Phishing – Die ständige Bedrohung für Unternehmen

26.05.2023

Phishing gehört zu einer der beliebtesten Methoden von Cyberkriminellen. Dies zeigt sich auch in den aktuellen Statistiken: Im dritten Quartal 2022 war die Anzahl an gemeldeten Phishing-E-Mails bei rund 127.000. Damit wuchs die Zahl um 94 % im Vergleich zum Vorquartal. Besonders betroffen sind SaaS-Lösungen und Webmail-Dienste der Finanz- und der IT-Sektoren. Wie hoch im Allgemeinen die Dunkelziffer ist, bleibt unbekannt.
Das Gefährliche: Phishing benötigt keine Programmierkenntnisse und kann beliebig oft wiederholt werden. So haben es Cyberkriminelle sehr einfach, ihren Machenschaften nachzukommen. anyworks zeigt dir, worauf du bei Phishing achten musst und wie du dein Unternehmen davor schützen kannst.

Was ist Phishing?

Phishing ist eine Methode, bei der versucht wird, sensible Daten durch eine betrügerische E-Mail oder Website zu erhalten. Es wird der Eindruck erweckt, es handelt sich dabei um ein legitimes Unternehmen oder eine seriöse Person. Dafür werden Nachrichten (bspw. E-Mails, SMS oder Anrufe) versendet, die den Empfänger dazu bringen sollen, auf einen Link zu klicken oder eine Website zu besuchen. Dort müssen sie entweder persönliche Daten angeben oder es werden mit dem Klick Inhalte heruntergeladen, die schädlich sein können.
Anders als bspw. beim E-Mail-Marketing von seriösen Unternehmen beinhalten die Nachrichten fehlerhafte Tatsachen. Dabei nutzen die Kriminellen den guten Namen anderer: So werden bspw. Nachrichten versendet, die vorgeben, von bekannten Banken oder Online-Großhändlern zu sein. Das erhöht die Wahrscheinlichkeit für die Kriminellen, dass ihre Opfer mit diesen Unternehmen bereits in Kontakt getreten sind. Nutzt dein Unternehmen bspw. PayPal, um Zahlungen abzuwickeln, kann eine Phishing-Nachricht von dem angeblichen PayPal-Anbieter sehr glaubhaft wirken.

Welche Arten von Phishing gibt es?

E-Mail-Phishing
Die bekannteste Form ist E-Mail-Phishing. Hierbei wird eine legitime Organisation oder Person nachgeahmt und registrieren eine Fake-Domain. Dabei setzen sie bspw. Zeichen wie ein r und ein n zusammen, um ein m zu simulieren. Aber auch Unternehmensnamen, die bereits bekannt sind, werden einfach in die Domain implementiert. Täglich werden tausende E-Mails mit generischen Anliegen verschickt, in der Regel mit einem besonders dringlichen Ton (z. B. geht es um einen unberechtigten Kontozugriff oder die umgehende Begleichung einer offenen Rechnung).

Spear Phishing
Innerhalb des Spear Phishings schicken Cyberkriminelle E-Mails an bestimmte Empfänger, über die die Kriminelle detaillierte Informationen gesammelt haben. Sie kennen bspw. den Namen, den Arbeitsplatz, den Job oder auch spezifische Informationen über die Person, die sie in den Nachrichten direkt ansprechen. All diese Informationen schaffen Vertrauen und erhöhen die Wahrscheinlichkeit, dass der Empfänger dem Inhalt der E-Mail glaubt und auf den Link klickt.

Whaling
Whaling imitiert die obere Führungsetage aus dem Unternehmen des Empfängers. CEO, CFO und andere hohe Mitarbeiter sind oftmals über das Unternehmen hinaus bekannt – wie ihre Kontaktadressen. So können Cyberkriminelle den Vorgesetzten nachahmen und versenden in seinem Namen eine Nachricht an einen Mitarbeiter, mit der Bitte, schnell eine Rechnung zu bezahlen oder eine Datei auf den PC zu laden. Teammitglieder sind zwar oft skeptisch, aber auch bereit, den Anweisungen eines CEO oder CFO blind zu folgen. Aus dieser Angst heraus schaffen es die Kriminellen, dass die Teammitglieder den Anweisungen in der E-Mail nachgehen.

Smishing & Vishing
Im Gegensatz zu den vorherigen Methoden sind beim Smishing und Vishing die Telefone und Handys das Angriffsziel. Beim Smishing werden SMS oder andere Textnachrichten versendet, deren Link der Empfänger anklicken soll. Vishing dagegen ist ein Telefonat mit den Betrügern. Auch hier imitieren die Betrüger bekannte Firmen, die ihre Opfer dazu bringen wollen, ihre Daten preiszugeben oder einen Vertrag zu kaufen, den sie nicht benötigen.

Angler Phishing
Die letzte und wohl neueste Form des Phishings ist das Angler Phishing. Diese Art beschreibt das Phishing über Social Media. Personen, die sich direkt an Unternehmen wenden, sind dabei das Ziel. Die Betrüger antworten den Personen in ihren persönlichen Nachrichten und empfehlen ihnen, auf den mitgesendeten Link zu klicken.

Wie erkenne ich Phishing?

Das Bundesamt für Sicherheit und Informationstechnik (kurz: BSI) hat eine ausführliche Liste erstellt, welche Merkmale eine Phishing-Nachricht hat:

• Der Text gibt einen dringenden Handlungsbedarf vor.
• Innerhalb der Nachrichten kommen Drohungen zum Einsatz (z. B. „Sie müssen unbedingt zahlen, damit wir Ihr Konto nicht sperren müssen.“).
• In der Antwort auf die Nachricht oder auf der vom Link weitergeleiteten Website wirst du aufgefordert, vertrauliche Daten anzugeben (bspw. PIN oder Kreditkartennummer).
• Die Nachricht enthält Links oder Formulare, die genutzt werden sollen.
• Die Nachricht kommt mutmaßlich von einer seriösen Organisation oder bekannten Person, jedoch scheint das Anliegen oder die Absenderadresse ungewöhnlich.

Fällt dir eine dieser Eigenschaften auf, hast du verschiedene Möglichkeiten, mit dem Phishing umzugehen.

Phishing erkannt! Was tun?

Hast du eine Nachricht erhalten, von der du glaubst, dass es sich dabei um Phishing handeln könnte, hast du verschiedene Möglichkeiten.
Eine einfache Lösung ist es, die E-Mail zu ignorieren. Auch wenn in ihr mit Zahlungsforderungen oder anderen Strafen gedroht wird, besteht selten ein Grund zur Sorge. Die Betrüger haben keinerlei Recht, etwas zu fordern, und das wissen sie auch. Sie spielen mit der Angst ihrer Opfer, eine Strafe zu erhalten.
Bist du dir nicht hundertprozentig sicher, ob es sich bei der Nachricht um Phishing handelt, solltest du einen Kollegen bitten, sich die Nachricht anzusehen. Vier Augen sehen mehr als zwei. Wenn auch ihm die E-Mail merkwürdig vorkommt, handelt es sich höchstwahrscheinlich um Phishing. Ist dies nicht der Fall, wird sich der Absender mit Sicherheit erneut mit seinem Anliegen bei dir melden. Um dem zuvorzukommen, kannst du den Absender auf einem anderen Kommunikationsweg fragen, ob die E-Mail tatsächlich von ihm stammt oder sich dein Verdacht des Phishings bestätigt. Antworte dabei nicht direkt auf die vermeintliche Phishing-Nachricht, sondern schreibe eine neue E-Mail oder rufe die Person unter den dir bekannten Kontaktdaten einfach an.
Darüber hinaus kannst du deine IT-Abteilung kontaktieren und sie bitten, die Nachricht zu prüfen. Dort sollten die neuesten Phishing-Nachrichten bekannt sein.
Diese Methoden sind zwar alle gut, bieten jedoch niemals einen hundertprozentigen Schutz. Die Nachrichten kommen immer noch bei dir an und die Gefahr besteht, dass du darauf reinfällst. Deshalb ist der Königsweg eine Cyber Security-Software wie Hornetsecurity 365 Total Protection Enterprise Backup oder Mimecast. Diese werden regelmäßig aktualisiert und passen sich an die veränderten Bedingungen an.

Fazit

Phishing ist und bleibt eine der beliebtesten Methoden von Cyberkriminellen. Sie ist leicht durchzuführen und es wird vermutlich immer Personen geben, die auf diese Machenschaft hereinfallen. Unternehmen sind daher in der Pflicht, ihre Mitarbeiter regelmäßig zu schulen und durch den Einsatz von Anwendungen dafür zu sorgen, dass das Risiko auf ein Minimum reduziert wird.