- Was ist der Zweck von Phishing?
- Die Geschichte des Phishing
- Woher stammt der Begriff ‚Phishing‘?
- Was sind einige Beispiele aus der Praxis für Phishing?
- Wie oft kommt es zu Phishing?
- Ist Phishing illegal?
- Funktionsweise von Phishing
- Was passiert bei einem Phishing-Angriff?
- Wozu kann Phishing führen?
- So erkennen Sie Phishing-Versuche
- Was sind häufige Anzeichen einer Phishing-E-Mail?
- Woher weiß ich, ob ein Link bösartig ist?
- Wie kann ich einen schädlichen Anhang identifizieren?
- Minimieren Sie Phishing-Gefahren mit einer starken Abwehrhaltung, die SaaS-Backup umfasst
Was ist der Zweck von Phishing?
Im Grunde genommen ist Phishing eine Art von Betrug, der darauf abzielt, das Ziel dazu zu verleiten, mit einer irreführenden Nachricht zu interagieren. Phishing-Angriffe sind unterschiedlich komplex, aber viele verwenden ausgeklügelte Social-Engineering-Techniken in Kombination mit Informationen aus dem Dark Web, um Authentizität und Relevanz für ihre ahnungslosen Ziele zu simulieren. Wenn der Angriff Malware wie Ransomware bereitstellen soll, reicht es oft aus, die Nachricht nur zu öffnen, um die Ladung bereitzustellen. Andernfalls soll der Inhalt der Nachricht den Empfänger dazu bringen, eine Aktion auszuführen, die dem Cyberkriminellen zugute kommt und die Sicherheit des Opfers beeinträchtigt, z. B. den Besuch einer Website, das Öffnen eines Anhangs, das Senden von Geld oder Informationen, das Herunterladen einer PDF-Datei oder die Bereitstellung eines Anmeldeinformationen.
Die Geschichte des Phishing
Die frühesten Formen von Phishing als Cyberangriff begannen Mitte der 1990er Jahre auf AOL. Der erste bekannte Phishing-Angriff gegen eine Privatkundenbank wurde vom Branchenmagazin The Banker im September 2003 und der erste bekannte direkte Versuch gegen ein Zahlungssystem als Angriff auf E-Gold im Juni 2001 gemeldet.
Phishing nahm in den frühen 2000er Jahren mit frühen Angriffen auf Banken, Zahlungssysteme und Verbraucher seinen Anfang. Phishing durch nationalstaatliche Akteure war 2006 weit verbreitet, als Experten schätzen, dass mehr als die Hälfte aller Phishing-Angriffe aus Russland stammten. In den 2010er Jahren war Phishing weit verbreitet und ähnelte eher dem, was wir heute sehen, wobei Angriffe auf Unternehmen, Regierungsbehörden, Banken und Verbraucher immer häufiger wurden. Dieser Angriff erreichte 2020 neue Höhen: Google verzeichnete im März 2020 einen Anstieg der Phishing-Nachrichten um mehr als 600%, da COVID-19 zum am häufigsten phishten Thema in der Geschichte wurde.
Woher stammt der Begriff ‚Phishing‘?
Phishing ist ein Begriff, der wahrscheinlich aus einer Kombination von Videospiel „Leetspeak“ und einer alten Art von Telefonbetrug namens Phreaking entstanden ist. Es wird vermutet, dass der Begriff erstmals in den frühen 1980er Jahren in gedruckter Form im Hacker Magazine 2600 erschien. Die früheste Aufzeichnung von Phishing als Hauptdiskussionsthema unter Sicherheitsexperten stammt aus einem Papier und einer Präsentation, die der 1987 International HP Users Group, Interex, vorgelegt wurden. Die erste weit verbreitete Verwendung fand im Cracking-Toolkit AOHell statt, das 1995 von Koceilah Rekouche entwickelt wurde.
Die ersten Phishing-Angriffe wurden auf AOL-Benutzer verübt, um Passwörter zu stehlen, um andere Cyberkriminalität zu erleichtern. Phishing-Spezialisierungen entstanden Mitte der 2000er Jahre auf globaler Ebene, als Cyberkriminelle begannen, Phishing-Software an organisierte Banden zu verkaufen oder zu handeln, die sie dann zur Durchführung von Phishing-Kampagnen verwenden konnten. Die Praxis war eng mit Softwarepiraterie und Kreditkartenbetrug verbunden. Als die Welt digitaler wurde, entwickelte sich Phishing, um es schlechten Akteuren zu ermöglichen, es auf neue Weise zu nutzen, einschließlich Social-Media-Phishing. Über 60% der Cyberkriminellen nutzten im Jahr 2020 Phishing als primäre Angriffsform.
Was sind einige Beispiele aus der Praxis für Phishing?
