Phishing – die beliebteste Waffe der Cyberkriminellen

95% aller Hackingangriffe starten mit einer einfachen E-Mail. Die Begriffe „Phishing“ und „Phishing Emails“ sind momentan immer stärker im Umlauf aufgrund der immer häufiger auftretenden Sicherheitsvorfälle. Doch was genau versteht man darunter? Alexander Krenn ist Experte in Sachen Security Awareness, Gründer von nextbeststep.at und Moderator des diesjährigen Confare #CIOSUMMIT in Wien. Da Cyber Security auch am #CIOSUMMIT ein prominentes Thema ist, haben wir uns im Vorfeld des IT-Gipfels mit Kathrin Schneller von nextbeststep.at über die beliebteste Waffe der Cyberkriminellen unterhalten. 

Das Wort “Phishing” selbst ist ein zusammengesetzter Begriff aus dem englischen „password“ und „fishing“, und beschreibt das gezielte Angeln nach Daten. Die Lieblingsmethode der Angreifer ist es sogenannte Phishing Emails zu generieren und diese an eine bestimmte Zielgruppe automatisiert zu versenden, auch „Spear Phishing“ genannt.

„Ich bin nicht wichtig genug, dass ich angegriffen werde.“

Dabei wird versucht den Empfänger durch spezielle, maßgeschneiderte Inhalte so zu manipulieren, sodass er auf die EMail und die enthaltenen Links reagiert. Meist wird dies in Kombination mit einer gewissen Dringlichkeit oder Inhalten die Zu-gut-um-wahr-zu-sein scheinen, verstärkt. Dabei machen es einem die Angreifer nicht so leicht, da sie oft auch vortäuschen große weltweit bekannte Unternehmen, wie Google, Amazon, Facebook und Co. zu sein.

Das Ziel der Phishingmail-Absender ist der Diebstahl persönlicher Daten, meist auch durch das zusätzliche Herunterladen von Schadsoftware. Im Fokus stehen vor allem Passwörter, Kontodaten oder Zugangsdaten für Firmen- oder Social Media Accounts.

Der springende Punkt dabei ist, dass bei allen Emails, die ein Angreifer versendet, im Endeffekt nur ein Einziger reagieren und seine vertraulichen Informationen preisgeben muss, damit der Angreifer sein Ziel erreicht.

Die schon oft gehörten Aussagen wie „Ich bin doch nicht so wichtig, dass ich angegriffen werde.“ oder „Ich habe eh keine wichtigen Daten.“ kommen meist durch Unwissenheit. Deshalb ist es wichtig, davor die möglichen 4 Kategorien, in welche Phishing-Emails eingegliedert werden können, verstanden zu haben.

Dabei ist es meist nicht die Wichtigkeit der Person oder ihrer Daten selbst die eine Rolle spielt, sondern um welchen Typ Email es sich handelt. Die beiden Spear-Phishingtypen, die sich auf eine Firma oder eine individuelle Person beziehen, sind die mit den höheren Erfolgsaussichten für die Angreifer, da sowohl die Bedürfnisse als auch das Vertrauen des Opfers zu den Unternehmen ausgenutzt werden.

Vor Kurzem wurde eine Simulation mit einem österreichischen 2000 Mitarbeiter Unternehmen durchgeführt, bei der alle Angestellten gezielt spezifische Phishingmails erhalten haben. Das Unternehmen wollte damit herausfinden, wie sicher es gegen Phishingattacken ist. Schon nach knapp 10 Minuten konnten 57 Passwörter erlangt werden. Nach einer guten halben Stunde haben 50% aller Mitarbeiter des Unternehmens ihre Passwörter auf der gefälschten Website eingegeben.

Beispiele:

Doch jetzt stellt sich die viel wichtigere Frage – Wie kann ich mich vor solchen Attacken schützen? Die Schlüsselwörter sind Wissen und ein gewisses Bewusstsein für das Risiko dahinter zu entwickeln.

Wie kann ich mich schützen?

Es ist wichtig einmal die sogenannten Schlüsselcharakteristiken einer solchen Phishing-Email gehört und verstanden zu haben. Jegliche Antivirenscanner oder Spamfilter können nur bestimmte Muster in den Emails erkennen, verhindern aber nicht, dass Menschen auf diese Email eingehen und ihre Daten bekannt geben.

Anhand dieser 7 Indikatoren erkennen Sie Phishing Emails:

Absender

Achten Sie auf die Absenderadresse der Email und prüfen Sie ob diese mit dem Absender zusammenpassen.

Anrede

Ist die Anrede allgemein an die breite Masse oder direkt an Sie gerichtet?

Rechtschreibung

Achten Sie besonders auf Rechtschreib- und Grammatikfehler. Seriöse Unternehmen prüfen die Emails vor dem Absenden sehr genau.

Dringlichkeit

Oftmals wird durch eine gewisse Dringlichkeit versucht Druck aufzubauen und eine sofortige Handlung gefordert.

Links

Links sollten nur aus Emails direkt angeklickt werden, wenn die Mail auch erwartet wurde und schon sichergestellt werden konnte, dass es sich um keine Phishing-Email mit Links zu falschen Websites handelt. Bei Unsicherheiten ist es am Besten nachzufragen und den Link zu prüfen.

Anhänge

Anhänge sollten ebenfalls nur geöffnet werden, wenn Sie sich wirklich sicher sind.

Diese können nämlich auch Schadsoftware enthalten.

Zu-gut-um-wahr-zu-sein

Vorsicht ist geboten bei Emails mit Inhalten, die sich viel zu gut anhören, wie zum Beispiel der Gewinn von 1 Mio. Euro oder einer Weltreise.

Der Faktor Mensch ist im Fokus der Angreifer

Phishing Emails werden weiterhin das beliebteste Werkzeug der Angreifer bleiben, Tendenz steigend. Jedoch heißt das nicht, dass wir es den Angreifern auch so einfach wie möglich machen sollen. Daher ist es empfehlenswert, dass Unternehmen ihren Mitarbeitern und Mitarbeiterinnen Schulungen ermöglichen, um das Risiko, dass hinter solchen Attacken steckt, zu verstehen und versuchen zu verhindern.

Neben Mitarbeiterschulungen können auch Informationssicherheits-Veranstaltungen besucht oder Phishingsimulationen durchgeführt werden. Der Faktor Mensch steht heutzutage immer mehr im Fokus der Angreifer. Daher ist es umso wichtiger sich schützen zu lernen und ein Bewusstsein zu entwickeln mit solchen Herausforderungen, sei es zuhause oder in der Firma, zurecht zu kommen. Denn Angreifer werden nie aufhören, wir jedoch auch nicht.