Phishing: Wie schützen Sie sich vor einem Phishing-Angriff?

Offizielle Definition von Phishing

Das Wort „Phishing“ ist ein Portmanteau aus „Fischen“ und „Phreak“, was wiederum ein Portmanteau aus „Telefon“ und „Freak“ ist und historisch gesehen Personen bezeichnet, die im 20. Jahrhundert Telefonanruftricks entwickelt haben, um Gebühren zu vermeiden.

Das Nationales Zentrum für Cybersicherheit definiert Phishing wie folgt:“Bei Phishing versuchen Angreifer, Benutzer dazu zu bringen, „das Falsche“ zu tun, z. B. indem sie auf einen schlechten Link klicken, der heruntergeladen wird Malware, oder leiten Sie sie auf eine fragwürdige Website weiter. [...] Es könnte der erste Schritt in einem gezielten Angriff auf Ihr Unternehmen sein, bei dem das Ziel etwas viel Spezifischeres sein könnte, wie der Diebstahl sensibler Daten.“

Die drei Komponenten, die einen Cyberangriff als „Phishing“ einstufen, sind:

• die Tatsache, dass der Angriff auf Telekommunikationsnetzwerke ausgeführt wird: E-Mails, aber auch Telefonanrufe, soziale Netzwerke oder Texte;
• der Hacker gibt vor, ein vertrauenswürdiger Dritter zu sein: ein wiederkehrender Kontakt oder eine zuverlässige Organisation wie Ihre Bank;
• Es zielt auf den Diebstahl von sensible Informationen: personenbezogene Daten wie Ihre Sozialversicherungsnummer, Bankkontodaten oder Ihre Kreditkarte.

Wie sieht eine Phishing-E-Mail aus?

Um sich gut vor Cyberangriffen zu schützen, müssen Sie zunächst wissen, wie man sie erkennt. Ein Phishing-Versuch kann verschiedene Formen annehmen. Sie könnten einen Anruf von Ihrer Bank, eine Nachricht in sozialen Netzwerken, eine Textnachricht oder eine E-Mail erhalten.

Diese Nachrichten scheinen von einer kürzlich besuchten E-Commerce-Website, Ihrer Telefongesellschaft, Ihrem öffentlichen Dienst oder Ihrem Energieunternehmen zu stammen. In jedem Fall verwendet der Hacker die Logos, die Sie bereits kennen, um Ihr Vertrauen zu gewinnen.

Was sind die häufigsten Phishing-Nachrichten?

Normalerweise basieren Phishing-Betrügereien auf zwei Hauptarten von Inhalten:

• Ihnen wird vorgeworfen, einen Geldbetrag zu spät beglichen zu haben, z. B. eine verspätete Rechnung, und es drohen Ihnen finanzielle Sanktionen oder rechtliche Schritte;
• Sie werden zu der Annahme verleitet, dass ein Fehler zu Ihren Gunsten vorliegt, der Ihnen das Recht auf eine Rückerstattung einräumt.

Es gibt auch andere Trends bei Phishing-E-Mails:

• Zahlungsauftrag fehlgeschlagen: Die Nachricht weist auf ein Abrechnungsproblem im Zusammenhang mit einem kürzlich getätigten Kauf hin. Sie verlinkt auf eine betrügerische Seite, auf der Sie aufgefordert werden, Ihre Bankdaten in ein Formular einzugeben.
• Das Geschenk: Die E-Mail verleitet Sie zu der Annahme, dass Sie der Gewinner eines Wettbewerbs oder der glückliche Empfänger eines außergewöhnlichen Angebots sind. Dies erfordert jedoch, dass Sie bestimmte Daten angeben;
• Unbezahlte Steuern oder jede andere Bedrohung, die von einem öffentlichen Dienst ausgeht und Ihre Angst vor den Behörden ausnutzt, um Sie zur Zahlung zu zwingen.
• Die Bitte um Hilfe, in der sich der Hacker als Verwandter in einer schwierigen Situation ausgibt, die finanzielle Hilfe erfordert. Diese Angriffe können auch per Telefonbetrug oder „Vishing“ durchgeführt werden.
• Steuerrückerstattung: eine Technik, die von Phishern in Steuerberichtsperioden häufig verwendet wird. Dabei müssen ihnen natürlich immer Bankinformationen mitgeteilt werden.
• Eine Nachricht von „der Bank“ warnt Sie vor verdächtigen Aktivitäten und fordert Sie auf, Ihre persönlichen Daten zu bestätigen.
• Jede E-Mail, die Sie auffordert, aus Panik zu handeln und persönliche und sensible Informationen preiszugeben.

