Das vollständige Handbuch zu Phishing-Angriffen

Datensicherheit

Phishing-Angriffen

Das vollständige Handbuch zu Phishing-Angriffe

Phishing-Angriffe plagen Einzelpersonen und Unternehmen gleichermaßen seit der Erfindung des Internets. In letzter Zeit sind diese Angriffe jedoch zunehmend raffinierter und schwieriger zu erkennen. Phishing-Angriffe sind eine der häufigsten Methoden, mit denen Angreifer in die Konten und Netzwerke ihrer Opfer eindringen. Laut Symantec ist eine von 2.000 E-Mails Teil eines Phishing-Angriffs. Das heißt, jeden Tag finden 135 Millionen Angriffe statt [1].

Phishing-Angriffe kommen bereits häufig vor, allerdings lässt sich in Krisenzeiten eine deutliche Zunahme beobachten. Betrüger nutzen das Chaos und die Verwirrung, die durch solche schnellen Umwälzungen verursacht werden. Viele Menschen rechnen damit, E-Mails von offiziellen Quellen wie Expertenorganisationen, Versicherungen, Behörden usw. zu erhalten. So haben Betrüger reichlich Gelegenheit, ihre täuschend echten E-Mails einzuschleusen. Diese scheinbar harmlosen E-Mails haben das Ziel, Benutzer auf betrügerische Websites umzuleiten, und so zu täuschen, dass sie vertrauliche Informationen eingeben.

Was ist Phishing?

Einfach ausgedrückt ist Phishing eine Taktik, bei der Angreifer betrügerische E-Mails versenden und versuchen, den Empfänger dazu zu bringen, entweder auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen, um seine oder ihre persönlichen Daten zu stehlen. Diese E-Mails können den Anschein erwecken, von Unternehmen wie Einzelhändlern und Banken zu kommen, oder von Personen und Teams innerhalb Ihres Unternehmens, beispielsweise von der Personalabteilung, von Ihrem Chef oder sogar vom Geschäftsführer.

Wenn Ihre Mitarbeiter die Anzeichen eines Phishing-Betrugs nicht erkennen, ist Ihr gesamtes Unternehmen gefährdet. Nach Angaben von Verizon dauerte es durchschnittlich 16 Minuten, bis das erste Opfer einer groß angelegten Phishing-Kampagne auf eine bösartige E-Mail klickte. Es dauerte doppelt so lange – 33 Minuten – bis ein Benutzer die Phishing-Kampagne an die IT-Abteilung meldete [2] .

In Anbetracht der Tatsache, dass 91 % der Cyberkriminalität mit einer erfolgreichen Phishing-Kampagne per E-Mail anfängt[3], können diese 17 Minuten durchaus zu einer Katastrophe für Ihr Unternehmen führen.

Methoden von Phishing-Angriffen

Wie bereits erwähnt fangen die meisten (wenn nicht sogar alle) Phishing-Angriffe mit einer E-Mail an, die den Anschein erweckt, sie stamme von einem legitimen Absender. Ab diesem Punkt gehen die Angriffs- und Infiltrationsmethoden jedoch auseinander. Manche Techniken sind relativ einfach. Beispielsweise kann das Opfer dazu verleitet werden, auf einen Link zu klicken und vertrauliche Daten einzugeben. Andere wiederum sind komplizierter, etwa kann eine Datei ausgeführt werden, die einen legitimen Prozess spooft. So erhält der Angreifer unentdeckt Zugriff auf Ihren Computer und auf Ihr Netzwerk, und kann so im Hintergrund Schadsoftware ausführen.

Bei Betrug durch Phishing werden in der Regel mehrere Täuschungsmethoden in einem einzigen Angriff eingesetzt. Oftmals manipulieren die Betrüger Links und fälschen Websites, um die Täuschung so überzeugend wie möglich zu machen. Wenn man eine Phishing-E-Mail erhält, sieht man als erstes eine scheinbar legitime URL zu einer häufig genutzten und vertrauenswürdigen Website wie Facebook, Amazon, YouTube usw., mit einer Nachricht, die dazu verleitet, auf den Link zu klicken. Durch solche Nachrichten werden Benutzer dazu angehalten, vertrauliche Daten einzugeben, indem behauptet wird, es gäbe ein Problem mit dem Konto oder der Bestellung, das gelöst werden müsse. Hier kommt nun die gefälschte Website ins Spiel.

Der Link könnte zwar wie ein echter Link von „amazon.com“ aussehen. Kleine Tippfehler oder Unstimmigkeiten in der Domain verraten jedoch, worum es sich wirklich handelt. Solche betrügerischen Domains werden oft auch als „Typosquat“-Domains bezeichnet. Diese bösartigen Seiten sind so gestaltet, dass sie der echten Website möglichst ähnlich sehen. Dadurch werden arglose Opfer dazu verleitet, ihre Anmeldedaten einzugeben, die der Hacker dann stehlen und auf der echten Seite verwenden kann.

Hacker hängen oft auch eine legitim aussehende Datei an oder fügen einen Link ein, der, wenn man darauf klickt, heimlich bösartige Software herunterlädt, die sich in den Systemen des Opfers einnistet. Solche Angriffe schleusen oftmals Malware ein, die sich als legitimes ausführbares Programm ausgibt, das im Hintergrund läuft. Diese Malware bewegt sich nun lateral durch das Benutzernetzwerk und stiehlt vertrauliche Daten wie Bankkonten, Sozialversicherungsnummern, Anmeldedaten und vieles mehr. Manchmal wird auch Ransomware mit eingeschleust, die sich durch das Netzwerk des Opfers frisst und vertrauliche Daten verschlüsselt und exfiltriert, um dafür Lösegeld zu fordern.

Arten von Phishing-Angriffen

Die gängigste Angriffsmethode von Phishing-Betrügern besteht darin, ein weltweites Netz zu spannen. Es werden allgemein gehaltene E-Mails von häufig genutzten Websites an so viele Personen wie möglich versandt, in der Hoffnung, dass ein paar Menschen auf ihre Tricks hereinfallen. Auch wenn diese Methode effektiv ist, ist sie nicht die einzige Möglichkeit, wie Phisher zu ihrer Beute kommen. Manche Betrüger verwenden präzisere Methoden wie Spear Phishing, Clone Phishing und Whaling, um ihr Ziel zu erreichen.

Spear Phishing und Whaling

Wie bei allgemeinen Phishing-Angriffen werden auch beim Spear Phishing und Whaling E-Mails von vertrauenswürdigen Absendern genutzt, um das Opfer zu täuschen. Anstatt jedoch ein weites Netz auszuwerfen, werden beim Spear Phishing  gezielt einzelne Personen angegriffen, oder der Angreifer gibt sich als vertrauenswürdige Person aus, um Anmeldedaten oder Informationen zu stehlen.

Wie beim Spear Phishing werden auch beim Whaling Kampagnen um ein bestimmtes Ziel herum erstellt, jedoch mit einem größeren Beutefisch im Zentrum. Anstatt eine größere Gruppe wie eine Abteilung oder ein Team ins Visier zu nehmen, nutzen solche Angreifer Kapitän Ahabs Methode und schleudern ihren Speer auf hochrangige Ziele wie Führungskräfte oder Influencer, in der Hoffnung, ihren eigenen Pottwal zu erlegen. Die Walfänger versuchen, sich als leitende Angestellte wie CEOs, CFOs, Personalleiter usw. auszugeben, um Mitarbeiter zu überzeugen, vertrauliche Daten preiszugeben, die für die Angreifer von Wert wären. Damit ein solcher Walfang erfolgreich ist, müssen die Angreifer gründlichere Nachforschungen anstellen als für normale Angriffe. Die Hoffnung ist dabei, dass sie sich erfolgreich als Wal ausgeben können. Die Angreifer versuchen, die Autorität des Wals zu nutzen, um Mitarbeiter oder andere Wale davon zu überzeugen, ihre Anfragen nicht zu prüfen oder zu hinterfragen.

Ironischerweise wurde ich persönlich in einem früheren Unternehmen Ziel eines Whaling-Angriffs, bei dem sich ein Betrüger als mein CEO ausgab und nach meiner Telefonnummer fragte, um mich anzurufen und um einen Gefallen zu bitten. Glücklicherweise enthielt die E-Mail viele Betrugsanzeichen. Am offensichtlichsten war, dass sich das Büro des CEOs nur 3 Meter von meinem Schreibtisch entfernt befand. Er hätte also einfach zu mir kommen können, wenn es nötig gewesen wäre.

Clone Phishing

Clone-Phishing-Angriffe sind weniger kreativ als Spear und Whale Phishing, aber trotzdem sehr effektiv. Dieser Angriffsstil weist alle Kernmerkmale eines Phishing-Angriffs auf. Der Unterschied liegt jedoch darin, dass sich die Angreifer nicht als Benutzer oder Organisation mit einer spezifischen Anfrage ausgeben, sondern eine legitime E-Mail kopieren, die zuvor von einer vertrauenswürdigen Organisation gesendet wurde [4]. Die Hacker verwenden dann Link-Manipulationen, um den in der ursprünglichen E-Mail enthaltenen echten Link zu ersetzen und das Opfer auf eine betrügerische Website umzuleiten. So werden Benutzer zur Eingabe der Anmeldedaten verleitet, die sie auf der echten Website verwenden würden.

Beispiele für E-Mail-Betrug

Es ist üblich, dass Betrüger vertrauenswürdig wirkende E-Mails von Einzelhändlern wie Amazon oder Walmart imitieren und darin behaupten, dass Sie Ihre Zugangsdaten oder Zahlungsinformationen eingeben müssen, um Ihre Bestellung abschließen zu können. Links in der E-Mail führen Sie zu einer täuschend echt aussehenden Landing Page, auf der Sie Ihre vertraulichen Daten eingeben können.

Da aufgrund der Pandemie und der im Wandel begriffenen digitalen Einzelhandelsbranche mehr Menschen als je zuvor online shoppen, werden die Betrüger dieses Jahr wohl Überstunden machen müssen. Zur Weihnachtszeit lässt sich ein sprunghafter Anstieg solcher Betrugsfälle beobachten, da zu dieser Jahreszeit viele Geschenke gekauft werden. Oft tätigen die Leute so viele Einkäufe, dass sie sich nichts dabei denken, wenn es ein Problem mit ihrer Bestellung gibt.

Ein Beispiel für einen Phishing-Angriff, der zur Weihnachtszeit 2020 einen Aufschwung verzeichnet hat, ist eine gefälschte E-Mail von Amazon, in der Kunden darüber informiert werden, dass sie sich anmelden müssen, um ihre Zahlungs- und Versandinformationen zu aktualisieren und ihre Bestellung abzuschließen [5].

(Quelle)

Aus persönlicher Erfahrung weiß ich, dass ich ständig E-Mails von Amazon bekomme, über Versand, Ankunftsdaten, Bestätigungen usw. Wenn ich nicht wüsste, worauf ich bei diesen Angriffen achten muss, würde ich leicht auf einen solchen Betrug hereinfallen.

Der Aufbau einer Phishing-Mail

Wir haben die gängigsten Bestandteile einer Phishing-Mail erläutert. Sehen Sie sich unsere vollständige Infografik an, um Ihr Wissen zu testen.

Betreffzeile

Phishing-Kampagnen zielen oftmals darauf ab, ein Gefühl der Dringlichkeit unter Verwendung ausdrucksstarker Sprache und mit Einschüchterungstaktiken zu schaffen, und das schon angefangen mit der Betreffzeile der E-Mail.

Absenderfeld

Die E-Mail scheint von einem legitimen Absender in einem bekannten Unternehmen zu kommen, etwa dem Kundensupport. Bei genauerer Betrachtung lässt sich jedoch erkennen, dass sowohl der Name als auch die E-Mail-Adresse des Absenders eine Imitation einer bekannten Marke sind, nicht das echte Unternehmen.

Empfängerfeld

Phishing-E-Mails sind oft unpersönlich. Der Empfänger wird als „Benutzer“ oder „Kunde“ angeschrieben.

Text der Mail

Wie bei der Betreffzeile wird auch im Text einer Phishing-Mail oft sehr dringliche Sprache benutzt, damit der Leser möglichst schnell handelt, ohne vorher nachzudenken. Phishing-Mails sind auch häufig voller grammatikalischer und Zeichensetzungsfehler.

Schädlicher Link

Ein verdächtiger Link ist eines der wichtigsten Erkennungsmerkmale einer Phishing-Mail. Solche Links sind oft verkürzt (über bit.ly oder einen ähnlichen Dienst) oder so formatiert, dass sie aussehen wie ein vertrauenswürdiger Link, der zum Unternehmen und zum Inhalt der gefälschten E-Mail passt.

Einschüchterungstaktiken

Zusätzlich zur dringlichen Sprache verwenden Phishing-Mails häufig Einschüchterungstaktiken, in der Hoffnung, dass Leser auf schädliche Links klicken, weil sie Angst haben oder verwirrt sind

Unterschrift der E-Mail

Wie auch die Begrüßung der E-Mail ist die Unterschrift oft unpersönlich – in der Regel eine allgemeine Position im Kundendienst und nicht der Name einer Person und die entsprechenden Kontaktdaten.

Fußzeile

Die Fußzeile einer Phishing-Mail enthält oft verräterische Anzeichen einer Fälschung, z. B. ein  falsches Copyright-Datum oder einen  Standort, der nicht mit dem des Unternehmens übereinstimmt.

Bösartige Landing Page

Wenn Sie auf einen Phishing-Link klicken, werden Sie oft auf eine bösartige Landing Page weitergeleitet.

Wie sich Angriffe verhindern lassen

Der beste Schutz vor Phishing-Kampagnen ist Wissen. Angreifer arbeiten mit Phishing, um so überzeugend wie möglich zu wirken. Dennoch zeigen sie oft verräterische Anzeichen von Betrug. Regelmäßige und obligatorische Schulungen in Datensicherheit und Social Engineering sind eine ausgezeichnete Präventionsmethode, mit dem Ihre Mitarbeiter die Anzeichen bösartiger E-Mails leichter erkennen können.

Die folgenden Punkte sollten Sie jedes Mal genau beachten, wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, auf einen Link zu klicken, eine Datei herunterzuladen oder Ihre Anmeldedaten weiterzugeben – selbst wenn die E-Mail scheinbar von einer vertrauenswürdigen Quelle kommt:

  • Überprüfen Sie den Namen und die Domain, von der die E-Mail stammt
      • Die meisten seriösen E-Mails werden nicht von @gmail.com, @live.com, usw. kommen. Sie kommen in der Regel von privaten Domains.
    • Prüfen Sie auf offensichtliche Rechtschreibfehler im Betreff und im Text
    • Die Absender- und Empfängerzeilen sind allgemein gehalten
    • Geben Sie keine Zugangsdaten weiter – Legitime Absender fragen niemals danach
    • Öffnen Sie keine Anhänge und laden Sie keine verdächtigen Links herunter.
    • Melden Sie verdächtige E-Mails an diejenige Person in Ihrem Unternehmen, die für die IT-Sicherheit zuständig ist

Wenn Sie bereits vermuten, dass Sie eine Phishing-Mail erhalten haben, klicken Sie nicht darauf bzw. auf die Anhänge. Markieren Sie sie und melden Sie sie den zuständigen Personen. Das kann die IT-Abteilung Ihres Unternehmens, das Unternehmen, das imitiert wird, oder Ihr E-Mail-Domainanbieter wie Google, Microsoft usw. sein.

Fallen Sie nicht drauf rein

Wissen ist Macht, wenn es darum geht, sich vor Phishing-Angriffen zu schützen. Die Betrüger verlassen sich ausschließlich darauf, dass Sie auf ihre Masche hereinfallen, um erfolgreiche Angriffe durchzuführen. Auch wenn Sie meinen, Phishing-Angriffe gut erkennen zu können, sollten Sie nicht achtlos werden; hinter jedem Link lauert die Gefahr. Phishing-Betrugsfälle und -Mails werden im Laufe der Zeit immer raffinierter und schwieriger zu erkennen. Solange unser Alltag digitalisiert ist, wird es immer Hacker geben, die unschuldige Menschen ausnutzen, um sich einen finanziellen Vorteil zu verschaffen. Am besten bleibt man sicher und behält den Überblick, indem man sich fortlaufend über die aktuellsten Formen von Phishing informiert.

 

Nathan Coppinger

Nathan Coppinger

Nathan hat es schon immer geliebt, etwas über Spitzentechnologie zu lernen, aber er hatte nicht die Geduld für das Programmieren. So fand er seinen Weg als Stimme für die talentierten Personen hinter dem Code.

 

Möchten Sie Varonis in Aktion erleben?

Vereinbaren Sie eine Demo oder wenden Sie sich an unseren Vertrieb unter +49 89 3803 7990