Was ist Phishing und wie kann es Ihnen Geld und Geheimnisse rauben?
Tipps Technologie / / December 28, 2020
Was ist Phishing und wie gefährlich ist es?
Phishing ist eine häufige Art von Cyber-Betrug, der darauf abzielt, das Konto zu gefährden Aufzeichnungen und Abfangen der Kontrolle über sie, Diebstahl von Kreditkartendaten oder andere vertrauliche Information.
Am häufigsten verwenden Angreifer E-Mails: Sie senden beispielsweise Briefe im Namen eines bekannten Unternehmens und locken Benutzer unter dem Vorwand einer profitablen Werbung auf seine gefälschte Website. Das Opfer erkennt die Fälschung nicht, gibt den Benutzernamen und das Passwort von seinem Konto aus ein und der Benutzer selbst überträgt die Daten selbst an die Betrüger.
Jeder kann leiden. Automatisierte Phishing-E-Mails richten sich meist an ein breites Publikum (Hunderttausende oder sogar Millionen von Adressen), es gibt jedoch auch Angriffe auf ein bestimmtes Ziel. In den meisten Fällen handelt es sich bei diesen Zielen um Top-Manager oder andere Mitarbeiter, die privilegierten Zugriff auf Unternehmensdaten haben. Diese personalisierte Phishing-Strategie wird als Vailing (eng. Walfang), was übersetzt "Wale fangen" bedeutet.
Die Folgen von Phishing-Angriffen können verheerend sein. Betrüger können Ihre persönliche Korrespondenz lesen, Phishing-Nachrichten an Ihren Kontaktkreis senden, Geld von Bankkonten abheben und im Allgemeinen in Ihrem Namen im weitesten Sinne handeln. Wenn Sie ein Unternehmen führen, ist das Risiko noch größer. Phisher sind in der Lage, Unternehmensgeheimnisse zu stehlen, vertrauliche Dateien zu zerstören oder Daten Ihrer Kunden zu verlieren, was den Ruf des Unternehmens schädigt.
Laut der MeldungBericht über Trends bei Phishing-Aktivitäten Allein im letzten Quartal 2019 entdeckten Cybersecurity-Experten in der Anti-Phishing-Arbeitsgruppe mehr als 162.000 betrügerische Websites und 132.000 E-Mail-Nachrichten. In dieser Zeit sind rund tausend Unternehmen aus aller Welt Opfer von Phishing geworden. Es bleibt abzuwarten, wie viele Angriffe nicht erkannt wurden.
Ivan Budylin
Architekt des Microsoft Technology Center in Russland.
Es ist wichtig, sich klar zu sein und Ihren Mitarbeitern, Freunden und Ihrer Familie einige Dinge mitzuteilen. Erstens ist die Branche gegen uns. Cyberkriminelle sind keine begeisterten Scherze mehr, sondern erfahrene Profis, die auf die eine oder andere Weise mit Ihnen Geld verdienen wollen. Zweitens haben alle Informationen einen Wert, auch wenn sie nicht wichtig erscheinen. Und Ihre Aktivitäten in sozialen Netzwerken und der Spitzname Ihres Lieblingskätzchens - alles kann entweder für verwendet werden direkte Monetarisierung oder als Angriffsphase, um Zugang zu "teureren" zu erhalten Daten. Drittens verlagert sich die Verwendung von Multi-Faktor-Authentifizierung und passwortlosen Anmeldungen allmählich von der Kategorie der starken Empfehlungen zur Kategorie der harten Anforderungen einer veränderten Realität.
Evolution und Arten von Phishing
Der Begriff "Phishing" kommt vom englischen Wort "Angeln". Diese Art von Betrug ähnelt wirklich dem Fischen: Der Angreifer wirft den Köder in Form einer gefälschten Nachricht oder eines gefälschten Links und wartet darauf, dass Benutzer beißen.
Aber auf Englisch wird "Phishing" etwas anders geschrieben: Phishing. Der Digraph ph wird anstelle des Buchstabens f verwendet. Nach einer Version ist dies ein Verweis auf das Wort falsch ("Betrüger", "Betrüger"). Auf der anderen Seite - zur Subkultur der frühen Hacker, die Phreaker ("Phreaker") genannt wurden.
Es wird angenommen, dass der Begriff Phishing erstmals Mitte der neunziger Jahre in Usenet-Newsgroups öffentlich verwendet wurde. Zu dieser Zeit starteten Betrüger die ersten Phishing-Angriffe gegen Kunden des amerikanischen Internetanbieters AOL. Die Angreifer schickten Nachrichten, in denen sie aufgefordert wurden, ihre Anmeldeinformationen zu bestätigen, und gaben sich als Mitarbeiter des Unternehmens aus.
Mit der Entwicklung des Internets sind neue Arten von Phishing-Angriffen aufgetreten. Betrüger begannen, ganze Websites zu fälschen und beherrschten verschiedene Kanäle und Kommunikationsdienste. Diese Arten von Phishing können heute unterschieden werden.
