Offizielle Definition von Phishing
Das Wort „Phishing“ ist ein Portmanteau aus „Fischen“ und „Phreak“, was wiederum ein Portmanteau aus „Telefon“ und „Freak“ ist und historisch gesehen Personen bezeichnet, die im 20. Jahrhundert Telefonanruftricks entwickelt haben, um Gebühren zu vermeiden.
Das Nationales Zentrum für Cybersicherheit definiert Phishing wie folgt:“Bei Phishing versuchen Angreifer, Benutzer dazu zu bringen, „das Falsche“ zu tun, z. B. indem sie auf einen schlechten Link klicken, der heruntergeladen wird Malware, oder leiten Sie sie auf eine fragwürdige Website weiter. [...] Es könnte der erste Schritt in einem gezielten Angriff auf Ihr Unternehmen sein, bei dem das Ziel etwas viel Spezifischeres sein könnte, wie der Diebstahl sensibler Daten.“
Die drei Komponenten, die einen Cyberangriff als „Phishing“ einstufen, sind:
- die Tatsache, dass der Angriff auf Telekommunikationsnetzwerke ausgeführt wird: E-Mails, aber auch Telefonanrufe, soziale Netzwerke oder Texte;
- der Hacker gibt vor, ein vertrauenswürdiger Dritter zu sein: ein wiederkehrender Kontakt oder eine zuverlässige Organisation wie Ihre Bank;
- Es zielt auf den Diebstahl von sensible Informationen: personenbezogene Daten wie Ihre Sozialversicherungsnummer, Bankkontodaten oder Ihre Kreditkarte.
Wie sieht eine Phishing-E-Mail aus?
Um sich gut vor Cyberangriffen zu schützen, müssen Sie zunächst wissen, wie man sie erkennt. Ein Phishing-Versuch kann verschiedene Formen annehmen. Sie könnten einen Anruf von Ihrer Bank, eine Nachricht in sozialen Netzwerken, eine Textnachricht oder eine E-Mail erhalten.
Diese Nachrichten scheinen von einer kürzlich besuchten E-Commerce-Website, Ihrer Telefongesellschaft, Ihrem öffentlichen Dienst oder Ihrem Energieunternehmen zu stammen. In jedem Fall verwendet der Hacker die Logos, die Sie bereits kennen, um Ihr Vertrauen zu gewinnen.
Was sind die häufigsten Phishing-Nachrichten?
Normalerweise basieren Phishing-Betrügereien auf zwei Hauptarten von Inhalten:
- Ihnen wird vorgeworfen, einen Geldbetrag zu spät beglichen zu haben, z. B. eine verspätete Rechnung, und es drohen Ihnen finanzielle Sanktionen oder rechtliche Schritte;
- Sie werden zu der Annahme verleitet, dass ein Fehler zu Ihren Gunsten vorliegt, der Ihnen das Recht auf eine Rückerstattung einräumt.
Es gibt auch andere Trends bei Phishing-E-Mails:
- Zahlungsauftrag fehlgeschlagen: Die Nachricht weist auf ein Abrechnungsproblem im Zusammenhang mit einem kürzlich getätigten Kauf hin. Sie verlinkt auf eine betrügerische Seite, auf der Sie aufgefordert werden, Ihre Bankdaten in ein Formular einzugeben.
- Das Geschenk: Die E-Mail verleitet Sie zu der Annahme, dass Sie der Gewinner eines Wettbewerbs oder der glückliche Empfänger eines außergewöhnlichen Angebots sind. Dies erfordert jedoch, dass Sie bestimmte Daten angeben;
- Unbezahlte Steuern oder jede andere Bedrohung, die von einem öffentlichen Dienst ausgeht und Ihre Angst vor den Behörden ausnutzt, um Sie zur Zahlung zu zwingen.
- Die Bitte um Hilfe, in der sich der Hacker als Verwandter in einer schwierigen Situation ausgibt, die finanzielle Hilfe erfordert. Diese Angriffe können auch per Telefonbetrug oder „Vishing“ durchgeführt werden.
