Anzeige
implexis
Anzeige
HIS-Tagung
Mit Phishing-Attacken möchten Kriminelle vertrauliche Informationen herausfinden. (Foto: Pixabay/Geralt)
A- A A+
Security  |

Die Phishing-Attacke: Angeln nach Zugangsdaten

Täter versuchen bei einer betroffenen Person ein Gefühl der Angst, Neugierde oder einen Handlungsdruck zu erzeugen. Auf diese Weise möchten sie die Opfer dazu veranlassen, vertrauliche Informationen wie Benutzername, Passwort oder Kreditkartennummer preiszugeben. Ein Beispiel ist ein kürzlich erfolgter Angriff auf Gmail, von der rund eine Milliarde Nutzer des E-Mail-Dienstes weltweit betroffen waren.

Wenngleich es sich hierbei um ein scheinbar authentisches Anmeldeformular von Gmail handelte, wurde die URL leicht abgeändert. Wer das Formular ausfüllte, erteilte Hackern den vollständigen Zugriff auf sein Gmail-Konto. Mit derartigen Phishing-Angriffen beabsichtigen Kriminelle, möglichst viele User zu erreichen und auf diese Weise ihre Erfolgschancen zu erhöhen.

Spear-Phishing

Weitaus gezieltere Angriffe bezeichnet man als „Spear Phishing“. Der Name setzt sich zusammen aus dem englischen Wort „Spear“ (Speer) und dem Neologismus „Phishing“, abgeleitet vom Wort „Fishing“ (Fischen). Verwendet wird der Begriff, wenn ein Krimineller es auf eine bestimmte Person oder eine begrenzte Anzahl von Personen abgesehen hat. Ein Spear-Phishing-Angriff kann äußerst effektiv sein, da Täter in ihren Mitteilungen eine individuell auf jede Person zugeschnittene Ausdrucksweise verwenden können.

Ein Beispiel: Der vermeintliche CEO Ihres Unternehmens lädt einige seiner Mitarbeiter per E-Mail zu einer Besprechung ein. Über einen Link werden die Nutzer nachfolgend dazu aufgefordert, sich bei Gmail einzuloggen, um die Teilnahme an der Besprechung zu bestätigen.

Die Idee ist die gleiche wie bei allgemeinen Phishing-Angriffen: Täter versuchen, mithilfe eines bösartigen Links an vertrauliche Informationen zu gelangen. Spear-Phishing-Angriffe haben jedoch die Besonderheit, dass der Angriff auf eine Art und Weise kontextualisiert wird, die zusätzliche Dringlichkeit erzeugt. So können Opfer leichter zur Unachtsamkeit verleitet werden. Mitarbeiter bilden hierbei das größte Risiko für ein Unternehmen, da sie vermutlich nicht dazu in der Lage sind, eine Phishing-E-Mail von einer legitimen E-Mail zu unterscheiden, prognostiziert beispielsweise Intel.

Phishing-Statistiken kennen

Um sich und sein Unternehmen vor einem unvermeidlichen Angriff zu schützen, ist es wichtig, das gesamte Ökosystem des Phishings zu verstehen. Dem Bericht „Enterprise Phishing Resiliency and Defense Report“ von Phish Me zufolge sind Phishing-Versuche im letzten Jahr um 65 % gestiegen. Laut Symantec betrifft dies Unternehmen fast aller Branchen und Größen. Weder Firmen noch vertikale Märkte sind immun gegen derartige Angriffe. Nach Aussage des jährlichen Berichts „State of the Phish“ von Wombat Security gaben 76 Prozent der Unternehmen an, im vergangenen Jahr angegriffen worden zu sein. Zielnutzer öffneten etwa 30 Prozent der Phishing-Nachrichten, 12 Prozent von ihnen klickten auf den bösartigen Anhang oder Link, so berichtet es der „Data Breach Investigations Report“ des Unternehmens Verizon. Das SANS-Institut teilt mit, dass 95 Prozent aller Angriffe auf Unternehmensnetzwerke das Ergebnis einer erfolgreichen Spear-Phishing-Attacke sind. Dem „Threat Report“ von Webroot zufolge werden monatlich rund 1,5 Millionen neue Phishing-Websites erstellt.

Folgen einer Phishing-Attacke

Dem Netzwerk Deloitte zufolge gab ein Drittel der Verbraucher an, dass sie nach einer Cyber-Sicherheitslücke den Umgang mit dem betroffenen Unternehmen vermeiden würden, auch wenn sie keinen materiellen Schaden davontrügen. Ein erfolgreicher Angriff kann dementsprechend verheerende Folgen für ein Unternehmen haben. Gerät die Nachricht eines Datenlecks an die Öffentlichkeit, kann dies das Markenimage und Markenvertrauen vernichten.

Schutz vor Phishing-Attacken

  1. Um Datenleck-Szenarien zu vermeiden ist es wichtig, Mitarbeiter über die neuesten Sicherheitsangriffe und Schutzmaßnahmen zu informieren. Laut Phish Me beläuft sich die Anfälligkeit von Unternehmen für eine Phishing-Attacke auf lediglich 5 Prozent, wenn Mitarbeiter gut geschult sind und Phishing-Tests ordnungsgemäß ausgeführt und dokumentiert werden.
  2. Spezialisierte Dienstleister verfügen über Tools, mit denen sie das Bewusstsein der Mitarbeiter für IT-Sicherheit steigern und die Wahrscheinlichkeit einer erfolgreichen Phishing-Attacke auf ein Unternehmen minimieren können.
  3. Mitarbeiter können durch bloßes Anklicken von Links oder Anhängen Opfer von Phishing-Angriffen werden. Kriminelle verwenden auch oftmals Links, um Benutzer auf gefälschte Seiten bekannter Websites zu locken und über die Benutzernamen und Passwörter der Mitarbeiter Zugang zu den authentischen Websites zu erhalten. Ein Passwort-Manager kann diese Gefahr verhindern, da diese Lösung eine Technologie zum automatischen Ausfüllen von Web-Formularen sowie zur automatischen Anmeldung verwendet. Eine Website wird so zunächst analysiert, bevor die vertraulichen Informationen eines Benutzers ausgefüllt werden. Neben der Abwehr von Phishing-Attacken ermöglicht ein Passwort-Manager Mitarbeitern, starke und einzigartige Passwörter zu verwenden und so die Angriffsfläche für Hacker zu begrenzen.  

Foto: Pixaby/Geralt

Weitere Informationen: www.dashlane.com