Wie erkennt man einen Phishing-Versuch?

Glücklicherweise kann ein Phishing-Versuch anhand einiger Kriterien identifiziert werden, die in dieser Art von E-Mails immer wieder vorkommen:

1/Das Angebot scheint zu verlockend oder die Nachfrage zu dringend. Öffentliche Dienste bieten ihren Nutzern immer mehrere Möglichkeiten, ihre Verfahren zu regulieren, ohne dass sie dringend zahlen müssen.

2/Der Inhalt der E-Mail ist ziemlich vage oder entspricht dem Benutzernamen Ihrer E-Mail-Adresse. In einigen Fällen ist die Nachricht auch nicht direkt an den Empfänger gerichtet.

3/Rechtschreib-, Grammatik- oder Syntaxfehler.

4/Verkürzte oder falsch geschriebene Links aufgrund von Spoofing legitimer Websites. Fahren Sie also mit der Maus über die Links, um sie zu überprüfen, ohne sie jemals anzuklicken.

5/Anlagen, die Sie nicht erwartet haben.

6/Jede Anfrage zur Bestätigung oder Mitteilung Ihrer persönlichen Daten und sensiblen Informationen.

7/Eine Anfrage eines Unternehmens, das nicht zu Ihren Lieferanten gehört oder mit dem Sie keine spezifische Interaktion haben.

8/Eine ungewöhnliche Website-Adresse (Domainname), Sie müssen immer die Adresse der Organisation überprüfen, die Sie kontaktieren soll.

Was ist schließlich der Unterschied zwischen Spam und Phishing? Der Unterschied zwischen Spam- und Phishing-E-Mails liegt in der Absicht der Absender. Spammer überfluten mit unerwünschter Werbung, aber ohne weitere schädliche Folgen. Phisher hingegen verwenden betrügerische Techniken, um vertrauliche Daten von Ihnen zu stehlen.

Wer sind die Hauptopfer von Phishing-Versuchen?

In Frankreich ergab eine 2020 vom Experts Club on Digital and Information Security (CESIN) durchgeführte Studie, dass Phishing die häufigste Art der Durchführung von Cyberangriffen ist, mit denen sich CISOs französischer Unternehmen auseinandersetzen müssen.

Alle Unternehmen sind daher direkt von Betrugsversuchen betroffen, seien es KMU oder große börsennotierte Konzerne.

Große Konzerne sind jedoch besser auf sie vorbereitet als KMU. Letztere neigen dazu, zu glauben, dass sie weniger ins Visier genommen werden als die ersteren, und erleiden daher häufiger Angriffe.

Das Agentur der Europäischen Union für Cybersicherheit (ENISA) berichtet in der Tat, dass 70% der europäischen KMU nur grundlegende Sicherheitskontrollen anwenden. Darüber hinaus ist Phishing für diese Unternehmen die häufigste Methode von Cyberangriffen (41% der gemeldeten Vorfälle).

Darüber hinaus geraten europäische Bankinformationen häufig ins Visier von Cyberkriminellen, ein bekanntes Der Verstoß erfolgt über die europäische PSD2 Regulierung, die oft ein guter Weg ist.

Was sind die negativen Folgen eines Phishing-Cyberangriffs?

Phishing gefährdet hauptsächlich die Sicherheit vertraulicher Daten eines Unternehmens sowie dessen Finanzen:

• die Mehrheit der Phishing-Versuche führt zum Diebstahl von Identitäten und/oder Geldern;
• viele Phishing-Betrügereien unterstützen auch Unternehmensspionage;
• einige von ihnen ebnen den Weg für größere Cyberkriminalität wie Ransomware-Angriffe, wo ein Lösegeld als Gegenleistung für das Abrufen von Daten verlangt wird, die als Geiseln gehalten wurden.

Aus rechtlicher Sicht fällt Phishing unter verschiedene Arten von Straftaten:

• Identitätsbetrug, nach dem Betrugsgesetz kann die Strafe zwischen 2 und 7 Jahren Haft betragen;
• Ein Verstoß gegen das Datenschutzgesetz kann mit einer Geldstrafe von bis zu 500.000 GBP geahndet werden;
• Online-Betrug, der zu einer Freiheitsstrafe von fünf Jahren und einer Geldstrafe von 5000 GBP führen kann;
• Fälschung und Fälschung (betrügerisches Zahlungsmittel): Geldstrafe und Freiheitsstrafe;
• Fälschung von Marken in Nachrichten: Geldstrafe und Freiheitsstrafe.

‍