Phishing erkennen und verhindern: So gelingt wirksamer Schutz vor Cyber-Kriminalität

Digitales Business

Digitales Business

Datum 24.06.2021
Lesezeit 6 Min.

Phishing erkennen und verhindern: So gelingt wirksamer Schutz vor Cyber-Kriminalität

Phishing ist nicht erst seit der vermehrten Nutzung privater Geräte im beruflichen Umfeld zum Problem geworden. Für Unternehmen war es schon immer eine Herausforderung, alle Cyber-Security-Systeme auf dem neuesten Stand zu halten. Doch nicht nur bei großen Firmen besteht im Hinblick auf Cybersicherheit akuter Handlungsbedarf: 43 Prozent der Cyber-Attacken zielen auf Kleinunternehmen an, doch nur 14 Prozent sind darauf auch vorbereitet. Diebe und Betrüger passen sich schließlich schnell an und überwinden teils selbst neue Schutzmethoden innerhalb kurzer Zeit. Eine besonders beliebte Variante der Cyberkriminalität ist das „Angeln” nach Passwörtern und beispielsweise Kreditkartendaten: das sogenannte „Phishing”.

Immer mehr Menschen arbeiten im Homeoffice und verwenden dafür auch ihre privaten Geräte, was zu mehr (erfolgreichen) Phishing-Angriffen geführt hat. Tatsächlich zeigt sich gerade bezüglich mobiler Phishing-Angriffe laut dem US-amerikanischen Sicherheitslösungs-Anbieter Lookout ein Anstieg von 32 Prozent zwischen dem letzten Quartal 2019 und dem ersten Quartal in 2020. Umso wichtiger ist es daher, Ihre Angestellten in Zeiten mobiler Erreichbarkeit, Flexwork und Homeoffice über die möglichen Bedrohungen zu informieren, damit diese einen möglichen Angriff auch als solchen erkennen.

 

Phishing – das steckt hinter dem Begriff

Von den betrügerischen Machenschaften im Internet ist Phishing eine der gefährlichsten und dabei gängigsten Bedrohungen, da sie auf menschliche Gutgläubigkeit und fehlende IT-Kenntnisse abzielt. Das Wort leitet sich vom englischen Wort für „angeln” („fishing”) und der Abkürzung „ph” für „password harvesting” ab. Es wird sozusagen vor allem nach Zugangsdaten und Passwörtern „geangelt”, indem geeignete „Köder” ausgelegt werden.

Cyber-Kriminelle senden dazu automatisierte E-Mails oder Nachrichten beispielsweise in Messenger-Systemen an eine große Anzahl von Empfängern und tarnen sich als:

  • eine vertrauenswürdige Person oder Institution,
  • ein Kollege, der nach sensiblen Informationen wie Kreditkartendaten, Personalausweisnummer und Passwörtern fragt oder
  • ein scheinbar vertrauenswürdiger Link.

Durch Anklicken des Links können Cyber-Kriminelle nun gezielt nach Informationen auf Ihrem Gerät zu suchen, die dann zum Diebstahl von Geld oder zur Erpressung der Person verwendet werden. Sogenannte „Spear-Phishing”-Nachrichten sind dabei noch präziser und personalisierter als allgemeine Phishing-Versuche, da der Cyber-Kriminelle sich als naher Verwandter, Freund oder Partner ausgibt. Normalerweise werden diese Nachrichten per E-Mail, über die sozialen Medien oder auch innerhalb von Dating-Seiten übermittelt.

Video: YouTube / Lookout

 

Mobile Phishing als Sonderform

Schon seit langem können wir uns von fast überall auf der Arbeit einloggen – sei es von Ihrem Zuhause, dem Café um die Ecke oder der Poolanlage im Urlaub aus.

 Vor allem Messenger-Dienste wie Slack, Teams und Co. werden verstärkt von unterwegs aus genutzt. Aber auch der E-Mail-Abruf klappt auf dem Smartphone oder Laptop auf Reisen im Grunde genauso komfortabel wie sonst am betrieblichen Arbeitsplatz.

Nicht nur gestresste Manager, die auch nach Geschäftsschluss nur mal kurz nachsehen wollen, was es Neues gibt, kennen das. Vielen fällt es aus unterschiedlichen Gründen schwer, einfach mal abzuschalten und der eigenen Müdigkeit und Unkonzentriertheit nach einem langen Arbeitstag Rechnung zu tragen – genau das machen sich Angreifer dann beim „Mobile Phishing” zunutze.

Es gibt fünf gängige Arten von mobilen Phishing-Angriffen:

  1. URL-Padding: Das eigentliche Ziel der Website wird von Bindestrichen verdeckt und nur die scheinbar echte Website ist zu sehen.
  2. Short-URLs sind gekürzte Links, die den Nutzer zu schädlichen Inhalten führen. Sie können auch via SMS versendet werden.
  3. Bildschirm-Überlagerungen bilden die Login-Seite einer echten mobilen App nach, um an Benutzernamen und Passwörter einer Person heranzukommen. Es handelt sich hierbei um eine sehr effektive Methode, die normalerweise auf Mobile-Banking und Zahlungs-Apps abzielt.
  4. Eine Verifizierung per Handy kann dem Angreifer dabei helfen, zu überprüfen, ob es sich beim Ziel um ein mobiles Endgerät handelt. Ist dies der Fall, kann der Angreifer spezifische Angriffe darauf senden.
  5. Beim „SMS Spoofing” wird der Nutzer dazu verleitet, einen Link anzuklicken, der eine Benachrichtigung für eine Systemaktualisierung vortäuscht. Klickt der Nutzer auf den Link, fängt dieser E-Mails, sensible Daten oder Website-Traffic zum und vom Gerät ab.

