Was Ist Phishing Und Wie Man Es Verhindert
Definition von Phishing Phishing ist eine Art von Cyberangriff, bei dem Cyberkriminelle betrügerische E-Mails verwenden, um Sie dazu zu verleiten, sensible Informationen preiszugeben. Diese Informationen werden dann verwendet, um auf wichtige Konten zuzugreifen, was zu Identitätsdiebstahl und großen finanziellen Verlusten führen kann. Da Phishing-Angriffe immer häufiger und raffinierter werden, stellen sie eines der größten Sicherheitsrisiken für Unternehmen dar.Table of Content
Inhaltsverzeichnis
Phishing -Angriffe nehmen zu
Es gibt kein Anzeichen dafür, dass Phishing-Angriffe abnehmen. In 2020 war Phishing die am häufigsten vorkommende Cyberkriminalität, und die Häufigkeit hat sich seit dem vorherigen Jahr fast verdoppelt. Auf einer globalen Skala haben 75% aller Unternehmen auf der Welt eine Form von Phishing-Angriff erfahren.
Es besteht kein Zweifel, dass die Pandemie die Landschaft für Unternehmen verändert hat, indem sie für Unsicherheit gesorgt und neue Arbeitsgewohnheiten wie die Fernarbeit gefördert hat. Dies in Kombination mit der Verfügbarkeit von Phishing-Kits macht es Cyberkriminellen leichter denn je, Angriffe zu starten, und macht Unternehmen zu einem perfekten Ziel.
In diesem Blogbeitrag wird erläutert, was Phishing ist, welche Merkmale ein Angriff hat und welche Arten von Phishing Sie kennen müssen. Anschließend gehen wir darauf ein, was Sie unternehmen können, damit Ihr Unternehmen nicht zu einer Phishing-Statistik wird.
Gemeinsame Merkmale von Phishing-E-Mails
Die meisten Menschen wissen, dass es sich bei E-Mails vom „nigerianischen Prinzen“, in denen Ihnen eine große Geldsumme angeboten wird, um einen Phishing-Angriff handelt. Wenn Cyberkriminelle jedoch Taktiken anwenden, mit denen sie Vertrauen auszunutzen und Gefühle der Beunruhigung hervorrufen, werden selbst die cleversten Menschen Opfer von Phishing-Angriffen. Werfen wir einen Blick auf die typischen Merkmale einer Phishing-E-Mail:
Die E-Mail enthält schlechte Grammatik und Rechtschreibfehler. Das offensichtlichste Anzeichen für eine Phishing-E-Mail ist die fehlerhafte Verwendung von Grammatik und schlechter Rechtschreibung. Die meisten Unternehmen verwenden Autokorrektur- und Rechtschreibprüfungsprogramme für ausgehende E-Mails. Es ist also Vorsicht geboten, wenn Sie eine E-Mail voller Fehlern erhalten.
Die E-Mail wirkt sehr ungewöhnlich. Wenn die Anfrage in der E-Mail sehr ungewöhnlich wirkt und nicht den Normen Ihres Unternehmens entspricht, sollten Sie skeptisch sein. Ein Beispiel wäre jemand aus der IT-Abteilung, der Ihnen eine E-Mail wegen der Installation eines Programms schickt, obwohl solche Angelegenheiten üblicherweise anders geregelt werden.
Die E-Mail fordert zu dringendem Handeln auf. Phishing-E-Mails enthalten oft Drohungen oder vermitteln ein Gefühl der Dringlichkeit, das Sie dazu veranlasst, schnell zu reagieren, bevor Sie vernünftig nachdenken. Die fünf häufigsten Betreffzeilen für Phishing-Angriffe im Jahr 2019 enthielten die Wörter dringend, Anfrage, wichtig, Zahlung oder Achtung .
