Phishing

Was ist Phishing?

Phishing ist eine betrügerische Methode, bei der Angreifer versuchen, an persönliche Daten wie Passwörter, Kreditkartendaten oder Zugangsdaten zu Online-Diensten zu gelangen. Erfahren Sie mehr über die verschiedenen Arten von Phishing, wie eMail-Phishing, Spear-Phishing, Smishing und Vishing:

• E-Mail-Phishing: Die häufigste Form, bei der Betrüger eMails verschicken, die scheinbar von vertrauenswürdigen Unternehmen oder Institutionen stammen.
• Spear-Phishing: Diese Methode richtet sich gezielt gegen einzelne Personen oder Organisationen und nutzt personalisierte Informationen, um glaubwürdiger zu wirken.
• Smishing: Hierbei handelt es sich um Phishing-Angriffe über SMS-Nachrichten, bei denen die Betrüger versuchen, Ihre persönlichen Informationen oder Zugangsdaten abzugreifen.
• Vishing: Bei Vishing-Angriffen nutzen Kriminelle Telefonanrufe, um sich als vertrauenswürdige Personen oder Unternehmen auszugeben und so Ihre Daten zu erlangen.
• Whaling: Diese spezielle Form des Spear-Phishing richtet sich gegen hochrangige Führungskräfte oder Entscheidungsträger in Unternehmen und Organisationen. Die Betrüger versuchen, mithilfe von personalisierten und gut recherchierten Nachrichten Zugang zu sensiblen Informationen oder finanziellen Ressourcen zu erhalten.
• Pharming: Bei Pharming-Angriffen manipulieren die Angreifer die Domain Name System (DNS)-Einträge, um Benutzer auf gefälschte Websites umzuleiten. Diese Websites sehen der legitimen Seite täuschend ähnlich, und wenn der Benutzer sich dort anmeldet, werden seine Anmeldedaten von den Betrügern abgefangen.
• Social Media Phishing: Diese Art von Phishing erfolgt über soziale Netzwerke wie Facebook, Twitter oder LinkedIn. Die Angreifer erstellen gefälschte Profile, die vertrauenswürdigen Personen oder Organisationen ähneln, oder übernehmen gehackte Konten. Sie senden dann persönliche Nachrichten oder teilen Links, die zu gefälschten Websites führen, auf denen sie versuchen, persönliche Informationen oder Zugangsdaten abzugreifen.
• BEC (Business Email Compromise) Phishing: Bei Business eMail Compromise-Attacken zielen die Angreifer darauf ab, Geld von Unternehmen zu erbeuten, indem sie sich als Führungskräfte, Mitarbeiter oder Geschäftspartner ausgeben. Die Betrüger nutzen eMail-Spoofing oder Accountübernahmen, um ihre Opfer dazu zu bringen, Geld auf fremde Bankkonten zu überweisen oder vertrauliche Informationen preiszugeben. BEC-Angriffe sind oft gut recherchiert und können sogar auf eMail-Konversationen basieren, die die Betrüger im Vorfeld abgefangen haben.
• Microsoft 365 Phishing: Bei Microsoft 365 Phishing-Angriffen geben sich die Betrüger als Microsoft-Mitarbeiter oder -Dienste aus und versuchen, Zugangsdaten für Microsoft 365-Konten (früher bekannt als Office 365) zu stehlen. Die Angreifer senden eMails oder Nachrichten, die beispielsweise angebliche Sicherheitswarnungen, Benachrichtigungen über abgelaufene Lizenzen oder Anfragen zur Überprüfung von Kontodaten enthalten. Die Nachrichten enthalten oft Links zu gefälschten Anmeldeseiten, auf denen die Opfer ihre Zugangsdaten eingeben sollen. Durch den Zugriff auf Microsoft 365-Konten können die Angreifer unter anderem auf vertrauliche Dokumente, eMails und Kontakte zugreifen oder weitere Phishing-Angriffe innerhalb des Unternehmens starten.

Wie erkenne ich Phishing-Angriffe?

Die am häufigsten verbreitete Phishing-Methode sind eMail-Phishing-Angriffe. Bei dieser Methode senden Angreifer betrügerische eMails, die den Anschein erwecken, von vertrauenswürdigen Organisationen oder Personen zu stammen, um persönliche Informationen oder Zugangsdaten zu erhalten. Sie haben sicher auch schon mal eine eMail Ihrer „Hausbank“ bekommen, oder?