- Steuerrückerstattung: eine Technik, die von Phishern in Steuerberichtsperioden häufig verwendet wird. Dabei müssen ihnen natürlich immer Bankinformationen mitgeteilt werden.
- Eine Nachricht von „der Bank“ warnt Sie vor verdächtigen Aktivitäten und fordert Sie auf, Ihre persönlichen Daten zu bestätigen.
- Jede E-Mail, die Sie auffordert, aus Panik zu handeln und persönliche und sensible Informationen preiszugeben.
Wie erkennt man einen Phishing-Versuch?
Glücklicherweise kann ein Phishing-Versuch anhand einiger Kriterien identifiziert werden, die in dieser Art von E-Mails immer wieder vorkommen:
1/Das Angebot scheint zu verlockend oder die Nachfrage zu dringend. Öffentliche Dienste bieten ihren Nutzern immer mehrere Möglichkeiten, ihre Verfahren zu regulieren, ohne dass sie dringend zahlen müssen.
2/Der Inhalt der E-Mail ist ziemlich vage oder entspricht dem Benutzernamen Ihrer E-Mail-Adresse. In einigen Fällen ist die Nachricht auch nicht direkt an den Empfänger gerichtet.
3/Rechtschreib-, Grammatik- oder Syntaxfehler.
4/Verkürzte oder falsch geschriebene Links aufgrund von Spoofing legitimer Websites. Fahren Sie also mit der Maus über die Links, um sie zu überprüfen, ohne sie jemals anzuklicken.
5/Anlagen, die Sie nicht erwartet haben.
6/Jede Anfrage zur Bestätigung oder Mitteilung Ihrer persönlichen Daten und sensiblen Informationen.
7/Eine Anfrage eines Unternehmens, das nicht zu Ihren Lieferanten gehört oder mit dem Sie keine spezifische Interaktion haben.
8/Eine ungewöhnliche Website-Adresse (Domainname), Sie müssen immer die Adresse der Organisation überprüfen, die Sie kontaktieren soll.
Was ist schließlich der Unterschied zwischen Spam und Phishing? Der Unterschied zwischen Spam- und Phishing-E-Mails liegt in der Absicht der Absender. Spammer überfluten mit unerwünschter Werbung, aber ohne weitere schädliche Folgen. Phisher hingegen verwenden betrügerische Techniken, um vertrauliche Daten von Ihnen zu stehlen.
Wer sind die Hauptopfer von Phishing-Versuchen?
In Frankreich ergab eine 2020 vom Experts Club on Digital and Information Security (CESIN) durchgeführte Studie, dass Phishing die häufigste Art der Durchführung von Cyberangriffen ist, mit denen sich CISOs französischer Unternehmen auseinandersetzen müssen.
Alle Unternehmen sind daher direkt von Betrugsversuchen betroffen, seien es KMU oder große börsennotierte Konzerne.
Große Konzerne sind jedoch besser auf sie vorbereitet als KMU. Letztere neigen dazu, zu glauben, dass sie weniger ins Visier genommen werden als die ersteren, und erleiden daher häufiger Angriffe.
Das Agentur der Europäischen Union für Cybersicherheit (ENISA) berichtet in der Tat, dass 70% der europäischen KMU nur grundlegende Sicherheitskontrollen anwenden. Darüber hinaus ist Phishing für diese Unternehmen die häufigste Methode von Cyberangriffen (41% der gemeldeten Vorfälle).
Darüber hinaus geraten europäische Bankinformationen häufig ins Visier von Cyberkriminellen, ein bekanntes Der Verstoß erfolgt über die europäische PSD2 Regulierung, die oft ein guter Weg ist.
Was sind die negativen Folgen eines Phishing-Cyberangriffs?
Phishing gefährdet hauptsächlich die Sicherheit vertraulicher Daten eines Unternehmens sowie dessen Finanzen:
- die Mehrheit der Phishing-Versuche führt zum Diebstahl von Identitäten und/oder Geldern;
- viele Phishing-Betrügereien unterstützen auch Unternehmensspionage;
- einige von ihnen ebnen den Weg für größere Cyberkriminalität wie Ransomware-Angriffe, wo ein Lösegeld als Gegenleistung für das Abrufen von Daten verlangt wird, die als Geiseln gehalten wurden.