Die E-Mail enthält verdächtige Anhänge. Phishing-E-Mails enthalten in der Regel bösartige Anhänge oder Hyperlinks zu bösartigen Websites. Ein unüberlegter Klick später ist Ihr Gerät infiziert, oder Sie haben dem Cyberkriminellen persönliche Daten, Kreditkarteninformationen oder Passwörter übergeben.
Phishing -E-Mails sind häufig an Mitarbeiter *innen gerichtet
Cyberkriminelle haben es in der Regel auf das "schwächste Glied" im Unternehmen abgesehen, und ohne angemessene Cybersicherheitsschulung sind dies Ihre Mitarbeiter*innen. Im Folgenden finden Sie ein Beispiel für eine Phishing-E-Mail, die darauf ausgelegt ist, das Vertrauen und den Respekt Ihrer Mitarbeiter*innen vor Autoritäten auszunutzen. Die E-Mail informiert die Mitarbeiter*innen über einen „neuen Evakuierungsplan“ aufgrund geänderter staatlicher Regelungen. Dabei wird der Person eine knappe Frist gesetzt, den Plan zu lesen und zu unterschreiben, indem sie auf den eingebetteten Hyperlink klickt.
W as ist ein Phishing-Kit ?
Einer der Gründe für die Zunahme von Phishing-Angriffen ist die Verfügbarkeit von Phishing-Kits. Ein Phishing-Kit ist eine Sammlung von Software-Tools, die es Cyberkriminellen unabhängig von ihren technischen Kenntnissen leicht machen, Phishing-Kampagnen zu starten. Dies liegt daran, dass die Kits in der Regel E-Mail-Vorlagen, Grafiken und Skripte enthalten, mit denen sich überzeugende Imitationen von legitimen Websites erstellen lassen. Wenn Phishing-Kits im Darkweb verfügbar sind, wird es Phishing-Angriffe sehr wahrscheinlich weiterhin geben.
Bekannte Phishing-Angriffe
Manche Phishing-Angriffe sorgen für Schlagzeilen. Die folgenden Beispiele zeigen, dass selbst die technisch versiertesten Unternehmen Opfer von Phishing-E-Mails werden. Noch wichtiger ist jedoch, dass die Angriffe hätten verhindert werden können, wenn die Unternehmen proaktiver in Hinblick auf die Sensibilisierung für Phishing gewesen wären.
Vor einigen Jahren wurden Facebook und Google Opfer eines Phishing-Angriffs, der sie mehr als 100 Millionen Dollar kostete. Ein Cyberkrimineller richtete eine fiktive Firma ein, die sich als Lieferant von Computerteilen ausgab. Die Firma war angeblich mit den Tech-Giganten verbunden, und schickte Phishing-E-Mails an bestimmte Mitarbeiter*innen, in denen sie ihnen Waren und Dienstleistungen in Rechnung stellte.
Ein weiteres Beispiel ist Sony Pictures, wo Mitarbeiter*innen Phishing-E-Mails erhielten, die angeblich von Apple stammten. Die Opfer wurden aufgefordert, ihre Apple-ID in ein gefälschtes Formular einzugeben, in dem die Angreifer ihre Anmeldedaten für das Sony-Netzwerk ausfindig machen konnten. Der Angriff kostete das Unternehmen mehr als 100 Terabyte an Unternehmensdaten, darunter Finanzunterlagen und Kundendaten.