Phishing diskriminiert nicht. Von Grundschulen bis hin zu Technologiegiganten ist Phishing eine Bedrohung für Chancengleichheit. Ein Mitarbeiter, der auf eine E-Mail klickt, kann eine Welt des Schmerzes in einer Organisation auslösen. Hier sind einige Beispiele für den Schaden, den Phishing anrichten kann.
- Twitter war auf dem heißen Stuhl, nachdem die Konten äußerst prominenter Benutzer wie Donald Trump und Elon Musk von Cyberkriminellen übernommen und zur Verbreitung von Nachrichten verwendet wurden, die Menschen in einen Kryptowährungsbetrug locken. Die Untersuchung ergab, dass der gesamte Vorfall von einem Cyberkriminellen stammte, der ein einzelnes Administratorkennwort von einem Twitter-Mitarbeiter phishing, indem er behauptete, ein Subunternehmer zu sein.
- Ende 2020 lösten die Phish-Angriffe auf der ganzen Welt eine Kaskade von Cybersicherheits-Albträumen auf den höchsten Ebenen von Regierung, Wirtschaft und Finanzen aus, nachdem russische Cyberkriminelle Zugang zu SolarWinds-Systemen erhalten hatten. Dieses Passwort ermöglichte es ihnen, Hintertüren in einige der sensibelsten Systeme in den Vereinigten Staaten einzurichten, tief in nationale Sicherheitsziele vorzudringen, in Regierungsbehörden einzudringen und sensible Informationen in Unternehmen zu schnappen. Die volle Wirkung kann niemals gemessen werden.
- Ein komplexer Phishing-Betrug, der von mutmaßlichen nationalstaatlichen Hackern gegen Mitarbeiter des Arzneimittelherstellers AstraZeneca begangen wurde, sollte die Forschung und Entwicklung eines COVID-19-Impfstoffs hemmen. Bedrohungsakteure verwendeten gefälschte Stellenangebote, die über soziale Medien wie LinkedIn und WhatsApp gesendet wurden, um Mitarbeiter dazu zu verleiten, persönliche Informationen bereitzustellen, mit denen Spear-Phishing oder das Herunterladen von Anhängen voller Malware betrieben werden können.
Wie oft kommt es zu Phishing?
Phishing ist der routinemäßigste Cyberangriff für IT-Teams. Experten der University of Maryland schätzen, dass alle 39 Sekunden ein neuer Angriff gestartet wird. Die Pandemie und das damit einhergehende Chaos waren ein enormer Segen für Cyberkriminelle, aus dem sie schnell Kapital schlugen. Im März 2020 gab Google bekannt, dass die Zahl der Phishing-Versuche im Jahr 2019 im gleichen Zeitraum um 667% gestiegen ist, und schätzte, dass täglich etwa 18 Millionen COVID-19-Betrugs-E-Mails von seinen 1,5 Milliarden Nutzern blockiert wurden. Bis Mitte 2020 sahen Internetforscher, dass die Anzahl der täglichen Phishing-Bedrohungen 25,000 pro Tag überstieg, ein Anstieg von 30% gegenüber den Zahlen von 2019. Im Herbst war die Zahl auf 35.000 pro Tag und bis Dezember 2020 auf 50.000 pro Tag gestiegen. 75% der Unternehmen auf der ganzen Welt erlebten im Jahr 2020 eine Art Phishing-Angriff.
Ist Phishing illegal?
Das macht eine ziemliche Cyberkriminalitätswelle aus. Phishing ist eine Form von Betrug und Identitätsdiebstahl, die mit Geldstrafen und sogar Gefängnisstrafen geahndet wird. In den Vereinigten Staaten gibt es bundesstaatliche, staatliche und lokale Gesetze gegen Phishing und die damit verbundenen Stile. Phishing wird manchmal nach den Bundesgesetzen für Drahtbetrug strafrechtlich verfolgt, da es über das Internet übertragen wird. Das Vereinigte Königreich, die Europäische Union und andere Nationen haben ebenfalls Gesetze gegen Phishing.
Funktionsweise von Phishing
Im weitesten Sinne soll Phishing das Ziel dazu verleiten, Informationen, Anmeldeinformationen oder Zugriffe bereitzustellen, die es dem Absender ermöglichen, auf betrügerische Weise in Systeme, Daten und andere Ressourcen einzudringen. Cyberkriminelle nutzen Social Engineering, Psychologie, Stress und Störungen, um verlockende Köder zu kreieren. Oft erhalten schlechte Schauspieler spezifische Informationen über ihre Ziele aus dem Dark Web. Milliarden von Datensätzen mit Informationen über Personen und Unternehmen sind auf dunklen Webdatenmärkten und —deponien verfügbar, täglich kommen weitere hinzu – allein 2020 kamen 22 Millionen hinzu. Sie benötigen nicht einmal technische Kenntnisse, um einen Phishing-Vorgang auszuführen. Alles von kompletten Plug-and-Play „Phishing-Kits“ bis hin zum vollständigen Outsourcing durch freiberufliche Betreiber ist zu einem Preis erhältlich.
