Phishing? Beispiele, Typen und Techniken
Phishing ist eine Art Cybersicherheitsangriff, bei dem böswillige Akteure Nachrichten senden, die vorgeben, eine vertrauenswürdige Person oder Entität zu sein. Phishing-Nachrichten manipulieren einen Benutzer und veranlassen ihn, Aktionen wie das Installieren einer schädlichen Datei, das Klicken auf einen schädlichen Link oder die Preisgabe sensibler Informationen wie Zugangsdaten durchzuführen. Phishing ist die häufigste Art von Social Engineering, ein allgemeiner Begriff, der Versuche beschreibt, Computerbenutzer zu manipulieren oder auszutricksen.
Social Engineering ist ein immer häufiger auftretender Bedrohungsvektor, der bei fast allen Sicherheitsvorfällen zum Einsatz kommt. Social-Engineering-Angriffe wie Phishing werden oft mit anderen Bedrohungen wie Malware, Code-Injection und Netzwerkangriffen kombiniert.
Wie Phishing funktioniert
Das Grundelement eines Phishing-Angriffs ist eine Nachricht, die per E-Mail, über soziale Medien oder andere elektronische Kommunikationsmittel gesendet wird.
Ein Phisher kann öffentliche Ressourcen, insbesondere soziale Netzwerke, nutzen, um Hintergrundinformationen über die persönliche und berufliche Erfahrung seines Opfers zu sammeln. Diese Quellen werden verwendet, um Informationen wie den Namen, die Berufsbezeichnung und die E-Mail-Adresse des potenziellen Opfers sowie Interessen und Aktivitäten zu sammeln. Der Phisher kann diese Informationen dann verwenden, um eine zuverlässige gefälschte Nachricht zu erstellen.
Typischerweise scheinen die E-Mails, die das Opfer erhält, von einem bekannten Kontakt oder einer bekannten Organisation zu stammen. Angriffe werden über schädliche Anhänge oder Links zu schädlichen Websites ausgeführt. Angreifer richten häufig gefälschte Websites ein, die scheinbar im Besitz einer vertrauenswürdigen Einheit wie der Bank, des Arbeitsplatzes oder der Universität des Opfers sind. Über diese Websites versuchen Angreifer, private Informationen wie Benutzernamen und Passwörter oder Zahlungsinformationen zu sammeln.
Einige Phishing-E-Mails können aufgrund schlechter Texterstellung und unsachgemäßer Verwendung von Schriftarten, Logos und Layouts identifiziert werden. Viele Cyberkriminelle werden jedoch immer raffinierter darin, authentisch aussehende Nachrichten zu erstellen, und verwenden professionelle Marketingtechniken, um die Effektivität ihrer E-Mails zu testen und zu verbessern.
Wie kommt es zum Phishing im Großen Stil?
Alle Tools, die zum Starten von Phishing-Kampagnen benötigt werden (bekannt als Phishing-Kits ), sowie Mailinglisten sind im Dark Web leicht verfügbar , was es Cyberkriminellen, selbst solchen mit minimalen technischen Kenntnissen, leicht macht, Phishing-Angriffe durchzuführen.
Ein Phishing-Kit bündelt Ressourcen und Tools für Phishing-Websites, die nur auf einem Server installiert werden müssen. Nach der Installation muss der Angreifer lediglich E-Mails an potenzielle Opfer senden.
Einige Phishing-Kits ermöglichen es Angreifern, vertrauenswürdige Marken zu fälschen, wodurch die Wahrscheinlichkeit erhöht wird, dass jemand auf einen betrügerischen Link klickt.
Was eine Phishing-E-Mail bewirken kann
Es gibt verschiedene Möglichkeiten, Angriffe in Kategorien aufzuteilen. Einer ist der Zweck des Phishing-Versuchs – was er beabsichtigen soll. Im Allgemeinen versucht eine Phishing-Kampagne, das Opfer dazu zu bringen, eines von zwei Dingen zu tun:
- Übergeben von sensiblen Informationen – Diese Nachrichten zielen darauf ab, den Benutzer dazu zu bringen, wichtige Daten preiszugeben – häufig einen Benutzernamen und ein Passwort, mit denen der Angreifer in ein System oder Konto eindringen kann. Die klassische Version dieses Betrugs besteht darin, eine E-Mail zu versenden, die so gestaltet ist, dass sie wie eine Nachricht von einer großen Bank aussieht; Indem sie die Nachricht an Millionen von Menschen spammen, stellen die Angreifer sicher, dass zumindest einige der Empfänger Kunden dieser Bank sein werden. Das Opfer klickt auf einen Link in der Nachricht und wird zu einer bösartigen Website weitergeleitet, die der Webseite der Bank ähnelt, und gibt dann hoffentlich seinen Benutzernamen und sein Passwort ein. Der Angreifer kann nun auf das Konto des Opfers zugreifen.