Phishing-Arten
Spear-Phishing, Vishing, Smishing … die Liste geht weiter. Phishing hat sich in viele Arten entwickelt. Diese unterscheiden sich in der Regel nach dem Ziel des Angriffs und der Methode, mit der der Angriff durchgeführt wird. Alle haben jedoch das gemeinsame Ziel, an vertrauliche Informationen des Opfers zu gelangen. Schauen wir uns die verschiedenen Arten von Phishing-Angriffen einmal genauer an:
Smishing
Vishing
CEO fraud
Spear-phishing
Whaling
Barrel-phishing
Pharming
Smishing : Phishing durch Textnachrichten
Smishing
oder SMS-Phishing
ist quasi Phishing durch Text
n
achrichten. Ähnlich wie
bei
Phishing
wird in der Nachricht ein Gefühl der Dringlichkeit vermittelt und kommt scheinbar von eine
m
vertrauenswürdigen
Absender
. Sie
enthält einen
URL-Link, der
Sie
zu einem Phishing-
Tool
weiterleite
t
, in dem
Sie
private Informationen preisgeben soll
en
Smishing
-Angriffs
, der es
auf VISA-Kreditkarten
Vishing : V oice -P hishing durch Anrufe
Haben Sie schon einmal einen Anruf von jemandem erhalten, der sich als Microsoft ausgibt? Dann waren Sie bereits Opfer von Vishing oder Voice Phishing. Sie denken sich vielleicht: „Welcher vernünftige Mensch würde auf so etwas hereinfallen?", aber mit einer gefälschten Anrufer-ID und etwas Überredungskunst werden Sie überrascht sein, wie viele Menschen davon überzeugt werden, Software zu installieren, die in Wirklichkeit Malware ist. Schauen Sie sich hier Beispiele für gängige Vishing-Angriffe an.
CEO F raud : Vorgeben, die Unternehmensführung zu sein
CEO Fraud, auch bekannt als Executive Phishing, ist eine Form der Cyberkriminalität, bei der sich der Angreifer per E-Mail als CEO, CFO oder eine andere Führungskraft des Unternehmens ausgibt. Die Masche funktioniert, weil sie Ihr Vertrauen in die Autorität ausnutzt und Sie dazu veranlasst, der Aufforderung nachzukommen, ohne noch einmal darüber nachzudenken.
Spear -P hishing : Gezielte Angriffe auf bestimmte Mitarbeiter *innen
Spear-Phishing ist eine gezielte Form des Phishings. Anstatt allgemeine E-Mails in Massen zu versenden, erstellt der Angreifer nach ausgiebiger Recherche betrügerische Nachrichten, die sich an eine bestimmte Person oder Gruppe innerhalb eines Unternehmens richten. Dies erfordert zwar mehr Arbeit für den Cyberkriminellen, führt aber zu höheren Erfolgsquoten, da die Leute unvorsichtig werden, wenn die E-Mail von jemandem zu kommen scheint, der sie kennt.
Whaling : A ngriffe auf leitende Angestellte
Whaling oder Whale-Phishing ist eine Form des Spear-Phishings, das auf „große Fische“ wie CEOs oder andere hochrangige Personen abzielt. Der Cyberkriminelle nutzt die öffentlich zugänglichen Informationen über diese Personen, um die Phishing-E-Mail anzupassen. So könnte in einer Whaling-E-Mail beispielsweise angegeben werden, dass das Unternehmen mit rechtlichen Schritten konfrontiert ist oder dass der Ruf des Unternehmens aufgrund eines kürzlich bekannt gewordenen Ereignisses oder einer Aktion der Führungskraft geschädigt wurde. Praxisbeispiele für Whaling finden Sie in diesem Blog.
Barrel -P hishing : Vor der Phishing-E-Mail wird eine „unschuldige” E-Mail gesendet
Bei dieser auch als „Double-Barreling“ bezeichneten Taktik werden zwei getrennte E-Mails versendet, wobei die erste den Köder darstellt und die zweite die E-Mail mit dem bösartigen Anhang. Die erste E-Mail könnte den Anschein erwecken, dass sie von Ihrem Kollegen stammt und lautet: „Hallo, bist du im Büro? Ich wollte dich um einen schnellen Gefallen bitten“. Der Zweck dieser harmlosen E-Mail ist es, Vertrauen und Glaubwürdigkeit aufzubauen, so dass Sie unvorsichtig werden. Dann kommt die zweite Folge-E-Mail, die etwa so klingt: „Hallo noch einmal, könntest du diesen Bericht bitte so schnell wie möglich überprüfen“. Diese E-Mail enthält einen bösartigen Link, der Sie auf eine gefälschte Website führt.