Was passiert bei einem Phishing-Angriff?
Werfen Sie einen Blick auf einen grundlegenden Überblick über einen Standard-Phishing-Angriff.
- Die bösen Akteure generieren eine Liste von Zielen und sammeln die Informationen, die notwendig sind, um ihre beabsichtigten Opfer zu erreichen.
- Die Vorbereitung zu diesem Zeitpunkt kann den Kauf personenbezogener Daten (PII), den Erhalt einer gestohlenen Datenbank mit Datensätzen für andere Online-Konten, die das Ziel unterhält, oder die Details umfassen, die erforderlich sind, um sich als vertrauenswürdige Marke auszugeben.
- Dann erstellen die Bösewichte eine E-Mail, die das beabsichtigte Opfer maximal ansprechen soll, um sie dazu zu verleiten, sie zu öffnen oder eine Aktion abzuschließen.
- Die E-Mail enthält häufig personalisierte Details, die aus Dark-Web-Datenmärkten und -Dumps stammen.
- Die Nachricht könnte sich als etwas tarnen, das harmlos und routinemäßig erscheint, wie eine Mitteilung der Alumni-Vereinigung des Opfers oder einer bevorzugten Wohltätigkeitsorganisation.
- Manchmal enthält die Nachricht einen Anhang, z. B. eine PDF-Datei, die Malware enthält.
- Ein weiterer üblicher Köder besteht darin, einen Link einzufügen, der das Opfer auffordert, sein Passwort mithilfe eines enthaltenen Links zurückzusetzen.
- Wenn das Ziel des Angriffs die Bereitstellung von Malware ist, wird die Nutzlast bereitgestellt, wenn das Opfer eine Zielinteraktion abschließt, z. B. das Herunterladen einer Datei oder das Klicken auf einen Link.
- Oder, wenn die Kompromittierung der Anmeldeinformationen das Ziel ist, wird das Opfer normalerweise auf eine gefälschte Webseite geleitet und seine Anmeldeinformationen gelöscht.
- Den Cyberkriminellen steht es dann frei, Daten zu erfassen, Malware einzusetzen oder auf andere Weise das Opfer oder das Unternehmen des Opfers zu verwüsten.
Wozu kann Phishing führen?
Was für ein Chaos? Die Art, die Unternehmen schließt und Träume zerstört. Experten schätzen, dass 60% der Unternehmen nach einem Cyberangriff ihr Geschäft einstellen. Die Kosten für Incident Response, Untersuchung, Behebung und Wiederherstellung können katastrophal sein. Außerdem zahlen Unternehmen nicht für einen Vorfall wie Ransomware, nur wenn er passiert. Es kann Jahre dauern, um das volle Ausmaß des Schadens zu bestimmen und die Rechnungen zu bezahlen. Zusammen mit diesem riesigen Budgeteinbruch verlieren Unternehmen, die von einem schädlichen Cyberangriff betroffen sind, an Produktivität und erleiden eine Delle in ihrem Ruf. Phishing ist besonders verheerend, wenn Unternehmen wertvolle Informationen wie Geschäftsgeheimnisse oder Aufzeichnungen verlieren, die hochsensibel sind – insbesondere, wenn dieser Verlust auch hohe Strafen nach Gesetzen wie HIPAA oder DSGVO nach sich zieht.
So erkennen Sie Phishing-Versuche
Cyberkriminelle können äußerst überzeugende betrügerische Nachrichten und Anhänge erstellen, deren Erkennung selbst für Cybersicherheitsexperten eine Herausforderung sein kann. Es gibt jedoch einige häufige Anzeichen dafür, dass die potenziellen Ziele nach einer potenziellen Phishing-Nachricht suchen und eine Katastrophe abwenden können. Eine detaillierte Anleitung zur sicheren Untersuchung und Beurteilung einer potenziellen Phishing-Nachricht finden Sie in der Infografik Der sichere Weg zur E-Mail.
Was sind häufige Anzeichen einer Phishing-E-Mail?
Einige verräterische Anzeichen dafür, dass es sich bei einer Nachricht wahrscheinlich um Phishing handelt, sind:
- Wenn die Sprache ausgeschaltet ist oder die Nachricht nicht so aussieht, als wäre sie von jemandem geschrieben worden, der Muttersprachler der Zielsprache ist, einschließlich Rechtschreibfehlern und schlechter Grammatik oder Verwendung
- Wenn die Nachricht angeblich von einer vertrauenswürdigen Marke stammt, aber Dinge enthält, die nicht vertraut aussehen, wie nicht ganz richtige Farben, Formate oder Schriftarten
- Wenn sie sehr „unprofessionell“ erscheint, aber als Kommunikation von einer Führungskraft präsentiert wird oder eine andere mächtige Person.
