E-Mail-Phishing - Wie man Angriffe erkennt und vermeidet
Wir leben in einer Zeit der überfüllten E-Mail-Postfächer. Spamlaws schätzt, dass bis zu 45 % aller E-Mails Spam sind, andere Schätzungen gehen sogar von 73% aus. Aufgrund der weiten Verbreitung von E-Mails sind diese zu einem äußerst häufigen Einfallstor für Betrügereien und Cyberangriffe geworden. Leider haben wir uns alle an E-Mails gewöhnt, was Cyberangriffe per E-Mail zu einer beliebten Taktik für Betrüger macht.
Warum ist E-Mail Phishing relevant?
E-Mail-Phishing ist eine der größten Bedrohungen, denen Unternehmen heute ausgesetzt sind. dataprot.net stellt die folgenden Statistiken zu Phishing zur Verfügung.
- Bei fast einem Drittel aller Datenschutzverletzungen im Jahr 2018 ging es um Phishing.
- Alle 20 Sekunden wird im Internet eine neue Phishing-Seite erstellt.
- Mehr als 70% der Phishing-E-Mails werden von ihren Zielpersonen geöffnet.
- 90% der Sicherheitsverletzungen in Unternehmen sind das Ergebnis von Phishing-Angriffen.
- Kleine und mittlere Unternehmen verlieren im Durchschnitt 1,6 Millionen Dollar, wenn sie sich von einem Phishing-Angriff erholen.
- Apple ist die Marke, die von Cyberkriminellen am häufigsten nachgeahmt wird.
- Mehr als 77% der Unternehmen verfügen über keinen Plan zur Reaktion auf Cyberangriffe.
All diese Statistiken zeigen die Relevanz von Phishing. Stellen Sie sich vor, ein einziger unbedachter Klick kann Ihr gesamtes Unternehmen gefährden. Daher ist es das Gebot der Stunde, Ihr Unternehmen und Ihre Mitarbeiter auf die Abwehr von E-Mail-Phishing vorzubereiten. In diesem Blog finden Sie alle Informationen, die Sie benötigen, um Ihr Team gegen Phishing-Angriffe per E-Mail zu schützen.
Was ist E-Mail-Phishing?
Laut NIST bezeichnet Phishing "eine Technik, mit der versucht wird, sensible Daten, wie z.B. Bankkontonummern, durch eine betrügerische Aufforderung in einer E-Mail oder auf einer Website zu erlangen, bei der sich der Täter als legitimes Unternehmen oder seriöse Person ausgibt." E-Mail-Phishing-Angriffe treten auf, wenn Angreifer unter dem Vorwand, eine legitime Behörde zu sein, gefälschte E-Mails an Benutzer senden, um sie zur Preisgabe sensibler Daten zu verleiten.
Das häufigste Ziel von Phishing-Angriffen ist der Diebstahl von Finanzdaten oder Netzwerkanmeldedaten. In vielen Fällen kann E-Mail-Phishing der erste Schritt eines größeren Multi-Vektor-Angriffs sein, der Ihr gesamtes Unternehmen betrifft. Angreifer versuchen, über E-Mails von Mitarbeitern in Unternehmensnetzwerke einzudringen, um Ransomware oder Spyware einzuschleusen oder unbefugten Zugriff auf geschäftskritische Informationen zu erhalten. Erfahren Sie mehr über WannaCry - einen der bekanntesten Ransomware-Angriffe der letzten Jahre.
E-Mail-Phishing ist eine Social-Engineering-Taktik. Diese Art von Cyberangriffen manipuliert menschliche Emotionen und nutzt Gefühle wie Angst, Besorgnis oder Dringlichkeit aus. Diese Gefühle hemmen unser kritisches Denken und führen zu unüberlegten Handlungen. Die Angreifer wollen, dass wir handeln, wie sie es sagen, ohne die Dinge zu durchdenken.
Was sind gängige E-Mail-Phishing-Techniken?
Es gibt drei wesentlichen E-Mail-Phishing-Techniken, um Ihre sensiblen Daten zu stehlen. Diese sind die folgenden:
- Bösartige Links (Engl. Malicious Links)
- Infizierte Anhänge (Engl. Infected Attachments)
- Gefälschte Formulare / Forms zur Dateneingabe
Lassen Sie uns im Folgenden auf jede dieser Techniken eingehen.
