. Die Praxis des Phishings wird als eine Form des Social Engineering betrachtet, ein Begriff für die Manipulation von Menschen durch falsche Selbstdarstellung im Zusammenhang mit der Web-Sicherheit.

Zugriffs-E-Mail gesendet!

Anmelden für
mehr fantastischen Inhalt!

Abonnieren Sie unseren monatlichen Newsletter mit den neuesten hilfreichen Inhalten und Angeboten von SiteGround.

Vielen Dank!

Bitte überprüfen Sie Ihre E-Mails, um Ihr Abonnement zu bestätigen.

Arten von Phishingtechniken

Spear-Phishing

Was ist Spear-Phishing? Spear-Phishing zielt auf eine bestimmte Person oder Organisation und nicht auf zufällige Benutzer ab. Dieser Betrug zielt in der Regel darauf ab, wichtige Daten oder Informationen des jeweiligen Opfers zu stehlen, z. B. Kontopasswörter oder Finanzinformationen für böswillige Zwecke. Dazu sind bestimmte Kenntnisse über das Opfer erforderlich, z. B. einige persönliche Daten. Die Cyberkriminellen nutzen diese Informationen, in der Regel in einer E-Mail, um sich als vertrauenswürdige Organisation oder Person auszugeben und an die benötigten Daten zu gelangen.

Spear-Phishing vs. Phishing

In beiden Fällen handelt es sich um Online-Angriffe, die darauf abzielen, sensible Informationen zu stehlen. Phishing ist der allgemeinere Begriff für diese Art von Angriffen, da es sich im Grunde um jeden Versuch handelt, die Opfer zur Weitergabe sensibler Daten zu verleiten. 

Gemäß der Spear-Phishing Definition ist es auf ein bestimmtes Opfer ausgerichtet. Es erfordert mehr Überlegung, Zeit und Wissen, um das gesetzte Ziel zu erreichen. Da die Spear-Phishing-Nachrichten personalisiert sind, ist es schwieriger, diese Art von Angriffen zu erkennen.

Zum Schutz vor Spear-Phishing ist es wichtig, dass Sie mit Ihrer Online-Präsenz vorsichtig umgehen. Hier sind einige Tipps zur Vermeidung von Spear-Phishing:

  • Seien Sie vorsichtig, welche persönlichen Informationen Sie im Internet veröffentlichen
  • Verwenden Sie intelligente und sichere Passwörter
  • Aktualisieren Sie Ihre Software regelmäßig
  • Seien Sie vorsichtig beim Öffnen von E-Mails und Anklicken von Links

Microsoft 365 Phishing

Bei dieser Art von Angriffen handelt es sich um Phishing-E-Mails, die auf Microsoft 365-Nutzer abzielen. Eine der häufigsten Methoden der Angreifer ist es, die Opfer zum Herunterladen einer Datei zu verleiten, indem sie deren Erweiterung verschleiern. Angreifer verwenden ein spezielles Unicode-Zeichen, die Rechts-nach-Links-Umkehrung. Damit können sie z. B. eine “.exe”-Datei als “.txt”-Datei tarnen. Infolgedessen lädt das Opfer die “.exe”-Datei herunter, die bösartige Software auf seinem Computer oder Laptop installiert.

Whaling-Phishing

Whaling (Walfang) ist ein sehr gezielter Angriff. Diese Art von Phishing-Angriff zielt auf bestimmte Personen ab, z. B. auf Führungskräfte, und tarnt sich als legitime E-Mail. Es wird versucht, die Opfer zu einer bestimmten Handlung zu bewegen, die in der Regel mit einer Geldüberweisung oder der Herausgabe bestimmter Informationen verbunden ist. Whaling-Phishing E-Mails zielen häufig auf große Finanzinstitute ab und sind komplizierter als allgemeine Phishing-E-Mails, da sie sich an Führungskräfte der oberen Ebene richten.

