10 Wege zur Verhinderung von E-Mail-Phishing-Angriffen

phishing
@Adobe @Rogatnev

Niemand will glauben, dass er Opfer von Phishing-Angriffen wird. Phishing-Angriffe sind jedoch auf dem Vormarsch und raffinierter denn je.

Es gibt einen guten Grund dafür, dass Phishing-Angriffe als eine der häufigsten Sicherheitsherausforderungen für Unternehmen und Einzelpersonen angepriesen werden - es gibt zahlreiche Möglichkeiten für Cyberkriminelle, ihre Gewinne zu maximieren. Unternehmen verlieren jedes Jahr Milliarden durch E-Mail-Betrug, wobei die Verluste im letzten Jahr auf 2,7 Milliarden Dollaranstiegen.

Für Unternehmen ist es von entscheidender Bedeutung, dass sie fortschrittliche Sicherheitstechnologien wie Benutzerauthentifizierung, sichere E-Mail-Gateways und Schutzmaßnahmen zur E-Mail-Authentifizierung einsetzen. Leider dringen Phishing-Betrügereien weiterhin in die E-Mail-Postfächer ein - Verizon hat herausgefunden, dass fast 30 % der anvisierten Empfänger Phishing-E-Mails öffnen.

Die unglaubliche Click-Through-Rate zeigt, warum die Betrügereien immer noch beliebt sind - es funktioniert und trifft oft auf Gold. Obwohl Hacker ihren Köder tarnen, gibt es Möglichkeiten, Phishing-E-Mails zu identifizieren. Hier sind 10 Richtlinien, um sich zu schützen.

10 Wege zur Verhinderung von E-Mail-Phishing-Angriffen

1. Denken Sie nach, bevor Sie klicken

Vorbei sind die Zeiten, in denen Phishing-E-Mails mit "Grüße vom Sohn des abgesetzten Prinzen von Sambia" begannen. In dem Versuch, legitim auszusehen, sind Phishing-E-Mails heutzutage viel ausgefeilter und können sogar Links enthalten, die Sie zu einer Website führen, die genauso aussieht wie die ursprüngliche. Auf zufällige Links zu klicken ist kein kluger Schachzug. Fahren Sie mit der Maus darüber, um zu sehen, ob sie Sie zur richtigen Website führen. Eine bessere Option wäre es, den Link ganz zu vermeiden und von einem sicheren Browser aus direkt auf die Website zuzugreifen.

1. Es hat Fälle gegeben, in denen sich Cyberkriminelle als Mitarbeiter ausgeben und Sie auffordern, Ihre Angaben zu ändern oder zu bestätigen, indem Sie auf einen Link klicken.

2. Erwarten Sie das Unerwartete

In den meisten Fällen werden Phishing-Angriffe als ein Dokument oder eine E-Mail getarnt, das bzw. die jemand erwartet hat - seien es Bankunterlagen, Anträge auf Passwortänderung, E-Mails, die ein Benutzer abonniert hat, oder sogar solche, die von der IT-Abteilung Ihres Unternehmens stammen.

Stellen Sie sicher, dass Sie vor dem Herunterladen von Anhängen, insbesondere von unerwünschten E-Mails, eine Überprüfung durchführen - besser noch, überprüfen Sie die E-Mail-Adresse des Absenders doppelt und halten Sie nach risikoreichen Anhängen Ausschau. Manchmal kann die E-Mail-Adresse des Absenders der offiziellen E-Mail-Adresse des Unternehmens ähneln und die Benutzer können dies nicht ohne weiteres erkennen.

3. Bleiben Sie bei Phishing-Techniken auf dem Laufenden

Cyberkriminelle sind immer bestrebt, den nächsten Betrug so authentisch und legitim wie möglich zu gestalten. Wenn Sie nicht mit den neuesten Techniken vertraut sind, könnten Sie einem solchen Betrug zum Opfer fallen. Wenn Sie sich auf dem Laufenden halten, stehen die Chancen gut, dass Sie so früh wie möglich von den Betrügereien erfahren.

Cyber-Experten wiesen darauf hin, dass Spear-Phishing-Angriffe auf dem Vormarsch sind. Während Phishing-Betrügereien oft auf ein großes Publikum abzielen, in der Hoffnung, dass einer von ihnen zum Opfer fällt, zielt Spear-Phishing auf bestimmte Personen oder eine kleine Gruppe ab. Sie sind weitaus raffinierter als andere und führen oft Imitationsangriffe durch.

Die E-Mails können so aussehen, als kämen sie von einer vertrauenswürdigen Unternehmensplattform und enthalten auch einen hochgradig personalisierten Kontext, um den Empfänger zu täuschen.

Wie wird das gemacht? Spear-Phishing zielt normalerweise auf jemanden mit Zugriffsrechten auf wertvolle Daten ab. Meistens fallen Unternehmen, die nicht über ein Sender Policy Framework (SPF) verfügen - ein E-Mail-Authentifizierungssystem, das Spammer daran hindert, E-Mails von gefälschten E-Mail-Adressen zu versenden -, diesem Angriff zum Opfer.

Indem sie diesen blinden Fleck ausnutzen, erstellen Hacker kontextgesteuerte E-Mails - Daten, die aus online verfügbaren Dokumenten entnommen werden und die Details des Empfängers zurückverfolgen. Dies kann alles vom letzten Projekt, an dem die Person gearbeitet hat, über die Teammitglieder, die an diesem Projekt gearbeitet haben, bis hin zur Softwareversion, mit der das Dokument erstellt wurde, umfassen.

