5 Phishing-Bedrohungen, die auf Ihre Mitarbeiter lauern

Tech Insights for Professionals

Tech Insights for ProfessionalsDie aktuellsten Informationen für IT-Profis

Dienstag, 18. September 2018

Informieren Sie Ihre Mitarbeiter wirksam über Phishing-Angriffe? Hier sind fünf Varianten, die sie kennen müssen.

Artikel

Cyberkriminalität ist ein einträgliches Geschäft. Hacking und Malware-Angriffe sind für organisierte Verbrecher sehr lukrativ und die Auswirkungen auf Unternehmen, die ihnen zum Opfer fallen, können verheerend sein. Deshalb sollte es nicht überraschen, dass Investitionen in bessere Sicherheitslösungen oberste Priorität haben.

Aber selbst gut vorbereitete Unternehmen können Schwachstellen haben und oftmals sind die anfälligsten Teile eines IT-Systems die Menschen, die es nutzen. Kriminelle haben das ebenfalls erkannt, was sich an der steigenden Zahl von Social-Engineering-Taktiken ablesen lässt, die zur Umgehung der Sicherheitsmaßnahmen verwendet werden. Warum soll man seine Zeit damit verschwenden, ein Schloss zu knacken, wenn man jemanden überreden kann, einem die Tür zu öffnen?

Deswegen ist es wichtig, die Benutzer zu informieren, wie sie Systeme sicher nutzen – und ein Schwerpunkt muss die Warnung vor Phishing-Angriffen sein. Diese Angriffe beinhalten, dass man Leute dazu bringt, vertrauliche Details preiszugeben, wie Benutzernamen, Passwörter oder Bankinformationen. Sie sind häufig als E-Mail-Nachrichten getarnt, die vorgeben, von jemandem zu kommen, den der Empfänger kennt und ihn dazu verlocken, einen schädlichen Link anzuklicken, der seinen Computer mit einem Schadprogramm infiziert oder sie dazu verleitet, Informationen auf einer Website einzugeben, die sie für legitim halten.

Es gibt jedoch verschiedene Arten von Phishing-Angriffen, die Betrüger ausprobieren und die unterschiedliche Spuren hinterlassen. Hier sind fünf verbreitete Taktiken, auf die Sie achten müssen.

1. Spear-Phishing

Ein regulärer Phishing-Angriff streckt seine Fühler in verschiedene Richtungen aus. Betrüger senden tausende identischer Nachrichten und hoffen, dass jemand anbeißt. Aber während diese unpersönlichen Versuche eine sehr geringe Antwortquote haben und stattdessen auf die Menge vertrauen, ist Spear-Phishing sehr viel gezielter.

Diese Nachrichten sind direkt auf den beabsichtigten Empfänger zugeschnitten, enthalten wahrscheinlich dessen Namen und andere Informationen, um das Opfer von der Echtheit der Nachricht zu überzeugen, und scheinen von Unternehmen oder Personen zu kommen, zu denen bereits eine Beziehung besteht. Da viele Leute dazu neigen, Nachrichten, die direkt an sie gerichtet scheinen, mehr zu vertrauen, sind sie vielleicht weniger misstrauisch als bei einer E-Mail, die mit „Lieber Kunde“ beginnt.

2. Whaling

Um beim nautischen Thema zu bleiben, Whaling ist eine bestimmte Art des Spear-Phishing, mit der „große Fische“ geangelt werden sollen – normalerweise ein CEO oder ein anderes Vorstandsmitglied. Für Betrüger ist Whaling sehr verlockend, denn wenn sie erfolgreich sind, erhalten sie dadurch Zugriff auf viel mehr Informationen als bei Mitarbeitern unterer Ebenen.