Pharming
Beim Pharming leitet der Cyberkriminelle Ihre Website-Anfrage unwissentlich auf eine Website um, die wie die echte aussieht, z. B. die Website Ihrer Bank. Auf diese Weise kann der Cyberkriminelle Ihre Anmeldedaten abfangen und sich damit Zugang zu Ihrem Konto verschaffen. Im Gegensatz zum Phishing, bei dem der Angriff über elektronische Kommunikation erfolgt, findet Pharming direkt im Browser statt. Wie funktioniert das? Einfach erklärt manipuliert der Cyberkriminelle das Domain Name System (DNS), also das System, das Webbrowser mit Websites verbindet. Aus diesem Grund ist diese Form des Angriffs äußerst raffiniert und schwer zu erkennen.
Wie Sie Phishing verhinder n
Wie kann man also verhindern, auf Phishing-Angriffe hereinzufallen? Zwei spezifische Maßnahmen, die Ihr Unternehmen vor Phishing-Angriffen schützen können, sind Sandboxing und Pen-Tests mit Simulationen. Die Realität sieht jedoch so aus, dass Phishing-Versuche auf Menschen abzielen, und daher muss der Mensch die wichtigste Abwehrmaßnahme sein! Aus diesem Grund ist das Awareness-Training für Phishing und die Einführung einer guten Sicherheitskultur in Ihrem Unternehmen der erste Schritt, um Phishing-Angriffe zu verhindern.
Sandboxing für eingehende E-Mails nutzen
„Sandboxing" ist eine proaktive Abwehrtechnik, die Ihre IT-Sicherheitsabteilung einsetzen kann. Dabei werden verdächtige E-Mails, URLs oder Anhänge in einer isolierten Testumgebung auf ihre Sicherheit geprüft, bevor sie Ihr Netzwerk oder Ihren E-Mail-Server erreichen. Diese Technik bietet eine zusätzliche Schutzschicht zu den herkömmlichen Filtern, die eingehende E-Mails scannen.
Pen t esting mit P hishing -S imulation en
Penetrationstests oder Pentests sind eine Übung zur Sicherheitsschulung, bei der getestet wird, wie gut Ihr Unternehmen auf Phishing vorbereitet ist. Eine Möglichkeit dafür ist die Simulation von Phishing-Angriffe, bei denen sich Ihre Mitarbeiter*innen darin üben können, falsche E-Mails zu erkennen. Je nachdem, was Ihre Ziele sind, können Sie diese Übung selbst durchführen oder mit einem externen Schulungspartner (wie uns) zusammenarbeiten. Anhand der Ergebnisse kannst du Schwachstellen erkennen und Strategien zur weiteren Schulung Ihrer Mitarbeiter*innen entwickeln.
Sensibilisierung für Phishing
Sie können sich und Ihr Unternehmen besser vor Angriffen schützen, wenn Sie lernen, Anzeichen von Phishing zu erkennen. Aus diesem Grund ist das Awareness-Training für Phishing der Schlüssel zur Prävention. Jedoch ist ein einmaliger Crashkurs nicht ausreichend. Da sich Phishing-Angriffe ständig weiterentwickeln, ist eine kontinuierliche Schulung unerlässlich, um ein aufmerksames Team zu schaffen. Tatsächlich können Sie Ihr Team durch die Kombination von Simulationen mit fortlaufendem Awareness-Training zu einer starken ersten Verteidigungslinie machen. Das Awareness-Training kann durch digitales E-Learning, physischen Unterricht oder eine Mischung aus beidem erfolgen.
Unsere Forschungen haben ergeben, dass nach kontinuierlichem Awareness-Training und Phishing-Tests, unsere Nutzer*innen eine Abnahme in Fehlern von 50% bei simulierten Phishing-Angriffen feststellen konnten.
