Fünf Phishing-Methoden, die man auf dem Radar haben sollte

Anzeige

Der 30. November ist der internationale Tag der Computersicherheit. Kaum zu glauben, dass dieser bereits im Jahr 1988 von amerikanischen IT-Experten ins Leben gerufen wurde – knappe zehn Jahre, bevor das Internet begann, unsere Welt zu erobern. Der internationale Tag der Computersicherheit ist ein guter Anlass, sich mit einer der ältesten Praktiken aus der Trickkiste der Cyberkriminellen zu beschäftigen: Phishing. Bereits 1995 haben Kriminelle damit begonnen, sich mithilfe gefälschter E-Mails und Websites Zugriff auf die Daten von Internetnutzern zu verschaffen.

Anfangs gingen sie dabei noch recht rudimentär vor und oft waren Betrugsversuche beispielsweise an Tippfehlern oder offensichtlichen Scam-Links erkennbar. Doch im Laufe der Zeit wurde die Vorgehensweise beim Phishing immer weiter verfeinert, so dass man mittlerweile auf eine Vielzahl perfider Methoden gefasst sein muss, mit denen Kriminelle versuchen, etwa an E-Mail-Accounts oder Kreditkartenummern zu kommen.

Auch wenn Phishing bereits auf eine relativ lange Geschichte zurückblicken kann, ist das Thema nach wie vor brandaktuell: So hat McAfee erst letzten Monat eine gefährliche Phishing-Kampagne, die über Office 365 lief, aufdecken können. Umso wichtiger ist es, über gängige Phishing-Methoden Bescheid zu wissen. Auf die folgenden fünf Betrugsversuchen sollten Internetnutzer heute jederzeit gefasst sein.

 

  1. Suspekte E-Mails

Auch wenn Phishing-Mails heute in vielen Fällen automatisch im Spam-Ordner landen, findet die ein oder andere immer wieder den Weg in unser reguläres Postfach. Wird man in einer E-Mail dazu aufgefordert, aufgrund einer vermeintlich wichtigen Angelegenheit sensible Informationen an seine Bank oder andere Institutionen zu übermitteln, besteht Anlass zur Skepsis. In diesen Fällen sollte man genau prüfen, um wen es sich beim Absender handelt.

 

  1. Fake-Links

Ähnlich wie mit Phishing-E-Mails verhält es sich auch mit Phishing-Links. Cyberkriminelle verschicken dabei Links zu einer Website-Attrappe, die oft den Websites großer Einzelhändler nachempfunden sind. Dort sollen dann für eine Account-Verifikation oder Ähnliches Login-Daten eingetragen werden, die im Anschluss auf direktem Weg in die Hände eines Cyberkriminellen gelangen. Auch in diesem Fall sollte man beim geringsten Zweifel den vermeintlichen Absender der E-Mail kontaktieren, um herauszufinden, was es damit auf sich hat – oder die Mail direkt in den Mülleimer verschieben.

 

  1. Der Walfang

Beim sogenannten Whaling stehen Top-Manager im Fokus der Kriminellen, die mithilfe personalisierter Kontaktaufnahmen beispielsweise den Klick auf einen Schadlink erwirken wollen, um an Daten zu gelangen. Hier geht es vor allem darum, mittels Identitätsdiebstahl an viel Geld oder an Unternehmensgeheimnisse zu kommen. Während Unternehmen ihre Entscheider zunehmend für das Thema Whaling sensibilisieren, hat die Masche in der Vergangenheit bereits zu zahlreichen Datenpannen geführt hat.

 

  1. Spear-phishing

Das Spear-phishing ist gewissermaßen mit dem Whaling verwandt, richtet sich jedoch an Personen, die in der Unternehmenshierarchie weiter unten stehen. Das Ziel ist jedoch das gleiche: Es geht um geistiges Eigentum, Login-Daten für unternehmensinterne Accounts und Kundendaten. Diese Art von Phishing ist weitaus lukrativer, als massenhaft verschickte E-Mails an anonyme Empfänger. Daher nehmen die Kriminellen sich hier, wie auch beim Whaling, viel Zeit, um Informationen über die Zielperson zu beschaffen. Auf diesem Weg wirken beispielsweise Anfragen per E-Mail oft täuschend echt. Auch in diesem Fall müssen Unternehmen dafür sorgen, ihre Mitarbeiter entsprechend zu schulen.

 

  1. Suchmaschinen-Phishing

Wer etwas mithilfe einer Suchmaschine sucht, geht davon aus, dass die verlinkten Ergebnisse seriös sind. Dem ist jedoch nicht immer so. Manchmal gelingt es Kriminellen, ihre Links in den Ergebnislisten zu platzieren. Oft geht es dabei um attraktive Rabatte für Produkte oder Dienstleistungen, die Internetnutzer dazu verführen sollen, eine Bestellung zu tätigen und damit ihre Daten preiszugeben.