Diese E-Mails enthalten in der Regel personalisierte Informationen über das Unternehmen bzw. die Führungskraft. Sie vermitteln ein Gefühl der Dringlichkeit, entsprechen dem geschäftlichen Tonfall und fordern Sie auf, einige der folgenden Dinge zu tun:

  • Auf einen Link zu klicken, der zu Malware führt
  • Geld auf das Bankkonto des Angreifers überweisen
  • Weitere Informationen über das Unternehmen oder die Person anzugeben

Voice-Phishing

Voice-Phishing ist ein Angriff, bei dem Personen dazu gebracht werden, wichtige finanzielle oder persönliche Informationen über das Telefon an Dritte weiterzugeben. Sie können über verschiedene Kanäle und Geräte Opfer eines Voice-Phishing-Angriffs werden, z. B. per E-Mail, Smartphone, Festnetz, Voice over IP usw.

In der Nachricht eines solchen Angriffs wird das Opfer in der Regel über eine verdächtige Aktivität informiert, die mit derem Bankkonto, Kredit- oder Debitkarte usw. zusammenhängt. Dann fordert der Angreifer das Opfer auf, eine Telefonnummer anzurufen und weitere persönliche Daten anzugeben oder das Konto bzw. Identität zu verifizieren. 

Um sich vor einem solchen Angriff zu schützen, rufen Sie am besten die betreffende Institution über einen gültigen Kontaktkanal an und vergewissern Sie sich, dass Ihr Konto nicht kompromittiert wurde.

Kompromittierung geschäftlicher E-Mails

Bei der Kompromittierung von geschäftlicher E-Mails handelt es sich um eine E-Mail-Nachricht, die legitim erscheint, zu einer bestimmten Handlung auffordert und auf ein bestimmtes Unternehmen abzielt. Die Aufforderung in der Nachricht bezieht sich in der Regel auf die Überweisung von Geldern auf das Bankkonto des Angreifers:

  • Gibt vor, der “reguläre Lieferant” zu sein, der eine Rechnung von einer aktualisierten Postanschrift aus versendet hat
  • Gibt vor, der CEO des Unternehmens zu sein
  • Gibt sich als Mitarbeiter des Unternehmens aus und hat dessen E-Mail-Adresse gehackt
  • Gibt vor, der Anwalt des Unternehmens zu sein

Social Media Phishing

Social Media Phishing bezieht sich auf Angriffe über soziale Medien wie Facebook, Instagram, Twitter, LinkedIn usw. Es zielt darauf ab, Ihre persönlichen Daten zu stehlen oder Ihr Social-Media-Konto zu übernehmen. Ein solcher Angriff kann auch zu finanziellen Verlusten führen, da Daten für den Zugang zu Finanzkonten erlangt werden. Um sich vor einem Phishing-Angriff in den sozialen Medien zu schützen, sollten Sie diese einfachen Regeln befolgen:

  • Keine Unbekannten als Freunde hinzufügen/akzeptieren
  • Klicken Sie nicht auf Links, um Ihre persönlichen Daten zu aktualisieren
  • Verwenden Sie nicht denselben Benutzernamen und dasselbe Passwort für alle Ihre Konten
  • Verwenden Sie die neueste Version Ihres Betriebssystems

Wie können Sie sich vor Phishing schützen?

Da Phishing wirklich viel kosten kann – von gestohlenem Geld bis hin zu großen Datenschutzverletzungen in Ihrem Unternehmen – sind angemessene Sicherheitsvorkehrungen ein Muss. Wir haben eine kurze Liste der Dinge zusammengestellt, die Sie beachten müssen, um online sicher zu sein.

1. Achten Sie auf den Absender und die URL in Ihren E-Mails

Einer der häufigsten Phishing-Betrüge besteht darin, sich für eine große Marke auszugeben, indem eine E-Mail mit ihrem Namen (und in der Regel ihren Brandfarben) versandt wird, in der behauptet wird, dass mit Ihrem Konto etwas nicht stimmt, und Sie aufgefordert werden, sich anzumelden, “um das Problem zu beheben”. In der Regel sieht die E-Mail wie die der Originalmarke sehr ähnlich, aber es gibt eine sichere Methode, um zu erkennen, ob es sich um eine echte E-Mail handelt.

Eine gute Möglichkeit, Phishing-E-Mails zu erkennen, ist die Überprüfung der E-Mail Adresse: Betrüger können keine E-Mail-Adressen mit dem tatsächlichen Domain des Unternehmens erstellen, so dass die Adresse statt help@brandname.com normalerweise wie brandname@etwasandreres.com aussieht. Achten Sie genau auf die E-Mail-Adresse und nicht nur auf den Namen, der in Ihrem E-Mail-Programm erscheint!