- Wenn es ein U.S. bundesbehörde, die Sie auffordert, PII per E-Mail zur Verfügung zu stellen
- Wenn der Absender aus heiterem Himmel nach Ihrer Sozialversicherungs- oder Steueridentifikationsnummer fragt
- Wenn die Adresse, der Name oder die E-Mail-Adresse des Absenders seltsam aussehen
- Wenn jemand, den Sie nicht gut kennen, nach Geschenkkarten, Geldtransfers, Bank- oder Kreditkarteninformationen fragt
- Wenn Sie auf einen Link klicken oder einen Anhang herunterladen können, die Adresse oder der Dateiname jedoch nicht ungewöhnlich
Im Zweifel immer auf der Seite der Vorsicht irren. Ihr IT-Team wird es Ihnen danken.
Woher weiß ich, ob ein Link bösartig ist?
Bösartige Links sind ein äußerst beliebtes Tool für Phishing-Angriffe, da die meisten Benutzer im Laufe der Jahre ein erhöhtes Bewusstsein für Anhänge entwickelt haben. Eine falsche Verbindung kann jedoch genauso böse sein wie eine ansteckende Bindung – und manchmal schlimmer. Überprüfen Sie immer einen Link, bevor Sie darauf klicken, um zu sehen, ob er tatsächlich dorthin führt, wo er steht. Falsche Links können seltsame Schreibweisen, unerwartete Suffixe, seltsame Mashups des Firmennamens und ähnliche Details haben, die einfach nicht ganz richtig sind. Google hat zum 17. Januar 2021 2.145.013 Phishing-Seiten registriert. Dies ist ein Anstieg von 1.690.000 am 19. Januar 2020 (plus 27% über 12 Monate).
Wie kann ich einen schädlichen Anhang identifizieren?
Schädliche Anhänge sind das, woran Benutzer denken, wenn sie über Phishing nachdenken, insbesondere wenn es sich um Malware handelt. Experten schätzen in einer aktuellen Studie, dass 94% der Phishing-E-Mails schädliche Dateianhänge als Nutzlast oder Infektionsquelle für den Angriff verwenden. Sie stellten ferner fest, dass die wichtigsten bösartigen E-Mail-Anhangstypen, die sie sehen, sind .doc und .dot bei 37% des Kuchens, mit .exe kommt bei 19,5% und andere Dateinamen niedriger. Schädliche Anhänge können auch PDFs sein. Mutige Cyberkriminelle hatten Anfang 2020 einen Feldtag, an dem giftige COVID-19-Karten in diesem Format aus Quellen wie der Weltgesundheitsorganisation verschickt wurden. Unerwartete Anhänge oder Dateien mit ungewöhnlichen oder unbekannten Namen sind Kennzeichen bösartiger Anhänge.
Minimieren Sie Phishing-Gefahren mit einer starken Abwehrhaltung, die SaaS-Backup umfasst
Das Abfangen von Phishing-Nachrichten kann eine Herausforderung sein. Unternehmen, die regelmäßig Sicherheitsbewusstseinstrainings durchführen, die mindestens vierteljährlich Phishing-Resistenz für jeden Mitarbeiter beinhalten, haben bis zu 70% weniger Sicherheitsvorfälle. Herkömmliche E-Mail—Sicherheitslösungen wie Filter oder integrierte Tools in E-Mail-Anwendungen sind den heutigen ausgeklügelten Phishing-Bedrohungen nicht gewachsen – über 40% der in einem 2020-Test gesendeten Phishing-E-Mails wurden von der herkömmlichen E-Mail-Sicherheit nicht abgefangen.
Die andere Hälfte der Medaille beim Aufbau einer starken Verteidigung gegen Phishing ist auch für den Aufbau von Cyber Resilience unerlässlich: SaaS Backup. Schätzungsweise 60% der von einem Phishing-Angriff betroffenen Unternehmen verlieren nicht wiederherstellbare Daten, was zu einer zunehmend verheerenden Schadenskaskade führen kann.
Aus diesem Grund sind Lösungen wie Spanning 360 mit integrierten Phishing-Abwehrfunktionen ein Muss in jedem Cybersicherheitsplan. Über 70% der Unternehmen in den USA waren in den letzten 12 Monaten von einem erfolgreichen Phishing-Angriff betroffen. Das Ziel jedes Unternehmens sollte es sein, 2021 von dieser Liste zu streichen.
Erfahren Sie mehr über Spanning 360