Die Basics um solche Angriffe zu erkennen: Achten Sie auf ungewöhnliche eMail-Adressen, Rechtschreib- und Grammatikfehler, dringliche Forderungen sowie ungewöhnliche Anhänge oder Links.
Haben Sie die eMail Ihres Mitarbeitenden gerade erwartet oder ist er doch eigentlich gerade im Urlaub?

• Ungewöhnliche eMail-Adressen: Überprüfen Sie die Absender-eMail-Adresse, um sicherzustellen, dass sie mit der richtigen Person oder dem richtigen Unternehmen kommunizieren. Oft verwenden Phishing-eMails ähnliche, aber nicht identische eMail-Adressen und/oder -Domains, um Sie zu täuschen.
• Rechtschreib- und Grammatikfehler: Phishing-eMails enthalten häufig Rechtschreib- und Grammatikfehler oder ungewöhnliche Formulierungen. Echte Personen und Unternehmen achten in der Regel auf eine korrekte Rechtschreibung und Grammatik in ihrer Kommunikation.
• Dringlichkeit und Aufforderungen zum Handeln: Viele Phishing-eMails versuchen, ein Gefühl der Dringlichkeit zu erzeugen, indem sie den Empfänger auffordern, sofort zu handeln. Beispiele hierfür sind Warnungen vor Kontosperrungen oder ablaufenden Fristen zur Zahlung wichtiger Rechnungen.
• Unerwartete Anhänge oder Links: Seien Sie vorsichtig mit eMails, die unerwartete oder verdächtige Anhänge oder Links enthalten. Öffnen Sie keine Anhänge oder klicken Sie nicht auf Links, wenn Sie nicht sicher sind, dass die eMail von einer vertrauenswürdigen Quelle stammt.
• Überprüfen Sie die Domains: Fahren Sie mit dem Mauszeiger über Links in der eMail, um die tatsächliche Domain anzuzeigen. Stellen Sie sicher, dass die Domain mit der vertrauenswürdigen Person oder der Unternehmens-Website übereinstimmt, bevor Sie darauf klicken.
• Anfragen nach persönlichen Informationen: Seien Sie misstrauisch gegenüber eMails, die Sie auffordern, persönliche Informationen, Passwörter oder Bankdaten preiszugeben. Echte Personen oder Unternehmen fordern in der Regel keine solchen Informationen an.

Wenn Sie eine eMail erhalten, die Ihnen verdächtig vorkommt, ist es ratsam, direkt mit der Person oder dem Unternehmen Kontakt aufzunehmen, um die Echtheit der eMail zu überprüfen. Verwenden Sie dazu die offiziellen Kontaktinformationen, die Sie auf der Website finden oder Sie bereits durch frühere Kommunikation vorliegen haben. Innerhalb eines Unternehmens sollten Sie die IT-Abteilung und/oder die in Ihrem Unternehmen zuständige Person für Datenschutz / Informationssicherheit informieren.

Schützen Sie sich vor Phishing

Grundsätzlich ist es immer ratsam grundlegende Sicherheitsmaßnahmen – unabhängig vom konkreten Thema „Phishing“ zu befolgen. Darunter fällt zum Beispiel, dass Sie regelmäßig Updates einspielen, starke Passwörter verwenden und Antiviren-Software nutzen. Aktuelle Webbrowser und Antiviren-Software können relativ zuverlässig viele Phishing-Versuche verhindern, bevor Schaden entstehen kann. Um sich noch effektiver vor Phishing zu schützen, sollten Sie eine Kombination aus gesunder Skepsis und technischen Sicherheitsmaßnahmen nutzen:

• eMail-Links nicht klicken: Wenn Sie eine verdächtige eMail erhalten und sich nicht sicher sind, ob Sie den darin enthaltenen Link zu anklicken sollten, öffnen Sie ein Browserfenster und tippen sie die Ziel-Adresse manuell ein. Damit verhindern Sie, dass sie ggf. auf eine gefälschte Website umgeleitet werden, weil ein Angreifer eine ähnliche Domain verwendet hat.
• Zwei-Faktor-Authentifizierung (2FA): Aktivieren Sie die Zwei-Faktor-Authentifizierung für Ihre Online-Konten, wenn dies möglich ist. 2FA bietet zusätzliche Sicherheit, indem es erfordert, dass Sie neben Ihrem Passwort auch einen zusätzlichen Verifizierungsschritt durchführen, wie z. B. einen Sicherheitscode, der an Ihr Telefon gesendet wird. Das erschwert das Abgreifen von Zugangsdaten für Angreifer, da diese ohne den zweiten Faktor das Konto nicht übernehmen können. Aber vorsichtig bleiben: Es gibt auch Angriffe die 2FA abgreifen können.
• Verwendung von verschlüsselten Verbindungen: Achten Sie darauf, dass Sie beim Surfen im Internet verschlüsselte Verbindungen (HTTPS) verwenden. Eine verschlüsselte Verbindung stellt sicher, dass die Daten, die zwischen Ihrem Computer und der Website übertragen werden, vor Man-in-the-Middle-Attacken geschützt sind.
• Sicherheitspatches und Updates: Halten Sie Ihr Betriebssystem, Ihre Software und Ihre Anwendungen stets auf dem neuesten Stand. Installieren Sie Sicherheitspatches und Updates, sobald sie verfügbar sind, um bekannte Schwachstellen zu schließen, die von Phishing-Angriffen und anderen Bedrohungen ausgenutzt werden können.
• Awareness-Trainings: Investieren Sie in Schulungen zum Thema Sicherheitsbewusstsein, um Ihre Mitarbeitenden über die Risiken von Phishing und andere Online-Bedrohungen aufzuklären. Regelmäßige Schulungen helfen dabei, die Anfälligkeit für Phishing-Angriffe zu reduzieren.

Indem Sie diese technischen Maßnahmen ergreifen und mit gesunder Vorsicht kombinieren, können Sie Ihr Risiko, Opfer von Phishing-Angriffen zu werden, erheblich reduzieren.

Was mache ich, wenn ich auf einen Phishing-Angriff reingefallen bin?

Wenn Sie auf einen Phishing-Angriff hereingefallen sind, ist es wichtig, sofort Maßnahmen zu ergreifen, um die potenziellen Schäden zu begrenzen und Ihre persönlichen und finanziellen Informationen zu schützen.

• Ändern Sie Ihre Passwörter: Wenn Sie Ihre Anmeldedaten auf einer gefälschten Website eingegeben haben, sollten Sie sofort die Passwörter für die betroffenen Konten ändern. Stellen Sie sicher, dass Sie starke, eindeutige Passwörter für jedes Konto verwenden. Ändern Sie auch die Sicherheitsfragen und -antworten, sowie Ihre 2FA-Faktoren, falls diese eingerichtet sind.
• Informieren Sie Betroffene: Kontaktieren Sie die Organisationen, deren Anmeldedaten oder persönlichen Informationen kompromittiert wurden, und informieren Sie sie über den Phishing-Angriff. Sie können Ihnen möglicherweise weitere Anweisungen zur Sicherung Ihrer Konten geben.
• Melden Sie den Phishing-Angriff: Wenn Sie als mitarbeitende Person von einem Phishing-Angriff betroffen sind, melden Sie dies umgehend an Ihre IT-Abteilung und/oder die in Ihrem Unternehmen zuständige Person für Datenschutz / Informationssicherheit. Dies ist für die Sicherheit des Unternehmens essentiell, da so die Überwachung verdächtiger Aktivitäten durch die IT-Abteilung sichergestellt werden kann.
• Prüfen Sie die Zwei-Faktor-Authentifizierung (2FA): Überprüfen Sie den Status ihrer 2FA und aktivieren Sie diese für Ihre Konten. Richten Sie nach einem erfolgreichen Angriff dringend 2FA (neu) ein, damit sie künftig besser geschützt sind.
• Überprüfen Sie Ihren Computer auf Malware: Führen Sie einen vollständigen Scan Ihres Computers mit einer vertrauenswürdigen Antiviren-Software durch, um sicherzustellen, dass keine Malware installiert wurde. Falls Malware gefunden wird, entfernen Sie diese. In Unternehmen wird dies zentral über die IT-Abteilung erledigt. Sprechen Sie diese gerne an.
• Seien Sie vorsichtiger in der Zukunft: Lernen Sie aus dieser Erfahrung und seien Sie in Zukunft wachsamer bei der Identifizierung von Phishing-Angriffen. Achten Sie auf verdächtige eMails, überprüfen Sie Absenderadressen und klicken Sie nicht auf Links oder öffnen Sie Anhänge, wenn Sie nicht sicher sind, dass die eMail von einer vertrauenswürdigen Quelle stammt.