Sie sollten auch die URL überprüfen, bevor Sie klicken. Dies können Sie tun, indem Sie mit der Maus über die in der E-Mail angegebene URL fahren – in der Regel wird dann die Domain angezeigt, auf die sie verweist, so dass Sie sehen können, wohin die E-Mail Sie tatsächlich führen will. Wenn es sich nicht um die offizielle Domain der Marke handelt, sollten Sie nicht darauf klicken.

2. Vermeiden Sie das Herunterladen von E-Mail-Anhängen, die Sie nicht erwarten

Manchmal sehen die E-Mails wie legitime Geschäfts-E-Mails aus und geben sich nicht als großes Unternehmen aus, sondern senden einen Anhang mit einer Art Malware. Die E-Mail ist oft als Geschäftsangebot oder als E-Mail des eigenen Unternehmens bzw. der Geschäftsleitung des Empfängers gestaltet und enthält Dateien mit vertraulichen Informationen.

Wenn Sie den Absender nicht kennen, sollten Sie auf keinen Fall die Anhänge öffnen. Wenn Sie den Absender kennen, aber nichts von ihnen erwarten, oder wenn etwas verdächtig an der Sache ist, ist es besser, vorsichtig zu sein. Rufen Sie den Absender an und fragen Sie, ob er/sie Ihnen etwas schicken wollte, denn manchmal hacken sich Betrüger in die E-Mail Postfächer von zufälligen Personen und nutzen sie für Phishing-Angriffe, indem sie deren Kontakte Spam-Mails zusenden.

Das gängigste Format für Anhänge ist zip (.exe ist in der Regel nicht zulässig), aber auch Microsoft Office-Dateien können Viren enthalten, die Makros enthalten können, die aktiviert werden müssen. Insgesamt sollten Sie auf alle Arten von Anhängen achten.

3. Überprüfen Sie immer die Website, auf die Sie weitergeleitet werden

Wenn Sie auf einen Phishing-Link klicken (in der Regel per E-Mail oder über Instant Messages), werden Sie häufig auf eine Website mit einem Formular weitergeleitet. Diese Formulare zielen meist darauf ab, Ihre sensiblen Daten zu sammeln – Benutzernamen und Kennwörter.

Um sicher zu sein, dass Sie sich auf der richtigen Website befinden, sollten Sie vor dem Ausfüllen der Daten die Adresse der Website in der Adressleiste des Browsers überprüfen.

Betrüger können eine Website erstellen, die dem Design der jeweiligen Marke sehr ähnlich ist, aber sie können nicht deren offizielle Domain verwenden oder den Markennamen in der Domain haben (vorausgesetzt, die Marke ist markenrechtlich geschützt). Daher ähneln diese Domains oft dem Markennamen, sind aber niemals das Original, sondern enthalten zusätzliche Symbole, Buchstaben oder Wörter.

In der Regel sehen die gefälschten Domainnamen völlig sinnlos aus, und manchmal fühlt sich auch das Design und der Ablauf seltsam an, vor allem, wenn es sich um eine bekannte Marke handelt, die man oft sieht.

Wenn Sie sich beispielsweise bei Google Mail anmelden, werden Sie niemals aufgefordert, Ihren E-Mail-Anbieter auszuwählen oder Ihre E-Mail-Adresse und Ihr Passwort auf demselben Bildschirm einzugeben. Der Ablauf, den Sie auf Phishing-Websites häufig sehen, soll also dem Original ähneln, ist es aber nicht.

4. Geldanträge ignorieren

Eine andere Art von Online-Betrug, die Social Engineers häufig anwenden, besteht darin, sich als Person auszugeben und in irgendeiner Form um Geld zu bitten. Ein Beispiel für solche Phishing-E-Mails ist eine Person, die in Schwierigkeiten steckt und um finanzielle Hilfe bittet; Sie werden gebeten, einen kleinen Geldbetrag zu schicken, mit dem Versprechen, dass Sie im Gegenzug viel mehr bekommen.