1. Bösartige Links
Weblinks oder URLs sind in der Regel Bestandteil der meisten E-Mails. In Phishing-E-Mails sind Weblinks die treibende Kraft hinter dem Betrug. Es ist ziemlich einfach, URLs zu erstellen, die Ihr System mit Ransomware, Viren, Trojanern oder anderer Malware infizieren und das gesamte Netzwerk gefährden. Angreifer können auch Links erstellen, die Sie zu schädlichen Websites führen oder in scheinbar sicheren Download-Schaltflächen versteckt sind.
2. Infizierte Anhänge
E-Mail-Anhänge werden häufig dazu verwendet, Cyberangriffe zu starten und IT-Netzwerke lahmzulegen. Infizierte Anhänge können wie normale Word-Dokumente, PDFs oder andere elektronische Dateien aussehen. Das Herunterladen eines gefälschten E-Mail-Anhangs kann sensible Daten zerstören oder es dem Angreifer sogar ermöglichen, die Kontrolle über Ihren Computer und andere Systeme in Ihrem IT-Netzwerk zu übernehmen.
Antivirenlösungen verwenden eine signaturbasierte Erkennung, um Malware automatisch zu blockieren. Um dies zu umgehen, verstecken die Angreifer einen Exploit im Anhang. Ein Exploit ist eine Software, die einen Fehler oder eine Schwachstelle ausnutzt, um ein unbeabsichtigtes oder unerwartetes Verhalten bei Computersoftware, Hardware oder anderen elektronischen Geräten hervorzurufen. Wenn der Anhang heruntergeladen wird, nutzt der Exploit vorhandene Systemschwachstellen, um die eingerückte Malware in das System zu laden.
Eine andere Methode/Ansatz, die Angreifer verwenden, sind Dateien mit einem eingebetteten bösartigen Makro. Betrügerische Pop-ups sorgen dafür, dass der Benutzer auf die Schaltfläche "Inhalt aktivieren" (Engl. "Enable Content") klickt, die das Makro ausführt und den zugrunde liegenden Computer infiziert.
3. Gefälschte Formulare / Forms zur Dateneingabe
Bei dieser Taktik/Technik bringen die Angreifer das Opfer dazu, wichtige Informationen in betrügerische Dateneingabeformulare einzugeben. Bei den geforderten Informationen kann es sich um Benutzer-IDs, Finanzdaten, Sozialversicherungsnummern oder Telefonnummern handeln. Damit diese Taktik funktioniert, geben sich die Angreifer als legitime Personen aus etablierten Unternehmen, Banken oder der Regierung aus.
Was sind bekannte Arten von E-Mail-Phishing-Angriffen?
E-Mail-Phishing ist die allgemeinste Art von E-Mail-Betrug, der darauf abzielt, Benutzer zur Preisgabe ihrer privaten Daten oder zum Herunterladen bösartiger Inhalte zu verleiten. In den meisten Fällen werden E-Mails von Phishing-Angriffen an eine große Anzahl von Personen auf einmal gesendet. Die Angreifer verbreiten ein breites Netz, ohne eine bestimmte Person ins Visier zu nehmen. Bei dieser Art von Angriffen wird davon ausgegangen, dass unter den vielen Empfängern zumindest einige sind, die auf die Falle hereinfallen werden.
Andere Arten von Phishing-Angriffen per E-Mail sind gezielter. Diese sind (Hinweis: Wir verwenden hier die englischen Begrifflichkeiten):
- Spear-Phishing
- Whaling (CEO-Betrug)
- Business Email Compromise (BEC)
- Clone Phishing
Als Nächstes werden wir jeden der vier Angriffstypen genauer untersuchen und beschreiben.
Spear-Phishing
Spear Phishing, abgeleitet von der Fischfangtechnik, bei der Speere verwendet werden, um bestimmte Fische anzugreifen, ist genau das, was der Name andeutet. Spear-Phishing ist das Gegenteil von allgemeinem Phishing, da es auf bestimmte Personen abzielt. In der Regel handelt es sich bei den Zielpersonen um hochrangige Führungskräfte mit wertvollen Informationen und privilegiertem Zugang. Für diese Art von Phishing muss der Angreifer besondere Kenntnisse über die Struktur und das Personal des Zielunternehmens haben.
Whaling (CEO-Betrug)
Whaling, auch CEO-Betrug genannt, liegt vor, wenn sich Angreifer als CEO eines Unternehmens ausgeben und den Führungskräften des Unternehmens eine dringende E-Mail schicken, die sofortiges Handeln erfordert. Eine übliche Taktik besteht darin, den Mitarbeitern vorzugaukeln, dass der CEO um eine dringende Geldüberweisung bittet.
Business Email Compromise (BEC)
Diese Phishing-Angriffe zielen auf bestimmte Unternehmen ab, um sie und ihre Partner, Lieferanten und Kunden zu betrügen. Eine gängige BEC-Taktik besteht darin, die E-Mail des Unternehmens zu klonen oder das E-Mail-Konto eines Mitarbeiters zu hacken und es zu nutzen, um mit gefälschten Rechnungen Zahlungen von Lieferanten zu verlangen.
Clone Phishing
Hierbei handelt es sich um eine fortgeschrittene Form des Phishings, bei der die Angreifer zuvor gesendete legitime E-Mails mit Links oder Anhängen verwenden. Die Angreifer klonen legitime E-Mails und erstellen eine perfekte Kopie, in der die Links oder Anhänge durch Malware ersetzt werden. Die Phishing-E-Mail erscheint als einfache Neuversendung der ursprünglichen E-Mail. Dies ist eine gefährliche Taktik, denn gefälschte E-Mails sind schwer zu erkennen.
Wie erkennt man eine Phishing-E-Mail?
Oft ist es unmöglich, eine Phishing-E-Mail von einer echten zu unterscheiden, wenn die Phishing-Angriffe sehr geschickt ausgeführt werden. Dennoch gibt es einige allgemeine Anzeichen, auf die Sie achten sollten, wenn Sie eine E-Mail öffnen. Hier sind einige Charakteristiken, die Phishing-E-Mails typischerweise ausmachen:
- Die E-Mail beginnt mit einer allgemeinen Begrüßung, z.B. "Sehr geehrter Kunde". Seriöse Unternehmen werden Ihren Namen kennen.
- Die E-Mail enthält grammatikalische Fehler. Unternehmen, die E-Mails an ihre Kunden senden, achten darauf, dass ihr Text keine Grammatik- oder Rechtschreibfehler enthält. Lesen Sie die E-Mail sorgfältig, um zu sehen, ob ein Schreibfehler auffällt - das könnte ein Zeichen dafür sein, dass etwas nicht stimmt.
- Seriöse Unternehmen, Banken oder Behörden fragen nicht per E-Mail über einen Link oder einen Anhang nach privaten Informationen. Wenn Sie solche unaufgeforderten E-Mails erhalten, ist die Wahrscheinlichkeit groß, dass es sich um einen Betrug handelt.
- Wenn der Domänenname oder das Logo des Unternehmens ungewöhnlich erscheint, ist dies ein deutliches Zeichen für eine Phishing-E-Mail. Abwandlungen von Domänennamen, wie hinzugefügte Zahlen oder zufällige Buchstaben am Ende der E-Mail-Adresse, können auf eine gefälschte E-Mail hinweisen.
- Seriöse E-Mail-Links stimmen mit der Zieladresse überein. Der Linktext sollte mit der angezeigten URL identisch sein, wenn Sie mit dem Mauszeiger über den Link fahren.
- Eine weitere einfache Möglichkeit, einen potenziellen Phishing-Angriff zu erkennen, besteht darin, auf Unstimmigkeiten bei den E-Mail-Adressen zu achten. Es lohnt sich zum Beispiel, frühere Korrespondenzen daraufhin zu überprüfen, ob die ursprünglichen E-Mail-Adressen übereinstimmen.