- E-Mail-Phishing. Betrüger registrieren eine Postanschrift, die der Adresse eines bekannten Unternehmens oder eines Bekannten des ausgewählten Opfers ähnelt, und senden Briefe von diesem. Gleichzeitig kann ein gefälschter Brief mit dem Namen des Absenders, dem Design und dem Inhalt fast identisch mit dem Original sein. Nur im Inneren gibt es einen Link zu einer gefälschten Site, infizierten Anhängen oder einer direkten Anfrage zum Senden vertraulicher Daten.
- SMS-Phishing (Smishing). Dieses Schema ähnelt dem vorherigen, jedoch wird SMS anstelle von E-Mail verwendet. Der Abonnent erhält eine Nachricht von einer unbekannten (normalerweise kurzen) Nummer mit einer Anfrage nach vertraulichen Daten oder mit einem Link zu einer gefälschten Site. Ein Angreifer kann sich beispielsweise als Bank vorstellen und den zuvor erhaltenen Bestätigungscode anfordern. In der Tat benötigen Betrüger den Code, um sich in Ihr Bankkonto zu hacken.
- Social Media Phishing. Mit der Verbreitung von Instant Messenger und Social Media haben Phishing-Angriffe auch diese Kanäle überflutet. Angreifer können Sie über gefälschte oder kompromittierte Konten bekannter Organisationen oder Ihrer Freunde kontaktieren. Der Rest des Angriffsprinzips unterscheidet sich nicht von den vorherigen.
- Telefon Phishing (Vishing). Betrüger sind nicht auf Textnachrichten beschränkt und können Sie anrufen. Zu diesem Zweck wird meistens Internet-Telefonie (VoIP) verwendet. Der Anrufer kann sich beispielsweise als Mitarbeiter des Support-Service Ihres Zahlungssystems ausgeben und Daten anfordern, um auf die Brieftasche zuzugreifen - angeblich zur Überprüfung.
- Suche nach Phishing. Sie können Phishing direkt in den Suchergebnissen begegnen. Es reicht aus, auf den Link zu klicken, der zu einer gefälschten Website führt, und persönliche Daten darauf zu hinterlassen.
- Popup-Phishing. Angreifer verwenden häufig Popups. Wenn Sie eine zweifelhafte Ressource besuchen, sehen Sie möglicherweise ein Banner, das im Namen eines bekannten Unternehmens einige Vorteile verspricht - beispielsweise Rabatte oder kostenlose Waren. Wenn Sie auf diesen Link klicken, werden Sie zu einer Website weitergeleitet, die von Cyberkriminellen kontrolliert wird.
- Landwirtschaft. Nicht direkt mit Phishing verbunden, aber Landwirtschaft ist auch ein sehr häufiger Angriff. In diesem Fall fälscht der Angreifer die DNS-Daten und leitet den Benutzer anstelle der ursprünglichen Websites automatisch zu den gefälschten weiter. Das Opfer sieht keine verdächtigen Nachrichten oder Banner, was die Effektivität des Angriffs erhöht.
Phishing entwickelt sich weiter. Microsoft hat neue Techniken vorgestellt, die der Anti-Phishing-Dienst Office 365 Advanced Threat Protection im Jahr 2019 entdeckt hat. Zum Beispiel haben Betrüger gelernt, bösartige Inhalte in Suchergebnissen besser zu verschleiern: ganz oben Anzeigen legitimer Links, die den Benutzer mithilfe mehrerer zu Phishing-Sites führen leitet weiter.
Darüber hinaus begannen Cyberkriminelle, automatisch Phishing-Links und exakte Kopien elektronischer Dateien zu generieren Briefe auf einem qualitativ neuen Niveau, mit dem Sie Benutzer effektiver täuschen und Gelder umgehen können Schutz.
Lernen Sie Office 365 besser kennen
So schützen Sie sich vor Phishing
Verbessern Sie Ihre technischen Kenntnisse. Wie sie sagen, ist derjenige, der vorgewarnt ist, bewaffnet. Studieren Sie die Informationssicherheit selbst oder lassen Sie sich von Experten beraten. Selbst eine einfache Kenntnis der Grundlagen der digitalen Hygiene kann Ihnen viel Ärger ersparen.
Achtung. Folgen Sie keinen Links oder offenen Anhängen in Briefen unbekannter Gesprächspartner. Bitte überprüfen Sie sorgfältig die Kontaktdaten der Absender und die Adressen der von Ihnen besuchten Websites. Antworten Sie nicht auf Anfragen nach persönlichen Informationen, auch wenn die Nachricht glaubwürdig aussieht. Wenn ein Unternehmensvertreter Informationen anfordert, ist es besser, sein Callcenter anzurufen und die Situation zu melden. Klicken Sie nicht auf Popups.
Verwenden Sie Passwörter mit Bedacht. Verwenden Sie für jedes Konto ein eindeutiges und sicheres Passwort. Abonnieren Sie Dienste, die Benutzer warnen, wenn Kennwörter für ihre Konten im Web angezeigt werden, und ändern Sie den Zugangscode sofort, wenn sich herausstellt, dass er gefährdet ist.
Richten Sie die Multi-Faktor-Authentifizierung ein. Diese Funktion schützt das Konto zusätzlich, indem Sie beispielsweise Einmalkennwörter verwenden. In diesem Fall müssen Sie jedes Mal, wenn Sie sich von einem neuen Gerät aus zusätzlich zum Kennwort bei Ihrem Konto anmelden, dies tun Geben Sie einen vier- oder sechsstelligen Code ein, der Ihnen per SMS gesendet oder in einem speziellen Code generiert wurde Anwendung. Es mag nicht sehr praktisch erscheinen, aber dieser Ansatz schützt Sie vor 99% der häufigsten Angriffe. Wenn Betrüger das Passwort stehlen, können sie es immer noch nicht ohne Bestätigungscode eingeben.
Verwenden Sie passwortlose Anmeldefunktionen. Wenn möglich, sollten Sie bei diesen Diensten die Verwendung von Kennwörtern vollständig aufgeben und diese durch Hardware-Sicherheitsschlüssel oder die Authentifizierung über eine Anwendung auf einem Smartphone ersetzen.
Verwenden Sie Antivirensoftware. Ein rechtzeitig aktualisiertes Antivirenprogramm schützt Ihren Computer vor schädlichen Programmen, die auf Phishing-Websites umleiten oder Anmeldungen und Kennwörter stehlen. Denken Sie jedoch daran, dass Ihr Hauptschutz weiterhin die Einhaltung der Regeln für die digitale Hygiene und die Einhaltung der Empfehlungen zur Cybersicherheit ist.
Wenn Sie ein Unternehmen führen
Die folgenden Tipps sind auch für Geschäftsinhaber und CEOs hilfreich.
Trainieren Sie Ihre Mitarbeiter. Erklären Sie den Untergebenen, welche Nachrichten zu vermeiden sind und welche Informationen nicht per E-Mail und über andere Kommunikationskanäle gesendet werden sollen. Verbieten Sie Mitarbeitern, Firmenpost für persönliche Zwecke zu verwenden. Weisen Sie sie in den Umgang mit Passwörtern ein. Es lohnt sich auch, eine Richtlinie zur Aufbewahrung von Nachrichten in Betracht zu ziehen: Aus Sicherheitsgründen können Sie beispielsweise Nachrichten löschen, die älter als ein bestimmter Zeitraum sind.
Führen Sie pädagogische Phishing-Angriffe durch. Wenn Sie die Reaktion von Mitarbeitern auf Phishing testen möchten, täuschen Sie einen Angriff vor. Registrieren Sie beispielsweise eine ähnliche Postanschrift wie Sie und senden Sie Briefe an Untergebene, in denen diese gebeten werden, Ihnen vertrauliche Daten zur Verfügung zu stellen.
Wählen Sie einen zuverlässigen Postdienst. Kostenlose E-Mail-Anbieter sind zu anfällig für Geschäftskommunikation. Unternehmen sollten nur sichere Unternehmensdienste wählen. Beispielsweise verfügen Benutzer des in der Office 365-Suite enthaltenen Microsoft Exchange-E-Mail-Dienstes über einen umfassenden Schutz vor Phishing und anderen Bedrohungen. Um Betrügern entgegenzuwirken, analysiert Microsoft jeden Monat Hunderte von Milliarden von E-Mails.
Stellen Sie einen Cybersicherheitsexperten ein. Wenn es Ihr Budget zulässt, suchen Sie einen qualifizierten Fachmann, der Sie kontinuierlich vor Phishing und anderen Cyber-Bedrohungen schützt.
Was tun, wenn Sie Opfer von Phishing sind?
Wenn Grund zu der Annahme besteht, dass Ihre Daten in die falschen Hände geraten sind, handeln Sie sofort. Überprüfen Sie Ihre Geräte auf Viren und ändern Sie die Kontokennwörter. Informieren Sie die Bankmitarbeiter darüber, dass Ihre Zahlungsdaten möglicherweise gestohlen wurden. Informieren Sie die Kunden gegebenenfalls über das mögliche Leck.
Um zu verhindern, dass sich solche Situationen wiederholen, wählen Sie zuverlässige und moderne Dienste für die Zusammenarbeit. Produkte mit integrierten Sicherheitsmechanismen sind am besten geeignet: Sie funktionieren so bequem wie möglich und müssen kein Risiko für digitale Sicherheit eingehen.
Darüber hinaus bietet der Service eine dynamische Zugangskontrolle mit Risikobewertung und unter Berücksichtigung einer Vielzahl von Bedingungen. Office 365 enthält außerdem integrierte Automatisierungs- und Datenanalysen sowie die Steuerung von Geräten und den Schutz von Informationen vor Leckagen.
Versuchen Sie es mit Microsoft Office 365