Aktuelles im „Dienst“ des Phishing
Phishing ist eine von Cyberkriminellen verwendete Technik für Cyberangriffe. Dabei wird eine E-Mail mit einem oder mehreren Anhängen und/oder betrügerischen Links verschickt, hinter denen sich oft Schadsoftware verbirgt (Malware: Trojaner, Viren, Würmer, Ransomware…). Dabei lässt der Betrüger seiner Fantasie freien Lauf. Er kann sich beispielsweise als vertrauenswürdige dritte Person (Kollege, Vorgesetzter, Bank, Versicherung, Behörde) ausgeben, um vertrauliche Daten (Passwörter, Kontaktdaten usw.) zu erlangen, und/oder aktuelle Ereignisse nutzen, um den Nutzer zu täuschen... undin diesem Fall gibt es unzählige Themen!
Wussten Sie, dass die ersten Phishing-Angriffe bereits in den 90er Jahren stattfanden?
Ja, genau... 30 Jahre Phishing!
Wir sollten nun also ausreichend aufgeklärt und wachsam gegenüber dieser Plage sein. Denn unabhängig von der Zeit, dem Thema und der Art und Weise bleibt das Vorgehen immer dasselbe!
Und dennoch ist Phishing nach wie vor ein lukratives Geschäft!
Es steht sogar weiterhin an der Spitze der Liste der von Betrügern bevorzugten Angriffsvektoren!
Warum nimmt Phishing weiter zu?
Neben dem Einsatz immer ausgefeilterer Techniken mangelt es auch nicht an Inspirationsquellen. Im Gegenteil, sie sind unerschöpflich! Eine davon, nämlich das aktuelle Geschehen (egal ob gut oder schlecht), ist ein fruchtbarer Boden und ein gefundenes Fressen für Cyberkriminelle. Es ermöglicht ihnen, altbekannte Hebel in Bewegung zu setzen, wie zum Beispiel:
- Unsere Ängste: wie kürzlich im Zusammenhang mit COVID-19 (z. B. E-Mails zum Kauf von „zertifizierten“ Masken, hydroalkoholischem Gel, zur Teilnahme an einer Testkampagne).
- Unsere Ängste, unser Stress: zum Beispiel das Versenden betrügerischer E-Mails über Strafzettel bei Geschwindigkeitsüberschreitungen oder über die Online-Steuererklärung. Oder ein anderes Beispiel: E-Mails, in denen Ihnen eine Dekontamination Ihrer Wohnung angeboten wird (die zudem angeblich vom Staat empfohlen wird!).
- Was uns neugierig macht: Nach dem Streik der französischen Eisenbahngesellschaft SNCF Ende 2019 wurden E-Mails mit manipulierten Links verschickt. Diese Links führen zu einer bösartigen Plattform, auf der Sie nach persönlichen Daten und/oder Bankdaten gefragt werden, um eine Rückerstattung für Zugtickets zu erhalten.
- Was uns begeistert: eine Rückerstattung zu viel gezahlter Steuern oder Sozialversicherungsbeiträge, ein verlockendes Angebot für ein angebliches „Wundermittel” gegen COVID-19, gefälschte Gutscheine, die per E-Mail zum Muttertag verschickt werden, das neueste Angebot eines Internetanbieters für einen „revolutionären” Tarif, über den in den sozialen Netzwerken berichtet wird, oder eine E-Mail mit einem Link, der Sie zu einer gefälschten Website für den Weiterverkauf von Weihnachtsgeschenken führt. Und was ist mit E-Mails, die während des Schlussverkaufs, am Black Friday usw. verschickt werden?
- Unser Mitgefühl: Wir versenden E-Mails, in denen wir dazu auffordern, seine Kontaktdaten anzugeben oder eine Petition zu einem bestimmten aktuellen Thema zu unterzeichnen, beispielsweise Spenden für die Forschung, für den Umweltschutz oder zur Unterstützung einer „im Rampenlicht stehenden” Sache.
Also… Wie kann man Phishing endgültig unterbinden?
Unmöglich!
Es ist jedoch durchaus möglich, die Risiken zu verringern und die Folgen eines Phishing-Angriffs zu begrenzen. Wie? Indem Sie Ihr Unternehmen nicht nur mit technischen Sicherheitslösungen ausstatten, wie es ohnehin schon der Fall sein sollte, sondern auch mit organisatorischen Lösungen.
Machen Sie den Menschen, das schwächste Glied in der Cybersicherheit, zu einem wichtigen Trumpf Ihres Unternehmens.
Das Bewusstsein für Cyberrisiken schärfen, Schulungen zum Thema Cybersicherheit durchführen und den Nutzern beibringen, wie sie die Fallen von Phishing-E-Mails umgehen können: Das sind die wesentlichen und unverzichtbaren Zutaten für eine „cybervorbereitete” und cyberresiliente Organisation!
Haben Sie eine Funktion im Zusammenhang mit dem Risikomanagement in Ihrem Unternehmen? Führen Sie eine Sensibilisierungskampagne zum Thema Cybersicherheit durch.
