Deutsch
kontakTenglish
GRATIS
Whitepaper
Wie man das Sicherheitsverhalten ändert
XDOWNLOAD

24.05.2022

Phishing – die Gefahr lauert im Netz

Cyber-Risiken wie Ransomware (Schadsoftware) oder Phishing-Attacken haben in den letzten Jahren immer mehr zugenommen. Das zeigt auch der Allianz Risk Barometer (1). Die Befragten sehen Cyber-Risiken als grösstes Risiko für das kommende Jahr.

90% der Datendiebstähle beginnen mit einer Phishing-E-Mail.

Zunehmend sind nicht nur grosse Firmen im Visier der Angreifer, sondern auch kleine und mittlere Unternehmen. In der Schweiz haben die Attacken in den letzten Wochen und Monaten stark zugenommen. Man kann fast täglich von betroffenen Unternehmen lesen. Eine Befragung von DigitalSwitzerland (2) unter 506 Geschäftsführenden von kleinen und mittleren Unternehmen ergab, dass im letzten Jahr 36 % Opfer eines Cyber-Angriffs wurden. Dies entspricht einer Steigerung von 11 % (im Vorjahr waren es 25 %). Dabei entstanden unter anderem finanzielle Schäden, Schäden am Image des Unternehmens oder ein Verlust von Kundendaten. Potential sieht die Studie bei der Steigerung der Mitarbeiterschulung. Nur 39 % der Befragten schulen ihre Mitarbeitenden regelmässig, 21 % schulen gar nicht.

Wird ein Unternehmen via Phishing erfolgreich mit Ransomware angegriffen, kann die Produktion zwischen einem Tag und mehreren Wochen still stehen, bis der Schaden behoben ist. Auch dauert es teilweise Monate, bis betroffene Firmen realisieren, dass sie Opfer eines Cyber-Angriffs wurden.

Die häufigsten Attacken mit Ransomware oder anderer Malware erfolgen mittels Phishing-E-Mails. Weshalb? Weil der Mensch eine der erfolgreichsten Einflugschneisen für Angriffe darstellt. Die Hacker setzen auf die Unwissenheit, Hilfsbereitschaft, Gutgläubigkeit oder Unsicherheit ihrer Opfer. Eine Phishing-E-Mail zu erstellen ist einfach und kostengünstig und kann per Knopfdruck an Tausende Personen gleichzeitig versendet werden. Und bei jedem solchen Angriff fallen dutzende, wenn nicht gar hunderte Personen darauf rein.

Spam-Filter können oft nicht alle Phishing-E-Mails rechtzeitig erkennen. Daher ist es wichtig, dass alle Mitarbeitende geschult sind und Phishing selbst erkennen und so zum Schutz des Unternehmens beitragen.

In diesem Artikel beleuchten wir die Thematik von Phishing eingehender. Was ist Phishing? Wie erkennen Sie Phishing-E-Mails? Was kann gegen Phishing unternommen werden?

Was genau ist Phishing?

Heutzutage ist jeder von uns, egal ob Privatperson oder Mitarbeitende/r, potenzielles Ziel von Hacker-Angriffen und somit von Phishing. Wahrscheinlich haben auch Sie schon mal eine Phishing-E-Mail erhalten.

14.8 Millionen Dollar haben Unternehmen im Jahr 2021 im Durchschnitt aufgrund von erfolgreichen Phishing Attacken verloren.

Die Angreifer werden immer professioneller und daher wird es auch immer schwieriger, Phishing-E-Mails zu erkennen. Es ist sehr wichtig, dass man bei E-Mails kritisch ist.

Mit Phishing-E-Mails, Instant Messaging, persönlichen Nachrichten oder Webseiten versuchen Angreifer an die Daten ihrer Opfer zu gelangen. Besonders beliebt sind Zugangsdaten wie Passwörter, Benutzernamen oder Kontoinformationen. Mithilfe von Links und verseuchten Webseiten kann auch Ransomware auf einem Computer oder Firmennetzwerk eingeschleust werden.