Manchmal nehmen diese Betrügereien die Form von Erpressung an. Besonders beliebt war in den letzten Jahren eine E-Mail, in der behauptet wurde, dass Nutzerinnen und Nutzer über ihre eigenen Webcams beim Anschauen von nicht jugendfreien Inhalten aufgezeichnet, und um Geld erpresst werden. Dieser Betrugsversuch war sogar so beängstigend, dass er in die Nachrichten gelangte, da die Menschen verständlicherweise verängstigt waren.

Wenn Sie von Fremden in irgendeiner Form um Geld gebeten werden, handelt es sich in der Regel um einen Betrug; geben Sie niemals Geld oder finanzielle Informationen heraus, egal wie die Situation dargestellt wird.

Was sollten Sie tun, wenn Sie eine Phishing-E-Mail erhalten?

Jedes Mal, wenn Sie eine E-Mail erhalten, müssen Sie besonders auf die E-Mail-Adresse, die URL, die Schreibweise usw. achten. Nachdem Sie diese Punkte überprüft und festgestellt haben, dass es sich um eine Phishing-E-Mail handelt, müssen Sie alle nachstehenden Schritte befolgen:

  1. Klicken Sie nicht auf Links, öffnen Sie keine Anhänge und antworten Sie nicht;
  2. Kontaktieren Sie den angeblichen Absender über den offiziellen Kommunikationskanal;
  3. Melden Sie die E-Mail Ihrem Unternehmen, Ihrem E-Mail-Anbieter, einer Behörde und der Organisation, die die E-Mail angeblich versendet hat;
  4. Markieren Sie den Absender als Junk oder Spam;
  5. Löschen Sie die E-Mail und entfernen Sie sie aus dem Papierkorb/Ordner für gelöschte Objekte.

Wie meldet man Phishing-E-Mails?

Wie bereits erwähnt, müssen Sie die Phishing-E-Mail an mehrere Personen/Institutionen melden. Hier zeigen wir Ihnen, wie Sie die E-Mail sowohl an den E-Mail-Anbieter als auch an die Behörde melden.

Wie Sie Phishing-E-Mails an Ihren E-Mail-Anbieter melden 

Nehmen wir als Beispiel die Gmail-Konten. Klicken Sie neben der Option “Antworten” in Google Mail auf die Option “Dreipunkt-Menü” und wählen Sie “Phishing melden”.

Wenn Sie Outlook verwenden, müssen Sie die Phishing-E-Mail in der Nachrichtenliste auswählen und über den Lesebereich Junk > Phishing > Phishing melden wählen. 

Andere E-Mail-Anbieter haben ähnlich benutzerfreundliche Optionen für die Meldung von Phishing-E-Mails.

Wie Sie E-Mails bei einer bestimmten Institution meldet, abhängig davon in welchem Land Sie sich befinden.

Die Anti-Phishing Working Group (APWG) ist eine internationale Koalition, die versucht, Cyberkriminalität zu beseitigen. Wenn Sie eine verdächtige oder böswillige E-Mail erhalten, leiten Sie sie an diese Organisation unter reportphishing@apwg.org weiter. Unten sehen Sie einige andere länderspezifische Institutionen, die Ihnen ebenfalls helfen können:

  • Leiten Sie für die USA Phishing-E-Mails an das National Cybersecurity Communications and Integration Center (NCCIC) unter phishing-report@us-cert.gov weiter.
  • Melden Sie für das Vereinigte Königreich die Phishing-E-Mail an Action Fraud, die britische Meldestelle für Betrug und Cyberkriminalität.
  • Wenn Sie in einem Land der Europäischen Union leben, finden Sie hier die Melde-Website für Ihr Land, falls Sie Opfer einer Cyberkriminalität werden.

Abschließende Gedanken

Jetzt, da Sie wissen, was ein Phishing-Angriff ist, sind Sie viel besser darauf vorbereitet, sich mit unseren einfach umsetzbaren Ratschlägen davor zu schützen. In unserem Blog finden Sie weitere Informationen zu ähnlichen Themen und erfahren, wie Sie Ihren Ruf durch Schutz Ihrer E-Mail schützen können (engl.). 

Autoren-Avatar
Dilyana Kodjamanova

Digital Marketing Spezialistin

Begeistert davon, sich in das Lesen und Schreiben von technischen und nicht-technischen Inhalten zu vertiefen.

Starten Sie die Diskussion

Ähnliche Posts