Aus rechtlicher Sicht fällt Phishing unter verschiedene Arten von Straftaten:
- Identitätsbetrug, nach dem Betrugsgesetz kann die Strafe zwischen 2 und 7 Jahren Haft betragen;
- Ein Verstoß gegen das Datenschutzgesetz kann mit einer Geldstrafe von bis zu 500.000 GBP geahndet werden;
- Online-Betrug, der zu einer Freiheitsstrafe von fünf Jahren und einer Geldstrafe von 5000 GBP führen kann;
- Fälschung und Fälschung (betrügerisches Zahlungsmittel): Geldstrafe und Freiheitsstrafe;
- Fälschung von Marken in Nachrichten: Geldstrafe und Freiheitsstrafe.
Transformieren Sie die Art und Weise, wie Sie Cyberrisiken modellieren, messen und managen.
Warten Sie nicht auf den unvermeidlichen Cybervorfall. Entwickeln Sie mit CRQ ein robustes, risikobasiertes Cybersicherheitsprogramm.
Wie wird Phishing durchgeführt?
Unabhängig vom Medium bleibt der Phishing-Prozess derselbe. Es geht darum, eine Botschaft zu vermitteln, die auf Social Engineering beruht, um das Opfer davon zu überzeugen, auf einen Link oder einen Anhang zu klicken. Das Endziel besteht darin, Zugriff auf ihre persönlichen Daten zu erhalten. Diese Strategie basiert auf verschiedenen Medien, aber glücklicherweise können Sie lernen, die verschiedenen Techniken zu erkennen, die möglicherweise verwendet werden.
Was sind die verschiedenen Medien für Phishing?
Phisher versenden am häufigsten E-Mails, aber das ist nicht ihre einzige Möglichkeit, an Sie heranzukommen:
- Phishing-E-Mails fordern Sie auf, auf bösartige Links oder infizierte Anhänge zu klicken.
- Sprach-Phishing oder „Vishing“ bedeutet, dass der Kriminelle versucht, am Telefon an persönliche Informationen über Sie zu gelangen.
- Gefälschte Websites sind Kopien legitimer Websites. Sie ermöglichen es den Hackern, Verbindungsdaten zu sammeln, um sie auf anderen Konten wiederzuverwenden.
- Beim Skimming handelt es sich um Phishing per Textnachricht. Sie werden aufgefordert, auf einen Link zu klicken oder eine Anwendung herunterzuladen, die Malware enthält.
Beim Social-Media-Phishing werden Ihre Konten gehackt, um bösartige Links an Ihre Kontakte zu senden. Diese Methode beruht auch auf der Erstellung gefälschter Benutzerkonten. Diese Art von Phishing betrifft insbesondere Unternehmen, für die „Social Engineering“ der Schlüssel zum Geschäft ist. In diesem Fall sammeln Phisher Informationen über das Unternehmen, um ihre zukünftigen Cyberangriffe besser planen zu können.
Es gibt auch Phishing-Versuche über Linkedin-Konten. Hacker senden Links an ihre Opfer, die ihre Benutzernamen und Passwörter angeben. Die Kriminellen verwenden es dann, um die Kontrolle über das Linkedin-Konto zu übernehmen und betrügerische Nachrichten an ihre Kontakte zu senden.
Was sind die wichtigsten Phishing-Tricks?
Wie oben beschrieben, verwenden Hacker verschiedene Methoden, um sich als zuverlässige Gesprächspartner auszugeben. Wenn sie Unternehmen ins Visier nehmen, verwenden sie spezifischere Methoden:
- Irreführendes Phishing bedeutet, sich als Unternehmen derselben Branche auszugeben, das angeblich an einer Zusammenarbeit interessiert ist;
- CEO-Betrug ist, sich als Firmenchef oder hochrangiger Manager auszugeben. Der Angriff zielt darauf ab, Bankdaten oder vertrauliche Informationen zu erhalten;
- Der Walfang besteht darin, die wichtigsten Persönlichkeiten eines Unternehmens ins Visier zu nehmen. Diese Art von Angriff ermöglicht es, die notwendigen Informationen wiederherzustellen, um einen „Betrug durch einen falschen Präsidenten“ durchzuführen;
- Das „Google Docs“ - oder ein anderer ähnlicher Cloud-Dienst - besteht darin, gefälschte Cloud-Schnittstellen anzuzeigen, um Anmeldedaten von Ihren Mitarbeitern zu erhalten und dann auf online gespeicherte Dateien zuzugreifen;
- Clone-Phishing bedeutet, dass die Hacker Ihre legitimen E-Mails kopieren, um sie an Ihre legitimen Kontakte zu senden, jedoch mit illegitimen neuen Links.
Unter den Phishing-Angriffen, über die in aller Munde ist, kann man feststellen, dass Datenbanken der Partnerhotels von Booking.com besonders betroffen sind. Die Nutzer dieser Website waren alle Ziel betrügerischer Angriffe per Whatsapp oder Textnachrichten gewesen.
Es wurde auch viel über den Phishing-Angriff gesagt, dem Target-Stores 2013 ausgesetzt waren. Dies hatte zu einer Datenschutzverletzung für 110 Millionen Verbraucher geführt. Dieses Ereignis hat den Ruf dieser amerikanischen Marke nachhaltig beeinflusst.
Wie können Sie Ihr Unternehmen vor Phishing schützen?
Der erste Schritt, um Ihr Unternehmen vor Phishing-Betrug zu schützen, besteht darin, Ihre Mitarbeiter in den folgenden Bereichen zu schulen: Kommunikation Situationen, vor denen sie vorsichtig sein sollten. Sie sollten auch in die richtige Anti-Phishing-Software investieren. Sobald ein Angriff ausgeführt wurde, gibt es jedoch einige bewährte Methoden, die dazu beitragen können, die negativen Folgen abzumildern.
Präventive Maßnahmen gegen Phishing-Versuche
Hier sind einige wichtige Präventionsmaßnahmen gegen Phishing-Versuche, die Sie vielleicht Ihren Mitarbeitern mitteilen möchten:
- Geben Sie niemals vertrauliche Daten per E-Mail oder mit Ihrem Telefon weiter. Verwaltungen fragen nicht per E-Mail oder SMS nach Bankdaten oder Passwörtern. Wenn ein Unternehmen Sie kontaktiert, vergewissern Sie sich sofort, welche Absichten es hat, indem Sie die Initiative für die Mitteilung ergreifen.
- Fahren Sie mit der Maus über E-Mail-Links, um die Gültigkeit der angezeigten URLs zu überprüfen. Besuchen Sie gegebenenfalls selbst die legitime Website und vergleichen Sie deren URL mit den Links, die in der verdächtigen E-Mail angezeigt werden;
- Verwenden Sie komplexe Passwörter, die für jedes Konto unterschiedlich sind. Erneuern Sie diese Passwörter regelmäßig.
- Wann immer es möglich ist, aktiviere die doppelte Authentifizierung und überprüfe Datum und Uhrzeit der letzten Verbindungen.
- Hüten Sie sich vor Popup-Fenstern oder verwenden Sie einen Popup-Blocker. Wenn diese angezeigt werden, klicken Sie immer auf das übliche Kreuz, das das Fenster schließt, und nicht auf das große, hervorgehobene Kreuz;
- Zeigen Sie Ihre E-Mails im Klartext an: Ein Trick, mit dem Sie versteckte Bilder aufdecken können, um einen Überblick über jeden Betrugsversuch zu erhalten.
Wie sollten Sie mit Phishing-E-Mails umgehen?