Hat ein Hacker einmal Zugang zu Nutzerkonten oder Netzwerken erlangt, so können Kunden- oder Geschäftsdaten ausgespäht oder gestohlen werden. Geldüberweisungen können getätigt oder Systeme manipuliert oder gar betriebsunfähig gemacht werden. Oft folgen auf einen ersten Angriff noch weitere Angriffe, was zu grossen finanziellen Verlusten und Imageschäden führen kann. In schwerwiegenden Fällen führt es bis zum Konkurs.

Die verschiedenen Formen von Phishing

Es gibt verschiedene Formen von Phishing. Grundsätzlich haben alle das gleiche Ziel: an Daten zu gelangen. Manche Phishing-Formen sind jedoch offensichtlicher, andere schwieriger zu erkennen, da sie raffinierter gemacht sind.

  • Gefälschte Webseiten, E-Mails und Kurznachrichten:
    Mit täuschend echt aussehenden E-Mails oder Webseiten wollen Angreifer ihre Opfer dazu bewegen, ihre persönlichen Daten in einem gefälschten Webformular oder in einer E-Mail anzugeben. Die Nachrichten enthalten oft Links, die auf gefälschte Webseiten führen und zur Dateneingabe auffordern. Dies kann z. B. eine gefälschte Login-Seite Ihrer Bank oder von Ihrem Arbeitgeber sein.
  • Schadprogramme in Dateianhängen oder auf Webseiten:
    Per E-Mail werden die Opfer dazu verleitet, einen verseuchten Anhang zu öffnen oder eine verseuchte Webseite zu besuchen. Der Anhang oder die Webseite installiert anschliessend automatisch und vom Nutzer unbemerkt eine Schadsoftware auf dem Computer. Dadurch erhalten Cyberkriminelle direkten Zugriff auf das Gerät oder das Netzwerk des Opfers und dessen Daten.
  • Spear-Phishing:
    Spear-Phishing Nachrichten sind gezielt auf das Opfer abgestimmt. Vor einem Angriff informieren sich die Cyberkriminellen im Internet, z. B. auf LinkedIn oder Facebook, über ihre Opfer. Die erlangten Informationen verwenden sie in der Phishing-Nachricht und erhöhen damit die Glaubwürdigkeit. Dadurch steigt die Wahrscheinlichkeit, dass das Opfer auf die Nachricht hereinfällt und seine Daten angibt. Diese Art von Phishing erfordert mehr Zeit von den Cyberkriminellen und richtet sich oft an Personen aus der Finanzabteilung, dem HR, dem höheren Management oder der Produkteentwicklung. Aber auch einflussreiche oder angesehene Persönlichkeiten aus der Politik, dem Showbusiness oder der Wirtschaft sind beliebte Opfer. Aber Achtung, auch der «Otto-Normalverbraucher» kann zu einem solchen Ziel werden!
  • CEO-Fraud:
    Beim CEO-Fraud werden E-Mails vom «CEO» an Personen mit Entscheidungskompetenz im Finanzbereich versendet, z. B. jemand aus der Finanzabteilung oder der persönlichen Assistenz. Der vermeintliche «CEO» fordert diese Personen auf, dringend Geld an eine bestimmte Adresse zu überweisen, da z. B. sonst ein Geschäft nicht abgeschlossen werden kann. Ist das Geld einmal überwiesen, hat das Unternehmen kaum eine Chance, dieses zurückzubekommen.

Phishing erkennen

Um sich vor Phishing zu schützen, ist es wichtig, solche Nachrichten zu erkennen. Es gibt einige Merkmale, woran Sie Phishing erkennen können.

Beispiel einer Phishing-E-Mail

1. Merkwürdiger Absender

Ist Ihnen der Absender nicht bekannt? Sie hatten mit dieser E-Mail-Adresse noch nie Kontakt? Dann sollten Sie misstrauisch sein!

Das gilt auch, wenn der Absender, also der E-Mailheader bzw. die E-Mail-Adresse nicht zum hinterlegten Internet-Link passt (Beispiel: mailto:no_reply@europcar.ch / Webseite: www.europcart.ch).

