Phishing-Angriffe: Wie man sie erkennt und Unternehmen davor schützt

Phishing-Angriffe: Wie man sie erkennt und Unternehmen davor schützt

By George Rouse

Cyberkriminalität nimmt immer weiter zu und die Angreifer nutzen jede Gelegenheit, um die Unwissenheit der Opfer auszunutzen. Sie verschaffen sich Zugang zu persönlichen Daten, die sie dann illegal zu Geld machen. Die Arbeit aus dem Homeoffice erhöht das Risiko von Cyberangriffen zusätzlich.

Eine häufig genutzte Taktik der Angreifer ist Phishing. Mit Phishing-Nachrichten wollen Cyberkriminelle an sensible Daten einer Person oder eines Unternehmens gelangen. Wenn Ihre Mitarbeitenden Opfer von Phishing-Attacken werden, kann dies das gesamte Netzwerk Ihres Unternehmens beeinträchtigen, indem Malware und Viren über Internetverbindungen übertragen werden.

Eine einzige Phishing-E-Mail kann zu Ausfallzeiten für Ihr gesamtes Unternehmen führen und kostet kleine Unternehmen durchschnittlich 47.190 Euro. Je raffinierter die Betrugsversuche werden, desto schwieriger ist es, sie zu erkennen. Bereiten Sie Ihr Team auf die Bedrohung vor und erfahren Sie, wie man Phishing-Angriffe erkennt, bevor sie zu einem Problem werden.

Hier sind fünf verschiedene Arten von Phishing-Angriffen, die Sie kennen sollten:

1. Massenkampagnen

Phishing-E-Mails werden als legitime Nachrichten eines existierenden Unternehmens getarnt und an eine große Anzahl an E-Mail-Adressen geschickt. Die Nachrichten fordern die Empfänger auf, ihre Anmeldedaten oder Kreditkarteninformationen einzugeben. Cyberkriminelle, die die Methode des E-Mail-Spoofings nutzen, können auf den ersten Blick wie vertrauenswürdige Absender erscheinen, aber es gibt einige Indikatoren, auf die man achten sollte:

  • Sehen die angegebenen Informationen seriös aus? Achten Sie auf Dinge wie Rechtschreibfehler oder eine Absender-E-Mail-Adresse, die die falsche Domain enthält.
  • Überprüfen Sie die Nachricht auf Logos, die merkwürdig oder gefälscht aussehen.
  • Ignorieren Sie E-Mails, die nur ein Bild und sehr wenig Text enthalten.

2. Spear-Phishing

Spear Phishing-E-Mails zielen auf eine bestimmteOrganisation oder Einzelpersonen ab.

  •  Achten Sie auf interne Anfragen, die von Personen aus anderen Abteilungen kommen oder im professionellen Kontext ungewöhnlich erscheinen.
  • Seien Sie bei Links zu Dokumenten auf Kollaborationsplattformen wie Google Workplace,Microsoft 365 und Dropbox misstrauisch. Diese können Sie statt auf die bekannten Plattformen auf eine gefälschte, bösartige Website umleiten.
  • Dokumente, die eine Anmelde-ID und ein Passwort erfordern, können dazu genutzt werden, Ihre Anmeldedaten zu stehlen.
  • Klicken Sie nicht auf einen Link von einer scheinbar bekannten Website. Gehen Sie stattdessen selbst über den Browser auf die Website. Auf diese Weise können Sie sicher sein, dass Sie auf die richtige Website gelangen und nicht auf eine Phishing-Website.

3. Whaling

Whaling-Angriffe sind Spear-Phishing-Angriffe, die sich speziell an Angestellte in führenden Positionen oder mit Zugriff auf wichtige Daten richten, um Zugang zu Unternehmensplattformen oder Finanzinformationen zu erhalten.

  • Wenn ein Mitglied der obersten Führungsebene erstmals mit Ihnen Kontakt aufnimmt und direkt um Daten oder Informationen bittet, sollten Sie misstrauisch sein.
  • Vergewissern Sie sich, dass die Nachricht an die geschäftliche E-Mail-Adresse des Unternehmens und nicht an eine private Adresse gesendet wurde.
  • Lassen Sie sich auch von dringenden Anfragen nicht verunsichern. Nehmen Sie sich die Zeit, eine separate E-Mail/Chatnachricht zu schicken oder den Empfänger anzurufen, um die Anfrage zu überprüfen.