Schaffe n Sie eine gute Sicherheitskultur
Zu guter Letzt sollten Sie eine Kultur der Cybersicherheit schaffen, die sicheres Verhalten fördert und die Mitarbeiter*innen befähigt, sich zu melden, wenn etwas verdächtig riecht. Stellen Sie beispielsweise sicher, dass Sie über ein Verfahren für den Fall eines Cyberangriffs verfügen und dass Ihr Team weiß, an wen es sich wenden muss. Die Einrichtung dieses Prozesses und die Festlegung von Rollen und Erwartungen ist einer der vielen Vorteile einer Phishing-Simulation.
Ermutigen Sie Team außerdem dazu, im Zweifelsfall immer um Hilfe zu bitten und keine Angst vor Fehlern zu haben. Auf diese Weise fühlen sich die Teammitglieder dabei „sicher“, von einer Phishing-E-Mail zu berichten, wenn der Schaden bereits eingetreten und diese angeklickt wurde. Dadurch können geeignete Maßnahmen schneller ergriffen und der Schaden erheblich reduziert werden.
Schlussendlich sollten Sie Teammitglieder belohnen, die Phishing-E-Mails melden, z. B., indem Sie einen „Fang des Tages“ präsentieren. Außerdem können Sie unsere kostenlosen Cybersicherheitsposter herunterladen und in Ihrem Büro aufhängen, um Ihr Team dabei zu unterstützen, gute digitale Gewohnheiten zu praktizieren und auf der Hut zu sein!
Letzte Worte
In diesem Blogbeitrag haben wir erläutert, was Phishing ist und warum es eine der größten Sicherheitsbedrohungen ist, denen Unternehmen heute ausgesetzt sind. Wir haben gelernt, dass Phishing in allen Formen und Größen auftritt und dass jeder im Unternehmen Ziel von Phishing-Angriffen sein kann. Aus diesem Grund war es noch nie so wichtig wie heute, das Bewusstsein für Phishing durch Schulungen zur Cybersicherheit zu schärfen. Mit einer Absicherung auf der menschlichen Ebene verringern Sie die Wahrscheinlichkeit, dass Ihr Unternehmen zum neuesten Fang des Phishers wird erheblich!
Phishing-Angriffe: Was Sie tun können
Phishing-Angriffe sind eine weit verbreitete Strategie von Cyberkriminellen, um Daten von Unternehmen abzugreifen. Ziel von Phishing-Angriffen ist es dabei nicht, technische Schwachstellen auszunutzen, sondern Beschäftigte so zu manipulieren, dass diese eine gewünschte Handlung vornehmen. Erfolgreich durchgeführte Angriffe führen in der Regel zu erheblichen Schäden für das Unternehmen. Da die Schwachstelle „Mensch“ das Einfallstor für die erfolgreiche Durchführung einer Phishing-Attacke ist, sind die Beschäftigten besonders zu sensibilisieren. Die Schulung der Mitarbeiter ist damit der beste Schutz vor Phishing-Angriffen.
Was sind Phishing-Angriffe?
Der Begriff Phishing setzt sich aus den englischen Wörtern „Password“ und „Fishing“ zusammen und beschreibt sozusagen das „Fischen nach Passwörtern“. Angreifer verfolgen mit Phishing-Angriffen also in der Regel das Ziel, sich Zugangsdaten zu erschleichen.
Wie funktionieren Phishing-Angriffe?
Phishing-Angriffe erfolgen in der Regel per E-Mail und bedienen sich der Strategie des sogenannten „Social Engineering“. Mit Social Engineering erschleichen sich die Angreifer das Vertrauen der Opfer, indem sie sich als vertrauenswürdiger Kommunikationspartner, z.B. als Bank, als Online-Shop oder als Geschäftsführer, ausgeben. Die Angreifer bezwecken damit, dass das Opfer eine gewünschte Handlung ausführt. Um die Opfer zu der Handlung zu bewegen, suggerieren sie immer eine hohe Dringlichkeit oder drohen mit Konsequenzen.