Absenderadressen werden leicht gefälscht, diese enthalten dann oft kleine Fehler oder eine andere URL (zum Beispiel .net statt .com).

Ein weiteres Zeichen ist eine persönliche Absenderadresse (z. B. @gmail.com oder @outlook.com), auch wenn die Nachricht vorgibt, von einem Unternehmen zu sein.

2. Unübliche oder dubiose E-Mailanhänge

E-Mailanhänge können Computer und Netzwerke mit Schadsoftware infizieren. Daher sollten dubiose Anhänge nicht geöffnet werden. Fragen Sie im Zweifelsfall beim Absender nach. Wichtig: Antworten Sie dafür nicht in der Nachricht, sondern wählen Sie einen anderen Kommunikationskanal wie z. B. das Telefon. Wenn Sie unsicher sind, öffnen Sie den Anhang besser nicht.

Achten Sie bei der Nutzung von Windows darauf, dass im Windows Explorer im Register «Ansicht» die Auswahl «Dateinamenerweiterungen» aktiviert ist. Ist diese Einstellung deaktiviert, erkennt man den Dateityp nicht auf Anhieb. Es besteht somit die Gefahr, dass man manipulierte Erweiterungen wie bspw. «Dokumentenname.pdf.exe» nicht erkennt und eine Datei mit Schadsoftware öffnet.

3. Unpersönliche Ansprache

Eine unpersönliche Anrede, wie z. B. «Sehr geehrter Kunde», kann ein Hinweis auf Phishing sein. Aber Vorsicht: Cyberkriminelle können sich über soziale Netzwerke oder Suchmaschinen über ihre Opfer informieren und sie so gezielt anschreiben (das sogenannte «Spear-Phishing»).

4. Grammatik- und Orthografie-Fehler

Fehlerhaftes Deutsch, Zeichensatzfehler, fehlende Buchstaben oder Umlaute, Grammatik- und Orthografie-Fehler, Buchstaben aus anderen Alphabeten (z. B. kyrillische Buchstaben). Achtung: Buchstaben aus einem anderen Alphabet sind oft sehr schwer zu erkennen.

5. Aufforderung zum dringenden Handlungsbedarf

Wenn Sie aufgefordert werden, innerhalb einer kurzen Frist zu handeln, oft verbunden mit einer Drohung (z. B. der Sperrung von Kreditkarten oder Online-Zugängen), kann dies auf Phishing hinweisen. Prüfen Sie daher genau, ob die Aufforderung wirklich berechtigt ist. Oft ist eine Einladung auch «zu schön, um wahr zu sein».

6. Eingabe von Daten

Wenn Sie aufgefordert werden, persönliche Daten, wie Passworte, PIN oder TAN einzugeben, sollten Sie aufpassen. Merken Sie sich: Kein seriöses Unternehmen fordert ihre Kunden auf, über einen beigefügten Link oder ein angehängtes Formular ihre Benutzerdaten zu ändern. Wenn doch, dann ohne direkten Link auf die Login-Seite. Passen Sie Benutzerdaten immer über die von Ihnen gespeicherte Webseite an. Beantworten Sie niemals E-Mails, in denen nach Benutzernamen, Passwörtern oder Kontoinformationen usw. gefragt wird.

7. Gefälschte Links

Die Nachricht enthält eine oder mehrere Links, welche auf eine Adresse verweisen, die nicht zum Adressbereich des Absenders gehört. (BEISPIEL Absender: info@ebay.net Link: http://www.paypal.com-verfy-transactionid-7961312693567631367.login.ebay-buyerprotection.net).

Überprüfen Sie zudem, dass keine Sonderzeichen (z. B. aus dem kyrillischen Zeichensatz, Leerschläge, etc.) in der URL enthalten sind. Um eine URL zu prüfen, fahren Sie mit der Maus über den Link. In einem Pop-up-Fenster erscheint der ausgeschriebene Link. Wenn das nicht funktioniert, müssen Sie dies in den Einstellungen aktivieren. Überlegen Sie sich gut, ob Sie den Link besuchen müssen oder nicht und klicken Sie nicht einfach aus Neugierde drauf.

