Startseite > Blog > Alltag > Phishing betrifft nicht nur die großen Fische
Phishing betrifft nicht nur die großen Fische
Bei Phishing handelt es sich um eine Art der Cyberkriminalität, die es bereits seit den 1990er-Jahren gibt. Da immer mehr personenbezogene Daten online gespeichert werden und auch die verschiedenen sozialen Netzwerke stark verbreitet sind, ist es wichtiger denn je, die Funktionsweise des Phishing-Betrugs zu verstehen.
Dieser Artikel soll Sie mit einigen grundlegenden Elementen vertraut machen, damit Sie sich vor potenziell gefährlichen Situationen besser schützen können.
Wie funktioniert Phishing?
Phishing ist kein Hackerangriff im eigentlichen Sinne, sondern eher eine von Hackern verwendete Betrugsmasche, um auf illegalem Weg an vertrauliche und personenbezogene Daten der Nutzer zu kommen.
Phishing-Angriffe können per E-Mail oder SMS erfolgen. Das Ziel der Betrüger besteht darin, Nutzername und Passwort für das Bankkonto, die Kreditkartennummer und andere persönliche Daten ihrer Opfer zu erbeuten.
Wenn Ihnen eine E-Mail verdächtig vorkommt, einen Link enthält oder Sie zu einer sofortigen Handlung auffordert, bleiben Sie vorsichtig. Überprüfen Sie die Adresse des Absenders genau, klicken Sie auf keinen Link und geben Sie keine persönlichen Daten oder Bankdaten an. Im Zweifelsfall schicken Sie uns eine E-Mail an phishing@foyer.lu
Was passiert infolge eines Phishing-Angriffs und wie können Sie sich davor schützen?
Wenn Sie im Internet in die Phishing-Falle getappt sind, kann dies gravierende Folgen haben. Ihre personenbezogenen Daten können in falsche Hände geraten, was wiederum zu einem Identitätsdiebstahl oder anderen in Ihrem Namen begangenen Verbrechen führen kann. In Luxemburg handelt es sich bei zwei Drittel aller Cyberattacken um Phishing nach Chamber of Commerce.
Für Privatpersonen gibt es folgende Risiken:
- Entwendung von Geld von Ihrem Bankkonto
- Tätigung von Einkäufen mit Ihren Kreditkarten
- Verlust des Zugangs zu Ihren Fotos, Videos und Dateien
- Veröffentlichungen auf Ihren Social-Media-Profilen in Ihrem Namen
- Die Cyberkriminellen können außerdem Ihre Identität stehlen und somit Ihre Familie oder Freunde in Gefahr bringen
Auf beruflicher Ebene sind die Risiken noch viel größer und können gravierende Folgen nach sich ziehen:
- Betriebsunterbrechung und damit verbundener Verdienstausfall
- Verbreitung der persönlichen Daten Ihrer Kunden und Kollegen
- Sperrung Ihrer Dateien (Freigabe gegen Lösegeld)
- Imageschaden für Ihr Unternehmen
Die Risiken für Unternehmen ergeben sich regelmäßig aus Faktoren wie schwachen Passwörtern, einer unzureichenden Datenschutzpolitik (Einhaltung der DSGVO), unzureichenden automatischen Backups, unzureichender (oder gar nicht vorhandener) Überwachung ihrer Antiviren-Software, insbesondere von Updates, und schließlich der Schulung der Mitarbeiter für die intern verwendete Software.
Sie haben es sicher verstanden: Für das problemlose Ausüben Ihrer Tätigkeit muss alles getan werden, um diese Art von Angriffen zu verhindern. Foyer bietet dafür Versicherungen wie zum Beispiel Cyber Pro. Cyber Pro steht Unternehmen von vorbeugenden Maßnahmen bis hin zur Schadensbehebung zur Seite, wenn die Cybersicherheitsfilter nicht mehr ausreichend sind.
Wie erkennt man eine Phishing-E-Mail?
Lassen Sie sich nicht täuschen: Es ist fast genauso einfach, sich eine E-Mail-Adresse unrechtmäßig anzueignen, wie eine Empfängeranschrift auf einem Briefumschlag zu ändern.
- Es ist zu schön, um wahr zu
sein
Lukrative Angebote, leichte Verdienstmöglichkeiten und Spendenversprechen zielen darauf ab, sofort Ihre Aufmerksamkeit zu erregen. In manchen E-Mails steht, dass Sie ein iPhone oder im Lotto gewonnen haben oder ein sonstiger toller Preis auf Sie wartet. Wenn es zu schön klingt, um wahr zu sein, hat dies wahrscheinlich auch einen Grund! - Es besteht eine gewisse Dringlichkeit
Eine der beliebtesten Taktiken der Cyberkriminellen besteht darin, Sie zu schnellem Handeln aufzufordern, weil das Super-Angebot nur für eine kurze Dauer gilt. In manchen Fällen erhalten Sie eine Nachricht, die besagt, dass Ihr Konto gesperrt wird, wenn Sie Ihre persönlichen Daten nicht sofort auf den aktuellen Stand bringen. Die meisten seriösen Unternehmen lassen ausreichend Zeit, bevor sie ein Konto auflösen, und fordern ihre Kunden niemals auf, ihre personenbezogenen Informationen im Internet zu aktualisieren. Besuchen Sie im Zweifelsfall direkt die Homepage des Urhebers, anstatt auf einen Link in einer E-Mail zu klicken. - Hyperlinks
Klicken Sie nicht sofort auf Links. Fahren Sie mit der Maus darüber. So sehen Sie die URL-Adresse, an welche Sie weitergeleitet werden, wenn Sie draufklicken. Wenn es sich nicht um die angekündigte Website handelt oder die URL-Adresse einen Rechtschreibfehler aufweist (z. B. https://www.foyerasssurances.lu – es ist ein „s“ zu viel), sollten Sie nicht draufklicken und die E-Mail löschen.