 

„Bei uns kommen immer wieder Phishing-Mails an, die dann scheinbar von mir, dem CEO stammen sollen. Das macht es aber besonders gefährlich, weswegen unsere Mitarbeiter diesbezüglich besonders sensibilisiert werden.”

– Hendrik Gottschalk, CEO von getbaff

 

Mobil arbeiten, sicher bleiben: Mit Lookout 

Durch die Corona-Pandemie sind flexible Arbeitsmodelle immer wichtiger geworden. Nicht nur arbeiten immer mehr Mitarbeitende im Homeoffice – auch das Arbeiten von überall aus gewinnt immer mehr an Bedeutung. Um das sogenannte Remote Working möglichst unkompliziert und flexibel zu organisieren, werden immer mehr Inhalte und Aufgaben „in die Cloud” verlegt. Im Rahmen einer Verizon-Untersuchung aus dem Jahr 2020 gaben 84 Prozent der befragten Fachkräfte an, dass deren Abhängigkeit von Cloud-Daten zunimmt.

Viele Smartphones und Tablets verfügen schon länger über Leistungsdaten wie so mancher Laptop. Deren große Displays und die jederzeitige Konnektivität verführen leicht zu spontanen Arbeiten. Geschehen diese dann unter Zeitdruck, ohne VPN-Verbindung oder beispielsweise im offenen Flughafen-WLAN, sind die Sicherheitsrisiken nicht unerheblich.

Doch nicht nur Unkonzentriertheit, Hektik oder fehlende Verschlüsselung können zum Problem werden: Laut Recherche des Sicherheits-Lösungsanbieters Lookout klicken Nutzer auf einem mobilen Endgerät dreimal so häufig auf einen Phishing-Link, da die Phishing-Versuche auf einem kleinen Bildschirm viel schlechter zu erkennen sind.

Künstliche Intelligenz kann dabei helfen, Phishing-Angriffe auf diesen Applikationen zu erkennen und zu blockieren sowie Angestellte daran zu hindern, Phishing-Seiten überhaupt erst aufzurufen. Jeden Tag prüfen beispielsweise die KI-Systeme von Lookout über 100.000 Apps, um „riskantes” App-Verhalten bei Nutzern rasch zu erkennen. In den letzten zwölf Monaten konnten somit über 3 Millionen mobile Bedrohungen verhindert werden.

Derartige Attacken betrafen 2020 immerhin etwa 20 Prozent der mobilen Endgeräte in Deutschland – und sowohl iOS- als auch Android-Geräte sind gefährdet. Ist eine Schadsoftware erst einmal installiert, läuft sie häufig unbemerkt im Hintergrund mit und spioniert wichtige Daten aus. Der eigentliche Schaden passiert dann an anderen Stellen, ohne dass Sie es zunächst mitbekommen, oder die Ursache kennen.

Was also tun? Integrierte Virenscanner wie bei Windows oder auf dem Mac sind auf den meisten mobilen Endgeräten eher Fehlanzeige. Daher ist es durchaus sinnvoll, sowohl Dienst- als auch Privathandys und -tablets mit der Lookout-Security-Lösung zu schützen. 

Das Lookout-System wird über eine zentrale Verwaltungskonsole gesteuert und ist sofort einsatzbereit. Die Inhalte von E-Mails, der Browserverlauf oder persönliche und private Nachrichten werden dabei weder mitgelesen noch irgendwo gespeichert. Die Gerätelaufzeit wird ebenfalls nicht beeinträchtigt.

 

Ausklappbare Informationsgrafik

Die Lookout Security Cloud sichert mobile Endgeräte besonders umfangreich ab.

 

Phishing wirksam verhindern: Machen Sie den Test


Mit Hilfe der interaktiven Karten von Lookout können Sie mehr zu Phishing-Vorkommnissen und Bedrohungsermittlungen von Apps für Android- und iOS-Nutzer weltweit erfahren. Ziehen Sie Ihre Maus zur Erkundung jeder Region über den Bildschirm. Durch einen Doppelklick oder durch Verkleinern oder Vergrößern durch Scrollen lassen sich bestimmte Länder anzeigen.

Außerdem können Sie mit diesem mobilen Phishing-Test „Echt vs. Fake” von Lookout Ihre Fähigkeiten und die Ihrer Mitarbeiter bei der Erkennung von Phishing-Versuchen überprüfen.

Lesen Sie außerdem bei uns, wie Sie ein sicheres internes Firmennetzwerk aufbauen, wie Sie Spyware vorbeugen und sich vor Lösegeldforderungen im Internet schützen.

 

Welche Maßnahmen ergreifen Sie bei sich im Unternehmen gegen Phishing? Sind Sie oder jemand, den Sie kennen, schon einmal Opfer solcher Angriffe geworden? Wir sind gespannt auf Ihren Kommentar.

 

Lookout: Die Sicherheitslösung für mobile Endgeräte

Lookout: Die Sicherheitslösung für mobile Endgeräte

Schützen Sie Ihre gemeinschaftlich genutzten mobilen Endgeräte ganz einfach mit der Lookout-App vor Cyber-Angriffen.

Installieren Sie einfach die Lookout-App auf allen mobilen Geräten Ihres Unternehmens. Egal, ob im Homeoffice, im Büro oder unterwegs. Und unabhängig von Netzwerk oder Endgerät.

So schützen Sie Ihre Daten und geben Malware und Phishing-Attacken keine Chance!

 


Ihre Digitalisierungs-Berater für den Mittelstand

Sie haben Fragen rund um die Digitalisierung? Unser Experten-Team steht ihnen gerne kostenlos
und unverbindlich im Chat (Mo.-Fr. 8-20Uhr) oder telefonisch unter 0800 5054512 zur Verfügung.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Facebook Twitter WhatsApp LinkedIn Xing E-Mail