Wenn Ihre Mitarbeiter aufgrund der oben genannten Empfehlungen während ihrer beruflichen Tätigkeit einen oder mehrere Phishing-Versuche erkennen, sollten Sie die folgenden Schritte befolgen:
- Installieren Sie die Cloudphish Antiphishing-Erweiterung oder eine andere Anti-Phishing-Webbrowser-Erweiterung auf den Computern Ihres Unternehmens;
- Im Falle einer Phishing-Warnung klicken Sie einfach auf die Schaltfläche der Erweiterung, um die Nachricht zu melden. Bestimmte Messaging-Anbieter, wie Outlook, bieten diese Art von Berichtsmechanismus bereits an.
- Sie können sich auch an das gefälschte Unternehmen wenden, um es vor Hackern zu warnen, die ihre Marke zu betrügerischen Zwecken fälschen;
- Löschen Sie die Phishing-E-Mails.
Wie sollten Sie reagieren, wenn Sie Opfer eines Phishing-Angriffs werden?
Im Falle eines erfolgreichen Phishing-Cyberangriffs, bei dem Hacker vertrauliche Daten oder Geld von Ihnen erhalten haben:
- wenden Sie sich an Ihre Bank, um möglichen betrügerischen Abhebungen zu widersprechen;
- Bewahren Sie die Beweise auf, insbesondere die illegitime Botschaft;
- anrufen Ihre Cybersicherheit Krisenmanagement-Team ;
- eine Beschwerde bei der Polizeistation oder einer anderen zuständigen Behörde einreichen;
- Nachrichten über Ihre Anti-Phishing-Erweiterung an Google melden;
- ändern Sie die Passwörter und Benutzernamen aller Ihrer Online-Konten;
- kontaktiere deinen Onlinesicherheit Anbieter für weitere Beratung.
Wird Ihr Unternehmen im Falle von Bank-Phishing für seine finanziellen Verluste entschädigt? Die Gerichte haben in dieser Angelegenheit keine allgemeingültige Entscheidung. Die mögliche Entschädigung hängt vom Erscheinungsbild der betrügerischen Nachricht ab: In der Tat, wenn man bedenkt, ob die E-Mail illegitim aussah, ob der geforderte Geldbetrag wahnhaft war oder ob die Anfrage unlogisch erschien, könnte Ihr Verhalten als fahrlässig angesehen werden oder nicht.
Dies geschah in einem Rechtsstreit zwischen Crédit Mutuel Nord Europe und einem seiner Kunden. Die örtliche Gerichtsbarkeit hatte den Betrug anerkannt und argumentiert, die Hacker hätten ihre Bankdaten gestohlen. Das höchste französische Gericht (Cour de Cassation) zog es vor, der Bank Recht zu geben und vermutete, dass die Kundin im Umgang mit ihren Bankdaten grob fahrlässig war.
HÄUFIG GESTELLTE FRAGEN:
Was ist Phishing und wie erkennt man es?
Phishing ist eine Form von Cyberangriffen, die dem Hacker Zugriff auf vertrauliche Daten gewährt: persönliche Daten oder Bankdaten. Der Hacker greift in der Regel auf E-Mails, Textnachrichten oder Telefonanrufe zurück und gibt vor, ein legitimer Gesprächspartner zu sein.
Wie kann ich wissen, ob ich Opfer eines Phishing-Versuchs geworden bin?
Wenn Sie auf eine fragwürdige E-Mail stoßen, fahren Sie mit der Maus über die URLs, um sicherzustellen, dass sie legitimen Websites entsprechen. Beenden Sie im Zweifelsfall die Kommunikation (Text, Anruf, E-Mail) und wenden Sie sich selbst an den offiziellen Absender, um sicherzustellen, dass es sich tatsächlich um eine Nachricht in seinem Namen handelt.
Was soll ich mit einer Phishing-E-Mail machen?
Sie können Spam- und andere Phishing-E-Mails über bestimmte Erweiterungen an Google melden.
Wir entwickeln skalierbare Lösungen zur Quantifizierung von Cyberrisiken in finanzieller Hinsicht, damit Unternehmen fundierte Entscheidungen treffen können, um Unternehmensführung und Widerstandsfähigkeit zu verbessern.