 

Man sieht: Die Spielarten des Phishings sind zahlreich. Die aufgeführten Methoden kratzen nur an der Oberfläche und grundsätzlich gilt, dass man im digitalen Raum immer darauf gefasst sein sollte, von Betrügern hinters Licht geführt zu werden. Der beste Weg, sich zu schützen, besteht darin, sich fortlaufend über aktuelle Phishing-Methoden zu informieren und in eine entsprechende Sicherheitslösung zu investieren.

 

550 Artikel zu „Phishing“

Weihnachtszeit ist »Phishing-Zeit«

Wie Unternehmen sich und ihre Mitarbeiter effektiv vor der anstehenden Phishing-Flut schützen können. Die Phishing-Welle reißt nicht ab – ganz besonders zur Weihnachtszeit, wenn Anbieter mit extrem günstigen Black Friday Deals werben und viele Menschen bei der Jagd nach dem perfekten Geschenk schnell zugreifen wollen. Hacker investieren mittlerweile viel Zeit in die Aufmachung solcher Mails:…

Laterales Phishing: Die wachsende Bedrohung

Missbrauch entführter Konten für umfangreiche Phishing-Angriffe.   Der Missbrauch gehackter E-Mail-Konten durch Cyberkriminelle ist nach wie vor eine der größten Bedrohungen für die E-Mail-Sicherheit. Dabei entwickeln Angreifer ihre Taktiken kontinuierlich weiter: In Zusammenarbeit mit Forschern der UC Berkeley und der UC San Diego entdeckten Sicherheitsforscher von Barracuda eine neue und wachsende Art des Kontoübernahme-Angriffs: das…

Enorme Wissenslücken von Anwendern in puncto Phishing und Datenschutz

Die Ergebnisse einer Sicherheitsstudie [1] zum Kenntnisstand von Endanwendern hinsichtlich einer Vielzahl verschiedener Themen aus dem Cybersecurity-Umfeld verdeutlichen die Notwendigkeit kontinuierlicher Schulungen für Mitarbeiter, da über alle Branchen hinweg das Wissen um Cyberbedrohungen noch immer erhebliche Lücken aufweist. Beispielsweise offenbarten sich im Branchenvergleich, vor allen im Bildungs- und Transportwesen sowie im Gastgewerbe, teils massive Schwächen.…

Der Faktor Mensch in der Cybersicherheit: Dropbox ist beliebtester Phishing-Köder

In der Untersuchung »Der Faktor Mensch« wird detailliert aufgezeigt, wie Cyberkriminelle aktiv versuchen, den Menschen anstelle von technischen Sicherheitslücken auszunutzen, um monetäre Gewinne zu generieren oder Informationen zum Zwecke der Spionage beziehungsweise für zukünftige Angriffe zu stehlen [1]. Der Bericht von Proofpoint basiert auf der Analyse von bereits erfolgten Angriffsversuchen bei mehr als 6.000 Unternehmenskunden…

Gefälschte Office-365-Mails im Umlauf: Perfide Phishing-Variante täuscht Passwort-Verifizierung vor

Die Sicherheitsexperten von Retarus warnen vor einer besonders arglistigen Phishing-Angriffswelle: Derzeit befinden sich personalisierte Phishing-Mails in einem täuschend echten Microsoft-Layout im Umlauf, die den Empfänger unter anderem zu einer zweifachen Passwort-Eingabe auffordern. Retarus empfiehlt daher die sorgfältige Überprüfung enthaltener Links. Zusätzlichen Schutz bieten spezielle E-Mail-Security-Lösungen mit umfangreicher Phishing-Filterung und modernen Funktionen für die Advanced Threat…

Erfolgsaussichten in der Cloud: Die Zukunft des Phishing

»Ihr Konto wurde gehackt!« Nachrichten mit diesen oder ähnlichen Betreffzeilen entlocken den meisten Nutzern nur noch ein müdes Lächeln. Derartige E-Mails von breit angelegten Phishing-Kampagnen, die meist schon durch ein äußerst zweifelhaftes Design auffallen, werden in der Regel unmittelbar aussortiert. Eine weitaus höhere Erfolgsquote verspricht jedoch die Kombination von Phishing mit Cloudanwendungen. Die Aussicht, mit…

Zahl hochpersonalisierter Phishing-Angriffe nimmt rapide zu

Post von Prinzen war gestern – Wenn Cyberkriminelle persönlich werden.   Vermutlich hat fast jeder bereits fantasievolle E-Mails von Geschäftsleuten oder unfassbar reichen Prinzen aus fernen Ländern erhalten, die exorbitante Geldbeträge in Aussicht stellen – im Gegenzug für eine finanzielle Vorleistung von ein paar tausend Euro. Inzwischen gehen die meisten Anwender routiniert mit solchen Betrugsmaschen…

Wie können Mitarbeiter in puncto Phishing sensibilisiert werden?