Cyberkriminelle fordern die potentiellen Opfer im Text dieser E-Mails in der Regel auf, Zugangsdaten in ein Eingabeformular einzugeben. Hierfür müssen die Opfer innerhalb der Mail auf einen Link klicken, welcher sie auf eine täuschend echt wirkende Webseite mit einer Eingabemaske führt. Begründet wird die Eingabeaufforderung häufig mit Sicherheitslücken, die einer Verifizierung des Kontos bedürfen, oder mit einer drohenden Sperrung eines Kontos, welche sich nur durch die Eingabe der Zugangsdaten verhindern lässt. Gibt das Opfer die Zugangsdaten ein, werden diese an die Angreifer übermittelt. Diese nutzen die Daten dann für Identitätsdiebstähle, Kontoplünderungen oder um das Unternehmensnetzwerk mit Schadsoftware zu infizieren.
In manchen Fällen reicht aber auch schon ein Klick auf den angezeigten Link oder den Anhang für einen erfolgreichen Angriff aus. In diesen Fällen wird direkt durch den Klick Schadsoftware ins Unternehmensnetzwerk geladen. Wieder andere Phishing-E-Mails fordern die Opfer aber auch direkt auf, eine Überweisung an ein bestimmtes Bankkonto zu tätigen.
Die gängigsten Angriffsformen
Deceptive Phishing
Das Deceptive Phishing ist die bekannteste Angriffsform. Hier werden wahllos spamartige E-Mails an eine große Anzahl von Empfängern verschickt. Die E-Mails sind in der Regel leicht als Betrugsmail zu erkennen. Indikatoren hierfür sind beispielsweise eine fehlende Übereinstimmung zwischen tatsächlicher Absenderadresse und vorgegebenem Versender, seltsame Schriftzeichen, viele Schreib-, Grammatik- und Formatierungsfehler und ein Link, der aus einer seltsamen Kombination aus Buchstaben, Zahlen und Zeichen besteht.
Beispiel für eine Deceptive Phishing-Attacke
Spear Phishing
Das Spear Phishing ist eine weiter entwickelte Form des Deceptive Phishing. Anstatt Spam-Emails an viele Empfänger zu schicken, richten sich diese Attacken zielgerichtet an ganz bestimmte Personen. Die E-Mails werden personalisiert und auf das Opfer regelrecht zugeschnitten. Der Angreifer gibt sich dann z.B. als Ansprechpartner eines Kunden aus. Spear Phishing Angriffe sind normalerweise schwerer zu entlarven, da die E-Mails sehr viel glaubhafter wirken. Cyberkriminelle spionieren Ihre Opfer dafür vorab aus, damit die E-Mail möglichst authentisch wirkt.
CEO Fraud
Beim CEO Fraud täuscht der Angreifer vor, der Geschäftsführer bzw. Vorstand zu sein. Die Betrugsmails gehen in der Regel an Beschäftigte aus der Finanzbuchhaltung. Die E-Mail beinhaltet dann oft die Aufforderung, einen großen Geldbetrag auf ein falsches Konto zu überweisen. Die Taktik ist hierbei natürlich, dass der Mitarbeiter sozusagen „blind“ der Anweisung des Vorgesetzten folgt.
Clone Phishing
Eine weitere Methode ist das Clone Phishing. Hierbei kopiert der Angreifer eine echte E-Mail und tauscht den darin vorhanden legitimen Link oder den Anhang mit einem schadhaften Link bzw. Anhang aus. Um den Empfänger zu der gewünschten Handlung zu bewegen, wird dann zum Beispiel suggeriert, dass es Probleme bei der ersten E-Mail gab.
Vishing
Cyberkriminelle nutzen aber nicht immer nur E-Mails für die Attacken. Über das Vishing (Voicecall-Phishing) werden Kriminelle auch persönlich aktiv und rufen Personen an. Meist geben sie sich als IT-Service-Mitarbeiter von Microsoft oder der eigenen Unternehmens-IT aus. Häufig wollen die Personen Probleme entdeckt haben, für die sie zur Behebung entweder die Zugangsdaten benötigen, Personen auffordern, ihre Daten auf einer bestimmten Webseite zur Authentisierung einzutragen oder auch die Installation einer Software zur Fernwartung verlangen. Dabei können Telefonnummer-Emulatoren zum Einsatz kommen, um den Anschein zu erwecken, dass der Anruf tatsächlich aus dem Unternehmen stammt.