8. Fremde Sprachen bzw. Sprachenmix

Normalerweise ist die Kommunikation in der Sprache des Empfängers. Manchmal, wie in der Beispiel-E-Mail im Bild, werden mehrere Sprachen vermischt. Einerseits ist dies verdächtig, andererseits wirkt es nicht sehr seriös, wenn ein Unternehmen zum Beispiel mit «Goodbye» in einer deutschen E-Mail abschliesst.

9. Verwendung unüblicher Bezeichnungen

Wenn für Abteilungen, Produkte oder Dienste unübliche oder unbekannte Bezeichnungen verwendet werden, sollten Sie aufhorchen und vorsichtig sein. Prüfen Sie im Intranet, ob diese Bezeichnung innerhalb des Unternehmens verwendet wird. Falls nicht, das E-Mail melden und löschen.

Mehr als 2 Millionen Phishing Webseiten wurden 2020 durch Google entdeckt.

Richtig Handeln bei Verdacht auf Phishing

Wenn Sie eine E-Mail erhalten, welche Ihnen verdächtig erscheint oder Sie diese deutlich als Phishing erkennen, melden Sie sich immer unverzüglich bei Ihrem IT Service Desk. Verwenden Sie dafür die in Ihrem Unternehmen gängige Methode (z. B. durch Weiterleiten der E-Mail an den IT Service Desk oder das Melden über eine bestimmte Schaltfläche im E-Mail Programm).

Nur durch Ihre Mithilfe können Phishing-Angriffe frühzeitig erkannt und die nötigen Gegenmassnahmen ergriffen werden. Daher ist es wichtig, dass Sie solche E-Mails unverzüglich melden, nicht darauf Antworten oder auf darin enthaltene Links oder Anhänge klicken.

Der technische Schutz der IT-Infrastruktur in einem Unternehmen ist in der Regel gegeben, so dass hier kaum noch Hacker Angriffe zu verzeichnen sind. Über die Mitarbeitenden, also die Nutzer der IT-Infrastruktur, können Hacker jedoch immer noch sehr erfolgreich an Geld, Daten und Informationen gelangen und Lösegeld erpressen. Aus diesem Grund ist es so wichtig, dass auch die Menschen, welche die IT-Infrastruktur nutzen, wissen, wie sie sich sicher verhalten. Insbesondere im Umgang mit Phishing. Schulen Sie Ihre Mitarbeitenden in den Themen der Informationssicherheit und vermindern Sie so das Risiko eines erfolgreichen Hackerangriffs.

Quellen:

  1. Allianz Risk Barometer 2022: https://www.agcs.allianz.com/news-and-insights/reports/allianz-risk-barometer.html
  2. Digital Switzerland 2021: Auswirkungen der Corona-Krise auf die Digitalisierung und Cybersicherheit in Schweizer KMU. https://digitalswitzerland.com/sub-programm/digitalswitzerland-studies/
  3. Sophos 2021: Phishing Insights 2021. https://www.sophos.com/en-us/medialibrary/pdfs/whitepaper/sophos-phishing-insights-2021-report.pdf
  4. Verizon: 2021 Data Breach Investigations Report (DBIR). https://www.verizon.com/business/resources/reports/2021/2021-data-breach-investigations-report.pdf?_ga=2.114300289.745830874.1642758834-858085877.1642758834
  5. Ponemon Institute. Cost of Phishing study 2021 https://www.proofpoint.com/us/resources/analyst-reports/ponemon-cost-of-phishing-study
  6. Forbes 2020: https://www.forbes.com/sites/simonchandler/2020/11/25/google-registers-record-two-million-phishing-websites-in-2020/?sh=48011f291662

Aufgrund der aktuellen Situation bietet TreeSolution Ihnen Unterstützung und spezielle Angebote für das sichere Arbeiten im Homeoffice und andere Awareness-Themen an.

Vielen Dank.
Oops! Something went wrong while submitting the form.