Aus Fehlern lernen – mit Security-Awareness-Kampagnen. Aus Schaden wird man klug. Wer einmal einer Hackerattacke zum Opfer gefallen ist, ist sensibilisiert für mögliche Gefahren. Aber muss dafür denn erst der Ernstfall eintreten? Die Blue Frost Security GmbH zeigt unter anderem mit simulierten Phishing-Attacken im Rahmen von Security-Awareness-Kampagnen Sicherheitsrisiken in Unternehmen auf. Wie reagieren Mitarbeiter auf…

Vorsicht bei der Shopping-Schlacht: Aktuelle Black-Friday- und Cyber-Monday-Phishing-Attacken

Massen-Phishing-Angriffe fälschen populäre E-Commerce- und Marken-Websites, um Nutzerinformationen zu stehlen.   »Black Friday« und »Cyber Monday« stehen vor der Tür und die Shopping-Schlacht beginnt. Doch während Onlinekäufer auf der Jagd nach Schnäppchen sind, locken Cyberkriminelle mit kreativen Betrügereien. Derzeit finden Massen-Phishing-Angriffe statt, die sich den Eifer der Onlinekunden zunutze machen: Bei den Attacken geben sich…

Massenphänomen Phishing und Identitätsdiebstahl – Multi-Faktor-Authentifizierung und Netzwerkkontrolle

Egal ob der Finanzdienstleister Equifax oder unlängst der Video-Streamingdienst Netflix: Daten- und Identitätsdiebstahl haben Hochkonjunktur. Bei der jüngsten Phishing-Attacke gegen Netflix gelang es Kriminellen neben Kreditkarteninformationen auch die Anmeldedaten (Credentials) von Nutzern zu stehlen. Die daraus entstehenden Missbrauchsmöglichkeiten sind vielfältig und in ihrem Umfang kaum abzuschätzen.   Es gibt aber Möglichkeiten, sich vor solchen Angriffen…

Phishing kommt überwiegend aus EMEA-Region

Der Global Threat Intelligence Report (GTIR) 2017 ermittelte, dass mehr als die Hälfte aller weltweiten Phishing-Angriffe aus der EMEA-Region stammt [1]. Phishing ist nach wie vor eines der zentralen Phänomene, gerade auch in der Region EMEA, denn 53 % aller Phishing-Angriffe weltweit lassen sich auf IP-Adressen in dieser Region zurückverfolgen, 38 % auf IP-Adressen in…

Anstieg von Phishing-Kampagnen nahezu unvermeidbar

Automatisierte Phishing-Kampagnen steigern Gewinne für Hacker. Phishing-as-a-Service-Kampagne ist billiger in der Durchführung und bringt doppelt so viel Geld ein. Der Hacker Intelligence Initiative Report mit dem Titel »Phishing made easy: Time to rethink your prevention strategy?« (»Phishing leicht gemacht: Ist es an der Zeit, Ihre Präventionsstrategie zu überdenken?) wurde veröffentlicht [1]. In diesem Report erläutern…

Die fünf häufigsten Phishing-Köder und was man dagegen tun kann

Phishing, also der Versuch, einen E-Mail-Empfänger zum Anklicken eines beigefügten Anhangs oder einer URL zu bringen, um so dessen Computer zu infizieren oder Informationen zu entwenden, bleibt eine der primären Bedrohungen für Unternehmen. Bedrohungsakteure setzen außerdem eine Vielfalt von Social-Engineering-Tricks ein, um die Benutzer von der Legitimität ihrer Auskunftsanfragen oder Aufforderungen zur Geldüberweisung zu überzeugen.…

Schutz vertraulicher Daten: Phishing bedroht Unternehmen und private Internetnutzer

Phishing ist keine besonders neue Taktik, um an fremde Daten zu gelangen – und dennoch werden regelmäßig erfolgreiche Kampagnen bekannt. Unternehmen versuchen deshalb, den Erfolg von Phishing-Angriffen zu verhindern, indem sie das Sicherheitsbewusstsein der Mitarbeiter fördern. Dies sollte auch ein zentraler Bestandteil der Sicherheitsstrategie sein. Doch trotz aller Anstrengungen fallen einzelne Benutzer weiterhin auf die…