Wenn der Hacker diese Details erhält, kann eine E-Mail an den Empfänger geschickt werden, die diesen Kontext abdeckt. Sie könnte zum Beispiel lauten: "Hallo Andreas, würden Sie bitte einen Blick auf den Bericht werfen, an dem Kristina gearbeitet hat? Sie erwähnte, dass Sie uns ein Feedback geben würden" - gesendet von einem legitim aussehenden E-Mail-Konto.

Sobald ihr Computer kompromittiert wurde, kann der Angreifer auf das Unternehmensnetzwerk zugreifen, um den Phishing-Angriff auszuweiten. Eine schnelle Suche zeigt, dass Organisationen wie das Weiße Haus und das US-Verteidigungsministerium durch ähnliche Angriffe kompromittiert wurden. Lesen hierzu auch unseren Blog-Artikel zu Emotet.

4. Rechtmäßige Unternehmen fragen nie nach sensiblen Informationen über E-Mails

Geben Sie niemals vertrauliche Informationen per E-Mail weiter. Wenn Sie eine E-Mail erhalten, in der Sie aufgefordert werden, Kreditkartendaten, Steuernummer, Sozialversicherungsdaten oder andere vertrauliche Details anzugeben, ist es wahrscheinlich ein Betrug.

Wenn die Daten notwendig sind, stellen Sie sicher, dass Sie sich direkt über ein sicheres Netzwerk aufder Website einloggen und die Informationen übermitteln.

5. Achten Sie auf E-Mail-Domains

Achten Sie auf die E-Mail-Adresse des Absenders - wenn die E-Mail-Adresse nicht von einem authentischen, vom Unternehmen zur Verfügung gestellten Konto zu stammen scheint oder nicht mitden E-Mails übereinstimmt, die Sie zuvor von dem Unternehmen erhalten haben, ist dies ein potenzieller Grund für eine rote Flagge.

6. Vorsicht bei schlechter Syntax

Eine der einfachsten Möglichkeiten, eine betrügerische E-Mail zu identifizieren, ist durch schlechte Grammatik. Hacker sind nicht dumm - ihr Ziel ist es, die weniger Aufmerksamen, oft nicht Sensibilisierten, da sie leichtere Opfer sind, ins Visier zu nehmen.

7. Legitime Unternehmen zwingen Sie nicht zum Herunterladen von Spam

Sie könnten bemerken, dass einige E-Mails Sie auf eine abtrünnige Website oder eine gefälschte Webseite umleiten, wo immer Sie klicken - die ganze E-Mail wäre ein riesiger Hyperlink, der automatisch Spam-Anhänge herunterlädt oder eine unsichere Website öffnet, wenn Sie irgendwo in die E-Mail klicken.

8. Prüfen Sie, ob der Text eines Links mit einer legitimen URL übereinstimmt.

Überprüfen Sie URLs, die mit dem Text verlinkt sind, doppelt. Wenn sie nicht mit der angezeigten URL identisch ist, ist dies ein Zeichen, dass Sie möglicherweise auf eine Website geleitet werden, die Sie nicht besuchen möchten. Wenn der Link nicht mit dem Kontext der E-Mail übereinstimmt, vertrauen Sie ihm nicht.

Das Vorhandensein von SSL sagt nichts über die Legitimität der Website aus, die SSL/TLS-Zertifikate sollen die Verbindung zwischen dem Browser und dem Server verschlüsseln, was das Eindringen von Hackern verhindert.

Um herauszufinden, ob diese Website sicher ist, müssen wir herausfinden, ob die URL von einer unbekannten Quelle stammt, und wir würden empfehlen, die URL vor dem Anklicken zu überprüfen.

9. Vorsicht bei Einschüchterungstaktiken

Versprechungen von sofortigen Reichtümern oder Hunderte von Millionen in der Lotterie sind gängige Taktiken, die die meisten Menschen gewohnt sind. Hacker versuchen, Ihre Angst oder Besorgnis auszunutzen, indem sie Sie auf eine von Ihnen ausstehende zeitkritische Aktion aufmerksam machen und Sie schließlich dazu bringen, sensible Informationen zu liefern.

Es sind nicht nur Banken oder Kreditkartenanbieter, die Betrüger als Deckung für ihre Phishing-E-Mails benutzen.

10. Installieren einer Anti-Phishing-Symbolleiste

Heute unterstützen die meisten Browser Anti-Phishing-Symbolleisten, die auf den von Ihnen besuchten Websites Schnellprüfungen durchführen und die Daten mit einer Liste bekannter Phishing-Webseiten vergleichen. Wenn Sie einem Link folgen, der eine böswillige Website öffnet, kann die Symbolleiste Sie versehentlich warnen.

Anti-Virus-Software ist ebenfalls ein hervorragendes Werkzeug, um schädliche Dateien zu erkennen. Diese Software überprüft alle Dateien, die über das Internet auf Ihr Gerät übertragen werden. Anti-Spyware- und Firewall-Einstellungen können ebenfalls eine zusätzliche Sicherheitsebene bieten.

Es gibt jedoch keine narrensichere Möglichkeit, Phishing-Betrügereien oder böswillige Angriffe zu vermeiden. Online-Betrug entwickelt sich ständig weiter. Achten Sie darauf, dass Sie robuste Sicherheitslösungen einsetzen, um das Risiko zu verringern, Opfer von Phishing-E-Mails zu werden.

Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen