Manchmal sind altbewährte Methoden die wirksamsten und das gilt auch für die Strategien von Cyberkriminellen. Obwohl sich deren Herangehensweisen stetig ändern und immer perfider werden, halten sie an einer bekannten Masche fest: dem Phishing. Obwohl die Taktik seit fast drei Jahrzehnten existiert, nimmt seine Verbreitung und Raffinesse weiter zu und stellt sowohl Einzelpersonen als auch Unternehmen vor große Herausforderungen.
Beim Phishing geben sich Cyberkriminelle als vertrauenswürdige Unternehmen aus (auch „Brand Phishing“ genannt) und versenden betrügerische Nachrichten, die bösartige Downloads oder Links enthalten. Im letzten Quartal waren Walmart, Microsoft und Wells Fargo die am häufigsten nachgeahmten Marken – eine einleuchtende Taktik, denn weltbekannte Firmennamen erzeugen Vertrauen bei den Opfern. Ist ein Phishing-Angriff erfolgreich, können die Auswirkungen gravierend sein: kompromittierte Zugangsdaten, Malware-Infektionen, Datenschutzverletzungen und finanzieller Diebstahl.
Dass Phishing für diese Raubzüge ein veritables Mittel der Täter ist, zeigen auch die Zahlen: Im vergangenen Jahr stellten Phishing und Malspam über ein Fünftel aller Einfallsvektoren dar. Dabei darf nicht vergessen werden, dass Phishing oftmals nur der Wegbereiter der derzeit größten Bedrohung im digitalen Raum ist: Ransomware. Ein unachtsam angeklickter, verseuchter Link kann ausreichen, um Cyberkriminellen Zugang zum Endgerät eines Mitarbeiters und damit im nächsten Schritt zum Firmennetzwerk und dessen Verschlüsselung durch die bösartige Erpresser-Malware zu ermöglichen.
Die Bedrohung scheint kein Ende zu nehmen. Phishing-Angriffe entwickeln sich weiter und gehen über herkömmliche E-Mails hinaus. Ganze 80 Prozent der Phishing-Websites zielen inzwischen auf mobile Geräte ab oder sind sowohl für Desktop- als auch für mobile Plattformen optimiert. Die Anfälligkeit von Einzelpersonen für Phishing-Angriffe per SMS ist deutlich höher: Die Wahrscheinlichkeit, darauf hereinzufallen, ist sechs bis zehnmal höher als bei Angriffen per E-Mail.
Phishing-Versuche durchschauen
Die erste Verteidigungslinie gegen Phishing ist die Sensibilisierung. Es ist wichtig, die Anzeichen einer Phishing-Nachricht frühzeitig zu erkennen. Während frühere Phishing-Versuche durch Rechtschreib- und Grammatikfehler gekennzeichnet waren, sind sie mit dem Aufkommen der künstlichen Intelligenz immer raffinierter geworden. Doch undurchschaubar sind Phishing-Mails dadurch noch lange nicht. Hier einige Warnsignale, auf die man achten sollte, um Phishing-Mails zu identifizieren:
- Drohungen und Einschüchterung: Beim Phishing wird häufig eine Einschüchterungstaktik angewandt. In den Nachrichten wird oftmals mit der Sperrung des Kontos, rechtlichen Konsequenzen oder anderen einschüchternden Folgen gedroht, um den Empfänger zum Handeln zu bewegen.
- Ungereimtheiten in der Nachricht: Jede Nachricht, die ungewöhnlich erscheint oder allgemeine Begrüßungsformeln wie „Sehr geehrter Benutzer“ anstelle einer persönlichen Begrüßung verwendet, sollte mit Misstrauen behandelt werden.
- Ungewöhnliche Anfragen: Wenn eine E-Mail ungewöhnlich erscheint, beispielsweise, wenn man aufgefordert wird, eine Software zu installieren, sollte man immer mit den zuständigen Abteilungen Rücksprache halten.
- Unstimmigkeiten bei Links und Adressen: Man sollte E-Mail-Adressen, Links und Domänennamen immer überprüfen. Ein einfaches Überfahren von Hyperlinks mit der Maus kann aufzeigen, ob sie zu einem anderen Ziel führen als angegeben.
- Abfrage sensibler Informationen: Seriöse Unternehmen fragen selten, wenn überhaupt, per E-Mail nach persönlichen Informationen wie Passwörtern oder Kreditkartendaten. Bei solchen Anfragen ist immer Vorsicht geboten.
Betriebliche Maßnahmen helfen im Kampf gegen Phishing
Unternehmen können verschiedene Strategien anwenden, um das Phishing-Risiko zu verringern:
- Programme zur Sensibilisierung für Cybersicherheit: Schulungsprogramme können den Mitarbeitern Wissen über die neuesten Cyberbedrohungen vermitteln. Empfehlenswert sind obendrein Tools, die realistische Phishing-Angriffe simulieren können und lokale Schulungen zur Erhöhung des Sicherheitsbewusstsein ermöglichen.
- Robuste E-Mail-Sicherheit: Fortschrittliche E-Mail-Sicherheitslösungen können verdächtige E-Mails erkennen und unter Quarantäne stellen, bösartige Links identifizieren und sogar Sandboxing-Technologie einsetzen, um E-Mails auf schädlichen Code zu analysieren.
- Endgeräteüberwachung: Angesichts der zunehmenden Nutzung von Cloud-Diensten und persönlichen Geräten ist es wichtig, Endgeräte auf potenzielle Sicherheitsbedrohungen zu überwachen und bei gefährdeten Geräten schnell einzugreifen.
Wachsamkeit endet nicht mit dem Erkennen eines Phishing-Versuchs. Die Meldung solcher Versuche ist für den Kampf gegen Cyberkriminelle unerlässlich. Phishing-E-Mails können an die Anti-Phishing Working Group und Textnachrichten an SPAM (7726) gesendet werden. Auch die Federal Trade Commission bietet eine Plattform zur Meldung von Phishing-Versuchen.
Zusammenfassend lässt sich sagen, dass sich die Cyber-Bedrohungen ständig weiterentwickeln und dass Aufklärung und proaktives Handeln nach wie vor die beste Verteidigung sind. Wer gängige Phishing-Maschen kennt, die Formulierungen von Phishing-Mails kritisch beäugt und vorsichtig mit den eigenen Login-Daten umgeht, kann die Schlupflöcher der Täter schließen. Es sollten sich alle dazu verpflichten, informiert und wachsam zu bleiben. So kann man den Cyberkriminellen stets einen Schritt voraus sein und ihnen eine der wichtigsten Grundlagen für ihre illegalen Geschäfte entziehen: Den Faktor Mensch.