4. Clone-Phishing

Der Angreifer kopiert eine legitime E-Mail, die ursprünglich von einer vertrauenswürdigen Organisation stammt, und fügt einen Link ein, der auf eine

bösartige/gefälschte Website weiterleitet.

  • Seien Sie bei unerwarteten E-Mails von Dienstleistern misstrauisch.
  • Achten Sie auf E-Mails, in denen persönliche Daten angefordert werden, die der Dienstleister noch nie zuvor verlangt hat. Wenn Sie wissen, dass die Anfrage legitim ist, gehen Sie am besten über den Browser auf die Website und geben die Daten dort ein.

5. Pretexting

Beim Pretexting tritt ein Angreifer zunächst über einen anderen Kanal (z. B. Voicemail) mit Ihnen in Kontakt, um anzukündigen, dass Sie in Kürze eine E-Mail erhalten. Diese Methode soll bei Ihnen den Anschein erwecken, dass die E-Mail ungefährlich ist.

Was können Sie tun, wenn Sie glauben, eine Phishing-E-Mail erhalten zu haben?

Cyber-Kriminelle wenden ausgefeilte Tricks an, um Menschen dazu zu bringen, eine E-Mail zu öffnen, auf Links zu klicken oder andere Aktionen auszuführen. So versuchen sie beispielsweise, Menschen psychologisch zu manipulieren, um sie dazu zu bringen, Informationen preiszugeben. Beispiele für diese Social Engineering genannte Manipulation im Zusammenhang mit Phishing-E-Mails sind:

  • Sie werden aufgefordert, auf etwas zu klicken, um etwas zu erhalten.
  • Sie werden von einem Unternehmen dazu aufgefordert, Kreditkarteninformationen oder Ihr Passwort zu aktualisieren.
  • Sie werden zeitlich unter Druck gesetzt, eine bestimmte Aktion auszuführen.
  • Sie erhalten ein Angebot, das Sie nicht erwartet haben.

Ist die E-Mail echt, oder soll sie nur echt aussehen?

Suchen Sie in der E-Mail nach Hinweisen, die Ihnen Aufschluss über die Echtheit der Nachricht geben.

  • Überprüfen Sie die tatsächliche E-Mail-Adresse des Absenders.
  • Achten Sie auf Grammatik- oder Rechtschreibfehler.
  • Werden Sie bei unerwarteten Nachrichten oder Absendern misstrauisch.

Wenn Sie auf einen Link geklickt haben und auf eine Webseite gelangt sind:

  • Stimmt die URL mit dem Look der Marke überein?
  • Sieht die Webseite so aus, wie Sie erwartet haben?
  • Achten Sie auf die Struktur, die Farben, andere Seiten innerhalb der Website und das Hauptmenü.
  • Seien Sie bei den folgenden Marken besonders vorsichtig:

Das sind die am häufigsten für Phishing-Versuche verwendeten Marken:

Phishing-Angriffe: Wie man sie erkennt und Unternehmen davor schützt
Quelle: CheckPoint

Vorsicht! Phishing-Betrüger geben sich als Dateisynchronisierungs-und Kollaborationsplattformen aus und senden Ihnen gefälschte Dokumente oder Ordner zu, um damit Ihren Computer zu infizieren.

E-Mails sind nach wie vor die am weitesten verbreitete Form der Kommunikation im geschäftlichen Kontext und Phishing-E-Mails bedrohen Unternehmen aller Größen und in allen Branchen. Um sich und Ihr Unternehmen zu schützen, sollten Sie lernen, wie Sie eine Phishing-E-Mail erkennen können.

Stoppen Sie Phishing, bevor es gefährlich wird!

Es ist wichtig, Ihre Mitarbeitenden darin zu schulen, wie sie Phishing-Betrügereien erkennen können. Sie müssen allerdings trotzdem davon ausgehen, dass früher oder später ein Angriff erfolgreich sein wird. Sprechen Sie mit Datto, um zu erfahren, wie das automatische Scannen von Microsoft 365 E-Mail- und Collaboration-Tools Cyberattacken stoppen kann, bevor sie beginnen.

Vorstellung von Datto SaaS Defense: Erweiterter Bedrohungsschutz (Advanced Threat Protection) nun verfügbar

SaaS Defense ist ab sofort verfügbar. Nehmen Sie an einer virtuellen Live-Diskussion über den umfassenden Bedrohungsschutz und die Spam-Filterlösung von Datto für MSPs teil.

Ressource anzeigen

Suggested Next Reads