-
Achten Sie auf verdächtige E-Mail Anhänge. Wenn eine E-Mail mit einem Dateianhang von einer unbekannten Quelle empfangen wird oder wenn der Empfänger eine Datei vom Absender der E-Mail nicht angefordert oder erwartet hat, sollte der Anhang mit Vorsicht geöffnet werden. Wenn die angehängte Datei eine Erweiterung/Extension hat, die üblicherweise mit Malware-Downloads in Verbindung gebracht wird (.zip, .exe, .scr usw.) - oder eine unbekannte Erweiterung/Extension hat - sollten die Empfänger die Datei vor dem Öffnen zum Virenscannen markieren.
-
E-Mails, die Drohungen enthalten oder zu dringenden Handlungen auffordern, sind in der Regel Phishing E-Mails. E-Mails, die negative Konsequenzen androhen, sollten immer mit Misstrauen behandelt werden. Eine andere Taktik besteht darin, ein Gefühl der Dringlichkeit auszunutzen, um den Empfänger zum sofortigen Handeln aufzufordern, um ihn zu verunsichern. Der Betrüger hofft, dass der Inhalt der E-Mail in der Eile nicht gründlich geprüft wird, so dass andere Ungereimtheiten im Zusammenhang mit einer Phishing-Kampagne unentdeckt bleiben können.
Dies sind zwar gängige Indikatoren für Phishing-Versuche, aber keine narrensicheren Erkennungsrichtlinien. Die Angreifer sind inzwischen sehr fortschrittlich und erfahren. Selbst wenn Sie eine E-Mail erhalten, die keine dieser Charakteristiken aufweist, sollten Sie vorsichtig sein, bevor Sie antworten. Probieren Sie das Phishing-Quiz von OpenDNS aus, um zu testen, wie gut Sie eine legitime Website von einem Phishing-Versuch unterscheiden können.
Wie kann man Phishing-Scams vermeiden?
Es gibt einige Möglichkeiten, um sich vor E-Mail-Phishing-Versuchen zu schützen. Einige bewährte Praktiken erfordern mehr Zeit und Mühe von Ihnen, aber die Kosten, die entstehen, wenn Sie einem Phishing-Betrug zum Opfer fallen, sind viel höher.
1. Finden Sie Ihre Links durch selbständige Suche.
Klicken Sie nicht auf Weblinks, die Sie in E-Mails erhalten haben. Wenn wir auf Links klicken, die uns geschickt werden, wird unser Weg vom Absender bestimmt. Gehen Sie stattdessen über den Browser auf die offizielle Website der Organisation und suchen Sie dort nach den gleichen Informationen. Wenn der Weblink in der E-Mail legitim ist, können Sie die Aktion auch auf der Website beenden. Auf diese Weise lässt sich die Legitimität garantiert feststellen.
2. Überprüfen Sie selbst die Identität des Absenders.
Wenn Sie eine zufällige E-Mail von einem Kollegen oder Chef erhalten, in der er Sie um dringende Maßnahmen bittet, wenden Sie sich persönlich an den Absender (und antworten Sie nicht in demselben E-Mail-Thread), um zu überprüfen, ob er es wirklich war, der die Nachricht geschickt hat.
3. Schützen Sie Ihre Konten und Passwörter.
Verwenden Sie eine Multi-Faktor-Authentifizierung, eindeutige Passwörter für alle Konten und einen Passwortmanager, um den Zugang zu Ihren Konten zu sichern. Halten Sie außerdem Ihre gesamte Software immer auf dem neuesten Stand.
4. Verwenden Sie verwaltete E-Mail Sicherheit / Managed Email Security.
Managed Email Security ist eine Notwendigkeit für große Unternehmen. Eine dynamische Bedrohungslandschaft erfordert, dass Ihre Sicherheitsvorkehrungen den Angreifern immer einen Schritt voraus sind. Managed Email Security bietet Ihrem Unternehmen eine zusätzliche Verteidigungsebene mit hochmodernen Bedrohungsdaten und Erkennungstechniken. Darüber hinaus erhalten Sie qualifizierte IT-Experten, die rund um die Uhr verfügbar sind, um sofort auf Bedrohungen zu reagieren.
SRC-Sicherheitsexperten können Sie bei der Vermeidung von Phishing-Betrug unterstützen, indem sie die erforderlichen prozessualen und technischen Maßnahmen entsprechend Ihren Anforderungen ausarbeiten und implementieren. Informieren Sie sich über weitere Details unserer IT Security Consulting Leistungen.