Woran erkennen Sie Phishing-Angriffe?
Manche Phishing-Attacken sind deutlich als unglaubwürdig zu erkennen (siehe Deceptive Phishing). Aber Cyberkriminelle entwickeln Ihre Methoden stets weiter und teilweise ist es schwer, Betrugsmails anhand von Schreibfehlern o.ä. zu erkennen. Eine gut gemachte Phishing E-Mail ist in der Regel nicht offensichtlich als solche erkennbar. Bei der Aufforderung, Zugangsdaten auf einer Webseite einzugeben, Links oder Anhänge anzuklicken oder große Geldsummen zu überweisen verbunden mit der Androhung von Konsequenzen, sollten bereits sämtliche Alarmglocken angehen. Eine seriöse Bank oder ein Onlineshop wird Sie niemals um solche Handlungen bitten.
Wie können Sie sich vor Phishing Attacken schützen?
Phishing-Angriffe stellen eine echte Bedrohung dar. Die Chance, dass ein solcher Angriff erfolgreich ist und bei dem Unternehmen zu großem Schaden führt, ist sehr hoch, da die Cyberkriminellen mit der Gutgläubigkeit und Psyche der Beschäftigten spielen.
Unternehmen ist daher dringend zu raten, dass diese ihre Beschäftigten regelmäßig schulen und für Cyberangriffe sensibilisieren. Ermutigen Sie dabei auch Ihre Mitarbeiter, im Zweifel einfach mal beim vermeintlichen Absender telefonisch nachzufragen, ob die E-Mail tatsächlich von diesem stammt. Zudem sollten alle Mitarbeiter dazu angehalten werden, dass für verschiedene Systeme unterschiedliche Passwörter zu verwenden sind, um im Falle einer Kompromittierung das Schadensausmaß zu verringern. Da Mitarbeiter natürlich auch privat auf einen Spam-Angriff hereinfallen können, sollte außerdem die Nutzung von privaten Passwörtern verboten werden.
Richten Sie für Ihre Software-Anwendungen eine 2-Faktor-Authentifizierung ein. Selbst wenn Cyberkriminelle an Zugangsdaten gelangen, kommen Sie ohne den zweiten Faktor nicht in die Systeme. Darüber hinaus sind dedizierte Berechtigungskonzepte hilfreich, um einen möglichen Schaden zumindest einzugrenzen.
Wir beraten Sie gerne zu weiteren möglichen Maßnahmen. Kontaktieren Sie uns!
Autor: Bastian Maute, 29.10.2021
Bild von mohamed_hassan auf pixabay
Phishing: So erkennen Sie die Bedrohung
Als Phishing bezeichnet man das Versenden von gefälschten E-Mails und Nachrichten mit dem Zweck, das Vertrauen der Opfer zu gewinnen. Oft geht es darum, sich sensible Daten wie Online-Banking PINs und Passwörter zu kriminellen Zwecken anzueignen. Dazu dienen Links, die die Opfer zu verseuchten Webseiten leiten. Manchmal kombinieren Hacker aber auch Phishing und Ransomware-Angriffe, oder verbreiten ein Programm, das Rechner zerstört.
Die Angreifer geben sich oft als Mitarbeiter von Behörden oder Unternehmen aus, denen sie nicht angehören. Beispielsweise schicken sie E-Mails im Namen von Banken oder sozialen Netzwerken. Meist spielen diese Nachrichten mit den Ängsten der Opfer. Beispielsweise droht PayPal angeblich damit, das Konto zu sperren, falls der Benutzer sich nicht innerhalb von 24 Stunden einloggt.
