Phishing erkennen und verhindern: So gelingt wirksamer Schutz vor Cyber-Kriminalität

Digitales Business

Digitales Business

Datum 18.12.2020
Lesezeit 4 Min.

Phishing erkennen und verhindern: So gelingt wirksamer Schutz vor Cyber-Kriminalität

Phishing ist nicht erst seit der vermehrten Nutzung privater Geräte im beruflichen Umfeld zum Problem geworden. Für Unternehmen war es schon immer eine Herausforderung, alle Cyber-Security-Systeme auf dem neuesten Stand zu halten. Diebe und Betrüger passen sich schließlich schnell an und überwinden teils selbst neue Schutzmethoden innerhalb kurzer Zeit. Eine besonders beliebte Variante der Cyberkriminalität ist das „Angeln” nach Passwörtern und beispielsweise Kreditkartendaten: das sogenannte „Phishing”.


Immer mehr Menschen arbeiten im Homeoffice und verwenden dafür auch ihre privaten Geräte, was zu mehr (erfolgreichen) Phishing-Angriffen geführt hat. Tatsächlich zeigt sich gerade bezüglich mobiler Phishing-Angriffe laut dem US-amerikanischen Sicherheitslösungs-Anbieter Lookout ein Anstieg von 32 Prozent zwischen dem letzten Quartal 2019 und dem ersten Quartal in 2020. Umso wichtiger ist es daher, Ihre Angestellten in Zeiten mobiler Erreichbarkeit, Flexwork und Homeoffice über die möglichen Bedrohungen zu informieren, damit diese einen möglichen Angriff auch als solchen erkennen.

 

Phishing – das steckt hinter dem Begriff

Von den betrügerischen Machenschaften im Internet ist Phishing eine der gefährlichsten und dabei gängigsten Bedrohungen, da sie auf menschliche Gutgläubigkeit und fehlende IT-Kenntnisse abzielt. Das Wort leitet sich vom englischen Wort für „angeln” („fishing”) und der Abkürzung „ph” für „password harvesting” ab. Es wird sozusagen vor allem nach Zugangsdaten und Passwörtern „geangelt”, indem geeignete „Köder” ausgelegt werden.

Cyber-Kriminelle senden dazu automatisierte E-Mails oder Nachrichten beispielsweise in Messenger-Systemen an eine große Anzahl von Empfängern und tarnen sich als:

  • eine vertrauenswürdige Person oder Institution,
  • ein Kollege, der nach sensiblen Informationen wie Kreditkartendaten, Personalausweisnummer und Passwörtern fragt oder
  • ein scheinbar vertrauenswürdiger Link.

Durch Anklicken des Links können Cyber-Kriminellen nun gezielt nach Informationen auf Ihrem Gerät zu suchen, die dann zum Diebstahl von Geld oder zur Erpressung der Person verwendet werden. Sogenannte „Spear-Phishing”-Nachrichten sind dabei noch präziser und personalisierter als allgemeine Phishing-Versuche, da der Cyber-Kriminelle sich als naher Verwandter, Freund oder Partner ausgibt. Normalerweise werden diese Nachrichten per E-Mail, über die sozialen Medien oder auch innerhalb von Dating-Seiten übermittelt.

Video: YouTube / Zentrum Digitalisierung.Bayern

 

Mobile Phishing als Sonderform

Schon seit langem können wir uns von fast überall auf der Arbeit einloggen – sei es von Ihrem Zuhause, dem Café um die Ecke oder der Poolanlage im Urlaub aus.

Kein Wunder, dass heute mehr Personen mobile Endgeräte zum Arbeiten verwenden. Es ist eben sehr leicht, E-Mails mit nur einem Klick auf dem Smartphone abzurufen – speziell Manager, die auch nach Geschäftsschluss nur mal kurz nachsehen wollen, was es Neues gibt, kennen das. Vielen fällt es aus unterschiedlichen Gründen schwer, einfach mal abzuschalten und der eigenen Müdigkeit und Unkonzentriertheit nach einem langen Arbeitstag Rechnung zu tragen – genau das machen sich Angreifer dann beim „Mobile Phishing” zunutze.

Doch nicht nur Unkonzentriertheit oder Hektik können zum Problem werden: Laut Recherche von Lookout klicken Nutzer auf einem mobilen Endgerät dreimal so wahrscheinlich auf einen Phishing-Link, da die Phishing-Versuche auf einem kleinen Bildschirm viel schlechter zu erkennen sind.

Künstliche Intelligenz kann dabei helfen, Phishing-Angriffe auf diesen Applikationen zu erkennen und zu blockieren sowie Angestellte daran zu hindern, Phishing-Seiten überhaupt erst aufzurufen. Jeden Tag prüfen beispielsweise die KI-Thread-Engines von Lookout über 100.000 Apps, um „riskantes” App-Verhalten bei Nutzern rasch zu erkennen. In den letzten 12 Monaten konnten somit über 3 Millionen mobile Bedrohungen verhindert werden.

Es gibt fünf gängige Arten von mobilen Phishing-Angriffen:

  1. URL-Padding: Das eigentliche Ziel der Website wird von Bindestrichen verdeckt und nur die scheinbar echte Website ist zu sehen.
  2. Short-URLs sind gekürzte Links, die den Nutzer zu schädlichen Inhalten führen. Sie können auch via SMS versendet werden.
  3. Bildschirm-Überlagerungen bilden die Login-Seite einer echten mobilen App nach, um an Benutzernamen und Passwort einer Person heranzukommen. Es handelt sich hierbei um eine sehr effektive Methode, die normalerweise auf Mobile-Banking und Zahlungs-Apps abzielt.
  4. Eine Verifizierung per Handy kann dem Angreifer dabei helfen, zu überprüfen, ob es sich beim Ziel um ein mobiles Endgerät handelt. Ist dies der Fall, kann der Angreifer spezifische Angriffe darauf senden.
  5. Beim „SMS Spoofing” wird der Nutzer dazu verleitet, einen Link anzuklicken, der eine Benachrichtigung für eine Systemaktualisierung vortäuscht. Klickt der Nutzer auf den Link, fängt dieser E-Mails, sensible Daten oder Website Traffic zum und vom Gerät ab.

 

Phishing wirksam verhindern: Machen Sie den Test

Mit Hilfe der interaktiven Karten von Lookout können Sie mehr zu Phishing-Vorkommnissen und Bedrohungsermittlungen von Apps für Android- und iOS-Nutzer weltweit erfahren. Ziehen Sie Ihre Maus zur Erkundung jeder Region über den Bildschirm. Durch einen Doppelklick oder durch Verkleinern oder Vergrößern durch Scrollen lassen sich bestimmte Länder anzeigen.

Außerdem können Sie mit diesem mobilen Phishing-Test „Echt vs. Fake” von Lookout Ihre Fähigkeiten und die Ihrer Mitarbeiter bei der Erkennung von Phishing-Versuchen überprüfen.

Lesen Sie außerdem bei featured Business, wie Sie ein sicheres internes Firmennetzwerk aufbauen, wie Sie Spyware vorbeugen und sich vor Lösegeldforderungen im Internet schützen.

 

Welche Maßnahmen ergreifen Sie bei sich im Unternehmen gegen Phishing? Sind Sie oder jemand, den Sie kennen, schon einmal Opfer solcher Angriffe geworden? Wir sind gespannt auf Ihren Kommentar.

 


Mit Berater sprechen

Sie haben Fragen? Gerne sind wir kostenlos in unserem V-Hub Chat (Mo.-Fr.: 8-18 Uhr)
oder telefonisch unter 0800 107 1006 für Sie da.

 

 

 

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail