Phishing-Schutz: Eine Checkliste für Anwender

Phishing-Prävention erfordert eine Kombination aus Menschen, Prozessen und Technologien:

• Mitarbeitende. Damit sind Endnutzer gemeint, die Ziel von Phishing-Betrug sind und gleichzeitig die erste Verteidigungslinie gegen solche Angriffe bilden. Dazu gehören auch die Teams, die in einem Unternehmen Schulungen zum Thema Sicherheit durchführen, sowie die Mitglieder des Sicherheitsteams, die Phishing-Vorfälle überwachen, erkennen und darauf reagieren.
• Prozesse. Dazu gehören Schulungen zum Sicherheitsbewusstsein und Phishing-Simulationen, in denen Mitarbeiter in Bezug auf Phishing-Versuche geschult und getestet werden. Prozesse beziehen sich auch auf Notfallpläne und Sicherheitsrichtlinien, die festlegen, wie auf Phishing-Vorfälle zu reagieren ist und wie die Wiederherstellung nach einem Vorfall erfolgt.
• Technologien. Dabei handelt es sich um Protokolle, Tools und Dienste, die Phishing-Versuche scannen und blockieren, Kontoübernahmen verhindern, bösartige Websites filtern, die Ausführung von Malware auf Geräten verhindern und vieles mehr.

Nachfolgend betrachten wir, wie man Phishing erkennt, darauf reagiert, meldet und verhindert.

Wie erkennt man Phishing-Versuche?

Früher waren Phishing-E-Mails relativ leicht zu erkennen. Die meist an Consumer gerichtete Massen-Mails sind immer noch weit verbreitet, aber die Angreifer sind heute überzeugender und individueller als je zuvor.

Wenn Sie eine verdächtige E-Mail erhalten, gehen Sie wie folgt vor:

• Achten Sie auf Tippfehler. Viele Phishing-E-Mails enthalten Grammatikfehler und Rechtschreibfehler.
• Überprüfen Sie die Absenderadresse. Wenn Sie diese nicht erkennen, seien Sie vorsichtig. Angreifer fälschen Absenderadressen, damit ihre E-Mails den Anschein erwecken, von legitimen Absendern zu stammen. Überprüfen Sie die IP-Adresse im Quellcode der E-Mail, um festzustellen, ob Sie diese zu einem legitimen Kontakt zurückverfolgen können. Wenn die E-Mail von einer echten E-Mail-Adresse stammt, wenden Sie sich separat an den angeblichen Absender, um sicherzustellen, dass die E-Mail echt ist.
• Schauen Sie sich die Anrede an. Allgemeine Anreden wie „Sehr geehrte Damen und Herren“ oder „Kunde“ oder das Fehlen eines Namens könnten auf einen Phishing-Versuch hindeuten.
• Überprüfen Sie die Domäne des Absenders. Achten Sie auf unzulässige Domänen. Prüfen Sie, ob die Domäne tatsächlich vertrauenswürdig ist oder gefälscht wurde. Beispiele hierfür sind tectharget.com oder tech1arget.com anstelle der echten Domäne techtarget.com.
• Seien Sie vorsichtig bei E-Mails, die ein Gefühl der Dringlichkeit vermitteln. Viele Angreifer versuchen, Menschen durch dringliche, zeitkritische Formulierungen oder durch Einschüchterung zu verunsichern. Handeln Sie nicht übereilt und ohne nachzudenken, sondern hinterfragen Sie die E-Mail und ihre Echtheit.
• Seien Sie vorsichtig bei E-Mails, in denen Sie nach vertraulichen Informationen gefragt werden, und geben Sie niemals Daten weiter. Vertrauen Sie niemals E-Mails, SMS oder Websites, in denen Sie nach persönlichen, geschäftlichen oder finanziellen Informationen gefragt werden. Seriöse Unternehmen fragen niemals nach solchen Daten. Wenn Sie Bedenken hinsichtlich eines Kontos haben, wenden Sie sich unter einer Ihnen bekannten Telefonnummer an das Unternehmen. Wenn Sie sensible Daten auf einer Website eingeben müssen, rufen Sie diese auf, indem Sie die URL in den Browser eingeben. Klicken Sie niemals auf einen Link in einer E-Mail und kopieren Sie diesen auch nicht. Vergewissern Sie sich außerdem, dass die Website sicher ist, indem Sie in der Browserleiste nach einem Schlosssymbol suchen und sicherstellen, dass die URL mit HTTPS beginnt. Es sollte selbstverständlich sein: Geben Sie niemals Ihre Passwörter weiter.
• Vorsicht vor Identitätsdieben. Phishing-Betrug hat sich von wahllosen Angriffen, bei denen eine Taktik auf mehrere Opfer angewendet wird, zu gezielteren, personalisierten Angriffen entwickelt, wie Spear Phishing, Whaling und Business E-Mail Compromise (BEC) zeigen. Bei solchen Angriffen suchen böswillige Akteure im Internet nach Informationen, mit denen sie sich als bekannte Kontakte ausgeben und legitime Kommunikationen und Transaktionen vortäuschen können.

Überprüfen Sie immer, wer die E-Mail gesendet hat, und wenden Sie sich im Zweifelsfall separat über einen anderen Kommunikationsweg an den angeblichen Absender, um sicherzustellen, dass die E-Mail echt ist.

Wie reagiert man auf einen Phishing-Versuch?

Wenn Sie vermuten, dass Sie Opfer eines Phishing-Betrugs geworden sind, gehen Sie wie folgt vor:

• Achten Sie auf Anzeichen für Phishing. Verwenden Sie die oben stehende Liste, um Phishing-Versuche zu erkennen.
• Klicken Sie nicht auf Links und laden Sie keine Anhänge herunter. Antworten Sie niemals auf verdächtige Nachrichten, klicken Sie nicht auf Links und laden Sie keine Anhänge herunter. Alle drei Aktionen können dazu führen, dass Malware auf Ihrem Computer installiert wird. Klicken Sie außerdem niemals auf nicht vertrauenswürdige verkürzte URLs, wie beispielsweise Bitly- oder TinyURL-Links.
• Kopieren Sie keine Links und fügen Sie diese nicht ein. Kopieren Sie niemals Links aus verdächtigen E-Mails und fügen Sie diese ein. Sie können zwar mit der Maus über einen Link fahren, um dessen Ziel anzuzeigen, dies ist jedoch nicht immer ein Hinweis darauf, dass der Link sicher ist. Angreifer können mithilfe von Codierung die URL so gestalten, dass sie wie ein legitimer Link aussieht.
• Melden Sie die Phishing-E-Mail Ihrem Unternehmen. Einige Unternehmen haben eine spezielle E-Mail-Adresse, an die Benutzer verdächtige Aktivitäten melden können. Oftmals findet sich auch direkt im Mail-Programm wie Outlook eine entsprechende Meldefunktion des eigenen Unternehmens – etwa mit einer gesonderten Schaltfläche. Wenn Sie Phishing-Nachrichten an Ihre Unternehmens-E-Mail-Adresse erhalten, melden Sie diese nach Möglichkeit. Ebenso haben einige bestimmte Anbieter und Dienstleister, die Gefahr laufen, Opfer von Spoofing zu werden, Websites oder E-Mail-Adressen, über die Betrugsfälle gemeldet werden können.

Wie man Phishing in Unternehmen vorbeugt und darauf reagiert

Die Prävention von Phishing in Unternehmen umfasst Schulungsprogramme zur Sensibilisierung für Sicherheitsfragen, eine strenge Verwaltung von Anmeldedaten, Sicherheits-Tools und Patch-Management.

Schulung zum Sicherheitsbewusstsein

Phishing-Prävention in Form von Schulungen zur Sensibilisierung der Mitarbeiter für Sicherheitsfragen ist eine der wirksamsten Methoden, mit denen Unternehmen der zunehmenden Zahl und Komplexität dieser Bedrohung begegnen können. Bringen Sie Ihren Mitarbeitern bei, wie sie Phishing-Angriffe erkennen und darauf reagieren können. Sicherheitsteams sollten regelmäßig Schulungen durchführen, in denen nicht nur die Gefahren von Phishing erneut aufgezeigt werden, sondern auch neue und bestehende Bedrohungen behandelt werden.

Fördern Sie während der Schulung eine Sicherheitskultur. Erläutern Sie den Mitarbeitern ihre Rolle bei der Absicherung des Unternehmens und der Aufrechterhaltung der Cyberhygiene.

Verwaltung von Anmeldedaten

Verpflichten Sie Ihre Mitarbeiter zur Einhaltung bewährter Verfahren für die Passworthygiene, wie beispielsweise die Erstellung von Passwörtern oder Passphrasen, die leicht zu merken, aber für Angreifer schwer zu erraten sind. Verlassen Sie sich nicht auf Kombinationen aus Benutzername und Passwort. Verwenden Sie MFA (Multifaktor-Authentifizierung), um die Passwortsicherheit um weitere Ebenen zu erweitern.

Erstellen Sie eine Passwortrichtlinie, die die Vorgaben des Unternehmens festlegt.

Sicherheits-Tools

Die folgenden Tools und Kontrollen können Phishing-E-Mails zwar nicht vollständig verhindern, aber sie helfen dabei, deren Anzahl zu minimieren:

• Nutzen Sie Antiviren- und Antimalware-Software.
• Setzen Sie E-Mail-Filtertools ein, die verdächtige E-Mails vor der Zustellung scannen und blockieren.
• Nutzen Sie eine Firewall, die verdächtige IP-Adressen und Websites blockieren kann.
• Verwenden Sie URL-Filter, um bekannte bösartige Websites zu blockieren.
• Konfigurieren Sie Anti-Spoofing-Protokolle wie DMARC, SPF und DKIM, um E-Mail-Adressfälschungen zu verhindern.
• Verwenden Sie Phishing-resistente MFA.

Patch-Management

Installieren Sie Updates und Patches für Software, Systeme und Browser. Alle gängigen Webbrowser verfügen über Anti-Phishing-Funktionen, aber wenn diese nicht auf dem neuesten Stand sind, erkennen sie die neuesten bekannten bösartigen Websites nicht.

Halten Sie ebenfalls alle Software und Hardware auf dem neuesten Stand, einschließlich Antimalware und anderer Tools, um deren wirksamen Schutz vor Bedrohungen zu gewährleisten.

Zusätzliche Sicherheitsmaßnahmen

Weitere Schutzmaßnahmen gegen Phishing umfassen Folgendes:

• Wenden Sie das Prinzip der geringsten Berechtigungen (POLP) an.
• Führen Sie regelmäßige Überprüfungen der Benutzerzugriffe durch.
• Verwenden Sie Security-Monitoring-Tools, um Angriffe frühzeitig zu erkennen.
• Halten Sie einen Plan für die Reaktion auf Vorfälle bereit, um auf Phishing-Angriffe reagieren zu können.
• Verwenden Sie Ende-zu-Ende-Verschlüsselung, um die Kommunikation zu schützen.

Die unterschiedlichen Arten der Phishing-Angriffe im Überblick

Phishing ist eine Form des Social Engineering, bei der Angreifer Benutzer dazu verleiten, Zugang zu Daten und Systemen zu gewähren. Die Motive der Angreifer reichen vom Herunterladen von Malware (zum Beispiel Ransomware) über den Diebstahl von Anmeldedaten bis hin zur Überlistung von Benutzern, damit diese sensible Informationen wie Kreditkartennummern und Unternehmensdaten weitergeben.

Dabei existiert eine ganze Reihe gängiger Arten des Phishings:

• Nach wie vor ist E-Mail-Phishing die häufigste Form dieser Angriffsart. Angreifer versenden E-Mails mit präparierten Links oder Anhängen, um ihre wenig redlichen Ziele zu erreichen.
• Spear-Phishing ist die gezieltere Variante des E-Mail-Phishing. Hier werden häufig bestimmte Mitarbeiter eines Unternehmens ganz gezielt angegriffen.
• Vom Whaling spricht man hingegen, wenn sich der Angriff nicht nur gegen bestimmte, sondern auch besonders hochkarätige Anwender im Unternehmen richtet, beispielsweise die Geschäftsführung oder kaufmännische Leitung.
• Vishing oder auch VoIP-Phishing ist ein betrügerischer Angriff der per Sprache, also etwa via Telefon durchgeführt wird.
• Pharming wird auch als Phishing ohne Köder bezeichnet. Bei einer Methode des Pharming wird das System so manipuliert, dass die Opfer auf einer präparierten Website landen, obwohl sie die legitime Adresse in den Browser eingegeben haben. Pharming nutzt Schwächen im DNS-Protokoll, so dass eine legitime IP-Adresse im Cache durch eine bösartige ersetzt wird.
• Beim Smishing oder auch SMS Phishing erfolgt der Angriff nicht per E-Mail, sondern per Textnachricht.
• Von Social-Media-Phishing ist die Rede, wenn die Phishing-Nachrichten über Social-Media-Plattformen gesendet werden.
• Beim Suchmaschinen-Phishing, auch bekannt als SEO Poisoning, nutzen Angreifer die Suchmaschinenoptimierung, um ihre gefälschten Websites in der Online-Suche weit oben zu platzieren. Benutzer, die auf den Link zur gefälschten Website klicken, sehen eine legitim aussehende Seite, die in Wirklichkeit bösartig ist.
• Beim Klon-Phishing kopieren böswillige Akteure eine zuvor zugestellte E-Mail, ersetzen aber die legitimen Links oder Anhänge durch böswillige.
• Angler-Phishing liegt vor, wenn sich ein Angreifer auf einem gefälschten Social-Media-Konto eines Unternehmens als Kundendienstmitarbeiter ausgibt. So kann ein Kunde, der sich online über eine Bank beschwert, von einem legitim aussehenden Social-Media-Konto dieser Bank kontaktiert werden, um das Problem zu lösen, während das wahre Motiv des Angreifers darin besteht, den Kunden dazu zu bringen, Malware herunterzuladen oder persönliche Daten weiterzugeben.
• Beim QR-Phishing, auch als Quishing bekannt, werden Nutzer dazu verleitet, mit ihrem Telefon einen QR-Code zu scannen, der sie zum Herunterladen von Malware verleitet oder sie dazu verleitet, sensible Daten weiterzugeben.