Indem Sie diese Schritte beherzigen, können Sie dazu beitragen, die negativen Auswirkungen eines Phishing-Angriffs zu reduzieren und Ihre persönlichen Informationen zu schützen. Zusammenfassend ist es wichtig, schnell zu handeln und proaktiv zu sein, wenn Sie auf einen Phishing-Angriff hereingefallen sind. Durch das Ergreifen von Maßnahmen wie das Ändern von Passwörtern, das Überwachen Ihrer Konten und das Informieren von betroffenen Personen und Unternehmen können Sie die negativen Folgen minimieren.

Teilen Sie Ihre Erfahrungen

Informieren Sie Freunde, Familie und Kollegen über den Phishing-Angriff und teilen Sie Ihre Erfahrungen, damit auch sie lernen können, wie man solche Angriffe erkennt und vermeidet. Ihre Erfahrungen können dazu beitragen, das Bewusstsein für Phishing-Bedrohungen zu schärfen und andere vor ähnlichen Angriffen zu schützen.

Selbstverständlich ist die Freude groß, wenn Sie diese Website teilen. Gerne auch proaktiv. 😉

Awareness-Training

Schützen Sie Ihr Unternehmen mit einer Phishing-Kampagne: In der heutigen digitalen Welt sind Phishing-Angriffe eine der größten Bedrohungen für die IT-Sicherheit von Unternehmen und Privatpersonen. Um Ihre Mitarbeitenden und Ihr Unternehmen effektiv vor solchen Angriffen zu schützen, ist es unerlässlich, in Awareness-Training zu investieren. Unsere maßgeschneiderten Phishing-Kampagnen bietet eine praxisnahe Schulung, die darauf abzielt, das Bewusstsein für Phishing-Bedrohungen zu schärfen und Ihre Mitarbeiter auf die Erkennung und Abwehr von Phishing-Angriffen vorzubereiten.

Unsere Phishing-Kampagne umfasst:

• Simulierte Phishing-Angriffe: Wir erstellen realistische Phishing-eMails, die an Ihre Mitarbeitenden gesendet werden, um ihre Fähigkeit zur Erkennung von betrügerischen Nachrichten zu testen und ihre Wachsamkeit zu schärfen.
• Individuelle Feedback-Landingpage: Bei erfolgreichen Angriffen werden Ihre Mitarbeitenden auf eine individuelle Website weitergeleitet, in welcher exakt erklärt wird woran sie die Phishing-eMail hätten erkennen können und wie sie mit solchen Nachrichten umgehen sollten.
• Zeitversetzt und ungeplant: Wenn ihre Mitarbeitenden – beispielsweise durch Kontakt zu uns – bereits vorgewarnt sind, hat die Maßnahme weniger Wirkung. Daher gibt es die Option eine Kampagne über mehrere Tage und Wochen, sowie im Voraus zu planen. Nutzen Sie den „Überraschungs-Effekt“ und lassen Sie uns die Planung übernehmen.
• Fortlaufende Bewertung: Unsere Phishing-Kampagne bietet regelmäßige Tests und Bewertungen, um den Fortschritt Ihrer Mitarbeitenden zu überwachen und ihre Fähigkeiten im Laufe der Zeit zu verbessern. Denn wie Sie sicher wissen: IT-Sicherheit ist kein Sprint, sondern ein Marathon.
• Berichterstattung & Analyse: Sie erhalten detaillierte Berichte über die Leistung Ihrer Mitarbeitenden während der Phishing-Kampagne, sodass Sie Schwachstellen identifizieren und gezielte Schulungsmaßnahmen ergreifen können.

Investieren Sie in die Sicherheit Ihres Unternehmens und schützen Sie Ihre wertvollen Daten vor Phishing-Angriffen, indem Sie unsere maßgeschneiderte Phishing-Kampagne in Ihr Awareness-Training integrieren. Bereiten Sie Ihre Mitarbeitenden darauf vor, die ständig wachsenden Bedrohungen durch Phishing abzuwehren und Ihr Unternehmen vor potenziellen Sicherheitsverletzungen und finanziellen Verlusten zu schützen.

Kontaktieren Sie uns noch heute, um mehr über unsere Phishing-Kampagnen zu erfahren und Ihr Unternehmen bestmöglich vor Phishing-Angriffen zu schützen.