Phishing kann über jedes Kommunikationsmedium durchgeführt werden. Zu den häufigsten Arten von Phishing gehören:
Die meisten Menschen denken beim Thema Phishing an E-Mails. E-Mail-Phishing wird in verschiedene Arten unterteilt:
Bei Voice-Phishing-Angriffen wird ein Opfer telefonisch angerufen, um es zu bestimmten Handlungen zu bewegen. Der Anrufer kann sich als Inkassobüro ausgeben, das eine unbezahlte Rechnung abfragt, oder als Mitarbeiter des „technischen Supports“, der Zugriff auf den Computer des Benutzers benötigt.
Bei einem SMS-Phishing-Angriff sendet die böswillige Partei eine Textnachricht, in der das Opfer aufgefordert wird, auf einen Link zu klicken oder auf die Nachricht zu antworten. Bei solchen Angriffen wird oft die Art von SMS-Nachricht kopiert, die eine Person von einem Kurier oder einer Behördenwebsite erhalten würde, bis hin zur Nachahmung der Nummer, von der aus sie gesendet wurde.
Bei Seiten-Hijacking-Angriffen klont der Angreifer eine Website und leitet das Opfer dorthin weiter. Dabei kann es sich um einen breit angelegten Angriff handeln, bei dem versucht wird, durch bezahlte Werbung viel Traffic auf die gefälschte Seite zu lenken, oder um einen gezielten Angriff, bei dem Seiten-Hijacking mit anderen Phishing-Formen kombiniert wird.
Dieser Angriff nutzt schlecht konfigurierte Kalendereinstellungen aus, um Phishing-Links in den Online-Kalendern von Personen zu platzieren. Viele Menschen sind darauf trainiert, in ihren E-Mails auf Phishing-Links zu achten, sind sich aber möglicherweise nicht bewusst, dass es auch möglich ist, bösartige Links in ihren Kalender einzufügen, was diesen Angriffen eine relativ hohe Erfolgschance verleiht.
Die Art und Weise, wie die Nachrichten übermittelt werden, ist nur ein Teil eines Phishing-Angriffs. Es ist auch wichtig, sich darüber im Klaren zu sein, wie der Betrug funktioniert. Erfolgreiche Phishing-E-Mails verwenden verschiedene Techniken, um E-Mail-Filter zu umgehen und Empfänger dazu zu verleiten, auf den Link zu klicken oder die gewünschte Aktion auszuführen.
Link-Manipulation werden verwendet, um Links in einer E-Mail wie die Adresse der Website aussehen zu lassen, für die sich der Angreifer ausgibt. Wenn der Benutzer auf den Link klickt, wird er jedoch auf die Website des Angreifers weitergeleitet. Manche Kriminelle gehen noch einen Schritt weiter und verwenden ungewöhnliche Zeichen oder lange und komplexe Adressen, um Benutzer zu täuschen, die möglicherweise nicht den Unterschied zwischen einer Top-Level-Domain und einer Subdomain kennen.
Angreifer verwenden häufig Bilder, um Phishing- und Spamfilter zu umgehen. E-Mail-Plattformen und -Software verfügen oft über Filter, um Spam und bösartige E-Mails zu blockieren. Diese Filter sind jedoch nicht immer effektiv bei der Verarbeitung von Bildern.
Beim Social Engineering geht es darum, potenzielle Opfer zu identifizieren und Vertrauen aufzubauen. Wenn jemand beispielsweise in der ersten Phase eines Phishing-Angriffs darauf hereinfällt und auf eine E-Mail antwortet, fordert der Angreifer ihn nach und nach auf, persönliche Daten preiszugeben. Anstatt alle Daten auf einmal zu verlangen, werden dabei plausibel erscheinende Gründe dafür genannt, dass einzelne Informationen benötigt werden.
Die Phishing-Versuche reichen von relativ schlecht konstruierten E-Mail-Nachrichten voller Rechtschreib-, Zeichensetzungs- und Grammatikfehler bis hin zu sorgfältig formulierten, hochgradig zielgerichteten Nachrichten. Einige häufige Dinge, auf die Sie achten sollten, sind:
Unternehmen, die sich vor gezielten Phishing-Angriffen schützen möchten, sollten verschiedene Vorsichtsmaßnahmen in Betracht ziehen, darunter Verbesserungen ihrer Sicherheitsrichtlinien und die Schulung ihrer Mitarbeiter, damit sie Cyberangriffe erkennen und vermeiden können. Einige nützliche Vorsichtsmaßnahmen sind:
Aktivieren Sie, wenn möglich, aggressive E-Mail-Filterung und Content Redaction auf Netzwerkebene. Das Blockieren bekannter Schadsoftware oder Tracking-Websites kann viel dazu beitragen, Phishing-Bedrohungen zu reduzieren. Erwägen Sie, eine Warnung für alle E-Mails anzuzeigen, die von einer Adresse stammen, die nicht im Adressbuch des Benutzers enthalten ist.
Verwenden Sie einen Browser, der so konfiguriert ist, dass eine Warnung angezeigt wird, wenn der Benutzer auf eine unsichere Website oder eine bekannte Phishing-Website weitergeleitet wird. Stellen Sie sicher, dass Benutzer diese Warnungen nicht deaktivieren oder umgehen können.
Verwenden Sie zusätzlich zu Passwort-Anmeldungen weitere Sicherheitsfeatures. So kann beispielsweise die biometrische Sicherheit für wichtige Systeme eingesetzt werden. Darüber hinaus kann die Verwendung von „Vertrauensbildern“ als Teil des Anmeldevorgangs Benutzer auf die Möglichkeit aufmerksam machen, dass sie sich auf einer Phishing-Website befinden.
Die Aktivierung von MFA für wichtige Systeme kann das Risiko von Phishing und anderen Formen von Cyberangriffen verringern. Erwägen Sie die Verwendung eines Hardware-Authentifikators anstelle der SMS-basierten Zwei-Faktor-Authentifizierung, da die SMS-Authentifizierung über SIM-Swap-Angriffe umgangen werden kann.
Phishing-Angriffe auf Unternehmen können unglaublich kostspielig sein, insbesondere wenn sie Angreifern eine Route bieten, Ihr Netzwerk mit Ransomware zu infizieren. Erfahren Sie, wie Veeam Ihnen helfen kann, die wichtigen Daten Ihres Unternehmens mit Sicherungs- und Wiederherstellungslösungen und Schutz vor Ransomware zu sichern.