Seien Sie außerdem vorsichtig: „https“ garantiert nicht die Identität des Website-Betreibers. - Dateianhänge
Wenn der E-Mail ein Anhang beigefügt ist, den Sie nicht erwarten oder der keinen Sinn ergibt, sollten Sie diesen nicht öffnen! Er könnte Intrusion-Programme wie Ransomware oder andere Viren enthalten. Der einzige Dateityp, auf den man immer klicken kann, ohne ein Risiko einzugehen, ist das Format .txt.
Die Gefahr lauert nicht nur in E-Mails
Angesichts des Fortschritts der digitalen Technologien gibt es auch immer neue Arten von Phishing, denen man zum Opfer fallen kann. Wir werden Ihnen jetzt 10 Beispiele vorstellen:
Standard-Phishing per E-Mail
Diese Phishing-Methode ist zweifelsohne die bekannteste. Hierbei wird versucht, vertrauliche Daten über eine E-Mail zu erbeuten, die von einer offiziellen Einrichtung oder einem Familienmitglied zu stammen scheint. Es handelt sich dabei nicht um einen gezielten Angriff – er kann sich an zahlreiche verschiedene Personen richten.
Malware-Phishing
Dieser Cyberangriff verwendet die gleiche Technik wie das Phishing per E-Mail. Man soll auf einen Link klicken oder einen Dateianhang herunterladen, damit Malware auf dem Gerät installiert werden kann. Dies ist derzeit die geläufigste Phishing-Methode.
Spear-Phishing
Während die meisten Phishing-Angriffe an zahlreiche verschiedene Empfänger gehen, ist Spear-Phishing zielgerichtet und gut recherchiert. Meistens sind davon Firmenchefs, Personen des öffentlichen Lebens oder andere lukrative Zielpersonen betroffen.
Smishing
Diese Form des Phishings erfolgt per SMS. Die Smartphone-Nutzer erhalten in den Textnachrichten kurze, bösartige Links, die scheinbar zum Kontostand, einer Preisbenachrichtigung oder politischen Botschaften führen sollen.
Search-Engine-Phishing
Bei dieser Betrugsmasche erstellen die Cyberkriminellen betrügerische Webseiten, um persönliche Daten zu erbeuten oder zu einer Direktzahlung zu veranlassen. Diese Seiten können in Suchergebnissen von Suchmaschinen oder in Form von zahlungspflichtigen Werbeanzeigen unter geläufigen Suchbegriffen erscheinen.
Vishing
Beim Vishing, das sich von „Voice Phishing“ ableitet, handelt es sich um einen Anruf, der angeblich vonseiten eines Kundendienstes, einer Regierungsbehörde oder sonstigen Organisationen kommt. Dabei wird versucht, personenbezogene Informationen wie Bankdaten oder Kreditkartendaten zu erbeuten.
Pharming
Pharming wird ebenfalls als DNS-Angriff bezeichnet und ist eine technische Weiterentwicklung des Phishings, bei der das Domain Name System (DNS) im Internet manipuliert wird. Beim Pharming wird der legitime Webverkehr ohne das Wissen der Nutzer zu einer falschen Seite weitergeleitet. Das Ziel besteht meistens darin, wertvolle Daten zu stehlen.
Man-in-the-Middle-Angriff
Bei dem Man-in-the-Middle-Angriff überwacht eine Person den Datenverkehr zwischen zwei nichts ahnenden Parteien. Diese Betrugstechnik erfolgt oftmals über falsche öffentliche WLAN-Netze in Cafés, Einkaufszentren und anderen öffentlichen Orten. Sobald die Parteien verbunden sind, kann der Angreifer Phishing betreiben, um Daten zu erhalten oder Malware auf den Geräten seiner Opfer zu installieren.
BEC (Business Email Compromise)
Ein sogenannter CEO Fraud liegt vor, wenn man eine betrügerische E-Mail von einer Person aus dem Unternehmen bzw. von einer Person, die in einer Beziehung zum Unternehmen steht, erhält, in der um eine sofortige Aktion gebeten wird, zum Beispiel eine Überweisung oder der Kauf von Geschenkkarten. Im Jahr 2019 entfiel mehr als die Hälfte aller Handelsverluste in Verbindung mit Cyberkriminalität auf diese Betrugsmasche.
Malvertising
Bei dieser Phishing-Methode wird eine digitale Werbesoftware verwendet, um eine scheinbar normale Werbung mit einem betrügerischen Code zu versehen.