- Download von Malware – Wie viele Spam-Mails zielen auch diese Arten von Phishing-E-Mails darauf ab, das Opfer dazu zu bringen, seinen eigenen Computer mit Malware zu infizieren. Oft sind die Nachrichten „weich zielgerichtet“ – sie könnten beispielsweise mit einem Anhang, der vorgibt, der Lebenslauf eines Arbeitssuchenden zu sein, an einen Mitarbeiter der Personalabteilung gesendet werden. Bei diesen Anhängen handelt es sich häufig um ZIP-Dateien oder Microsoft Office-Dokumente mit schädlichem eingebettetem Code. Eine der häufigsten Formen von bösartigem Code ist Ransomware – im Jahr 2017 enthielten schätzungsweise 93 % der Phishing-E-Mails Ransomware-Anhänge.
Arten von Phishing
Eine andere Möglichkeit, diese Angriffe zu kategorisieren, besteht darin, auf wen sie abzielen und wie die Nachrichten gesendet werden. Wenn es bei Phishing-Angriffen einen gemeinsamen Nenner gibt, dann ist es die Tarnung. Die Angreifer fälschen ihre E-Mail-Adresse, sodass es so aussieht, als käme sie von jemand anderem, richten gefälschte Websites ein, die so aussehen, als ob das Opfer ihnen vertraut, und verwenden fremde Zeichensätze, um URLs zu tarnen.
Allerdings gibt es eine Vielzahl von Techniken, die unter den Begriff Phishing fallen. Jede dieser Phishing-Arten ist eine Variation eines Themas, wobei sich der Angreifer als vertrauenswürdige Entität ausgibt, oft eine echte oder plausibel echte Person oder ein Unternehmen, mit dem das Opfer Geschäfte machen könnte.
E- Mail-Phishing
Bei allgemeinen Massenmarkt-Phishing-Angriffen werden E-Mails an Millionen potenzieller Opfer gesendet, um sie dazu zu bringen, sich bei gefälschten Versionen sehr beliebter Websites anzumelden.
Spear-Phishing
Wenn Angreifer eine Nachricht erstellen, die auf eine bestimmte Person abzielt . Beispielsweise könnte der Spear-Phisher jemanden in der Finanzabteilung ins Visier nehmen und sich als Vorgesetzter des Opfers ausgeben, der kurzfristig eine große Banküberweisung anfordert .
Whaling
Whale-Phishing oder Whaling ist eine Form von Spear-Phishing , die sich an die ganz großen Fische richtet – CEOs oder andere hochwertige Ziele wie Vorstandsmitglieder von Unternehmen .
Das Sammeln von genügend Informationen, um ein wirklich hochwertiges Ziel auszutricksen, kann einige Zeit in Anspruch nehmen, aber es kann sich überraschend auszahlen. Im Jahr 2008 zielten Cyberkriminelle mit E-Mails auf CEOs von Unternehmen ab, denen angeblich Vorladungen des FBI beigefügt waren. Tatsächlich luden sie Keylogger auf die Computer der Führungskräfte herunter – und die Erfolgsquote der Betrüger lag bei 10 %, wobei sie fast 2.000 Opfer erwischten.
Business Email Compromise (BEC)
Eine Art gezielter Phishing-Angriff, bei dem Angreifer vorgeben, der CEO oder eine andere Führungskraft eines Unternehmens zu sein, normalerweise um andere Personen in dieser Organisation dazu zu bringen, Geld zu überweisen.
Vishing und Smishing
Phishing per Telefonanruf bzw. SMS .
Andere Arten von Phishing
Andere Arten von Phishing sind Klon-Phishing, Schneeschuhwandern, Social-Media-Phishing und mehr – und die Liste wächst, da Angreifer ihre Taktiken und Techniken ständig weiterentwickeln.
So verhindern Sie Phishing
Der beste Weg, um zu lernen, Phishing-E-Mails zu erkennen, besteht darin, Beispiele zu studieren, die in freier Wildbahn aufgenommen wurden! Es gibt auch eine Reihe von Schritten, die Sie unternehmen können, und Denkweisen, die Sie sich aneignen sollten, damit Sie nicht zu einer Phishing-Statistik werden, darunter:
- Überprüfen Sie immer die Schreibweise der URLs in E-Mail-Links, bevor Sie darauf klicken oder vertrauliche Informationen eingeben
- Achten Sie auf URL-Weiterleitungen, bei denen Sie subtil auf eine andere Website mit identischem Design weitergeleitet werden
- Wenn Sie eine E-Mail von einer Ihnen bekannten Quelle erhalten, die Ihnen aber verdächtig erscheint, wenden Sie sich mit einer neuen E-Mail an diese Quelle, anstatt einfach auf „Antworten“ zu klicken
- Posten Sie keine personenbezogenen Daten wie Ihren Geburtstag, Urlaubspläne oder Ihre Adresse oder Telefonnummer öffentlich in sozialen Medien
Wenn Sie in der IT-Sicherheitsabteilung Ihres Unternehmens arbeiten, können Sie proaktive Maßnahmen zum Schutz der Organisation ergreifen, darunter:
- „Sandboxing“ eingehender E-Mails, Überprüfung der Sicherheit jedes Links, auf den ein Benutzer klickt
- Überprüfung und Analyse des Webverkehrs
- Durchführung von Phishing-Tests, um Schwachstellen zu finden und die Ergebnisse zur Schulung der Mitarbeiter zu nutzen
Ermutigen Sie Ihre Mitarbeiter, Ihnen mutmaßliche Phishing-E-Mails zu senden – und folgen Sie dann mit einem Wort des Dankes.