Natürlich haben diese Konten deshalb mehr Sicherheitsvorkehrungen und werden nicht so freimütig geteilt, weshalb Betrüger beträchtliche Mühen auf sich nehmen, um echt zu erscheinen. Das heißt, sie wissen, mit wem das Opfer kommuniziert und was für Gespräche es führt. Erfolgreiche Beispiele sind detaillierte Verweise auf Kundenbeschwerden, Rechtsangelegenheiten oder selbst Probleme in der Vorstandsetage. Deshalb sind sie schwer zu erkennen, weshalb Führungskräfte besonders vorsichtig sein müssen.

3. Cloning

Eine andere Variante des Spear-Phishing ist Cloning, das stattfindet, wenn ein Betrüger eine existierende, legitime, an den Benutzer gesendete Nachricht als Grundlage für seine eigene E-Mail verwendet. Dann kopiert er fast jeden Aspekt, aber anstelle eines legitimen Anhangs oder Links sendet er seine eigene infizierte Version.

Beispielsweise kann ein Betrüger das E-Mail-Konto eines Kollegen täuschen, eine geklonte Nachricht zu senden, und die Nachricht als „aktualisierte Version“ oder etwas Ähnliches beschreiben, um den Empfänger zu täuschen. Diese Nachrichten sind glaubwürdiger, weil sie so aussehen wie etwas, das die Benutzer bereits gesehen haben und von dem sie wissen, dass es echt ist.

4. Business E-Mail Compromise

Business E-Mail Compromise oder BEC-Angriffe sind ähnlich wie Spear-Phishing, weil sie als E-Mails von Personen getarnt sind, die der Empfänger kennt. Der Hauptunterschied besteht darin, dass sie von hochrangigen Führungskräften zu kommen scheinen, die Informationen anfordern oder Mitarbeiter beauftragen, Geld zu überweisen.

Diese Angriffe können sehr effektiv sein, denn die meisten Leute, die eine Nachricht vom E-Mail-Konto ihres CEO erhalten, fühlen sich verpflichtet zu tun, worum er sie bittet. Einige der größten Technologieunternehmen der Welt sind diesem Trick zum Opfer gefallen – ein Unternehmen war Snapchat. Dort wurde 2016 ein Mitarbeiter dazu gebracht, alle Lohn- und Gehaltsdaten des Unternehmens an jemanden zu senden, der vorgab, der CEO Evan Spiegel zu sein.

5. Mobile Bedrohungen

Alle oben beschriebenen Taktiken nutzen bekannte E-Mail-Kontakte aus, aber mit der Verlagerung der Geschäftsaktivitäten auf Mobilgeräte erschließt sich Phishern eine ganz neue Plattform, die sie ausnutzen können. Es gibt eine Reihe von Bedrohungen, die für Mobilgeräte maßgeschneidert sind, wie SMS-Phishing, wo ein Betrüger einem Benutzer eine SMS mit einem schädlichen Link sendet, oder die Entwicklung falscher Apps, die Benutzer herunterladen, weil sie diese für echte Programme halten.

Es gibt ebenfalls ganz neue Techniken wie URL-Padding, die man kennen muss. Hierbei wird Text eingefügt, der eine legitime Website-Adresse zu sein scheint, aber innerhalb einer größeren unechten URL ist. Auf Mobilgeräten ist das besonders effektiv wegen des beschränkten Platzes für die Anzeige einer vollständige URL und der Tatsache, dass sich die Leute an das andere Format gewöhnt haben. So kann es sein, dass sie einen Link sehen, der mit „m.facebook“ beginnt und annehmen, dass er zur mobilen Seite des sozialen Netzwerks führt. Stattdessen ist der wahre Zielort am Ende eines langen Links versteckt.

Insights for Professionals bietet kostenlos Zugang zu brandaktuellen vordenkerischen Ideen globaler Marken. Wir liefern unseren Abonnenten einen Mehrwert, indem wir spezifische Inhalte für erfahrene Fachkräfte schaffen und zusammentragen. Um weitere IT-Inhalte anzuzeigen, hier klicken.

Kommentare

Nehmen Sie an der Diskussion teil ...

Zurück zum Anfang