Die Oktane war sehr erfolgreich! Die Oktane war sehr erfolgreich! Sehen Sie sich unsere On-Demand-Sessions an. →
+49 (892) 620-3329 Suche

Phishing Prävention 101: Schutz Ihres Unternehmens

Aktualisiert: 22. Juli 2024 Lesezeit: ~

Topics

Phishing Resistance, Security

Inhalt

 

Dieser Artikel wurde maschinell übersetzt.

 

Phishing Prävention schützt vor Phishing-Angriffen. Bei Phishing-Angriffen werden ahnungslose Personen mithilfe gefälschter digitaler Nachrichten dazu verleitet, persönliche und sicherheitsrelevante Informationen preiszugeben.

Key Erkenntnis

  • Der Begriff "Phishing" ist ein Wortspiel mit dem Wort "Angeln", da Angreifer Köder verwenden, um Menschen dazu zu bringen, sensible Informationen preiszugeben, ähnlich wie Angler Fische fangen.
  • Phishing Angriffsprävention erfordert eine proaktive Abwehrstrategie mit einem mehrschichtigen Ansatz, der Mitarbeiterschulung, robuste Sicherheitstechnologie und einen klar definierten Incident-Response-Plan kombiniert.
  • Generative KI hat das Potenzial, unzählige Branchen zu revolutionieren und die Produktivität und Qualität zu verbessern. Aber in den falschen Händen kann die IT bei fortgeschrittenen Phishing-Schemata ein Werkzeug für Schaden sein. 
  • Der Einsatz fortschrittlicher Identitätstechnologien wie Passkey ermöglicht eine passwortlose und Phishing-resistente Benutzererfahrung mit kontinuierlichem Bedrohungsschutz vor sich entwickelnden Phishing-Taktiken.

Was ist Phishing?

Der Begriff „ Phishing“ wurde Mitte der 90er Jahre geprägt und beschreibt eine Art von Social-Engineering-Angriff, der sich die natürliche menschliche Tendenz zu Vertrauen, Gehorsam gegenüber Autoritäten und raschem Handeln in vermeintlichen Notsituationen zunutze macht. Angreifer verfassen überzeugende Nachrichten, in denen sie sich als legitime Entitäten ausgeben, und verwenden dabei bekannte Marken und eine vertraute Sprache, um das Vertrauen des Opfers zu gewinnen.

Wie Phishing die menschliche Psychologie und das menschliche Verhalten ausnutzt

Bei Phishing-Versuchen werden oft Taktiken eingesetzt, die ein Gefühl der Dringlichkeit oder Angst erzeugen und das Ziel unter Druck setzen, zu handeln, ohne die Echtheit der Anfrage zu überprüfen. Sie können auch die menschliche Neugier, Gier oder den Wunsch, anderen zu helfen, ansprechen, wie beim Cat-Phishing (auch bekannt als Cat-Phishing) zu sehen ist. Catfishing) Betrügereien, die die Emotionen des Opfers ausnutzen. Angreifer können die menschliche Psychologie manipulieren, um technische Sicherheitsmaßnahmen zu umgehen und Einzelpersonen dazu zu verleiten, vertrauliche Informationen preiszugeben oder Maßnahmen zu ergreifen, die ihre Sicherheit beeinträchtigen. 

Jüngste Trends und Fortschritte bei Phishing-Strategien

Unternehmen und ihre Mitarbeiter müssen auf dem Laufenden bleiben und starke Maßnahmen zur Phishing-Prävention ergreifen, insbesondere da Phishing Techniken immer ausgereifter werden. Angreifer erstellen jetzt hochgradig personalisierte und überzeugende E-Mail-Adressen und nutzen fortschrittliche Technologien wie generative KI, um täuschend realistische Inhalte zu erstellen. Die Verlagerung von Massen-E-Mail-Adressen hin zu gezielten Spear-Phishing- und Whaling-Angriffen hat die IT für Einzelpersonen und Unternehmen immer schwieriger gemacht, diese Bedrohungen zu erkennen.

 

Social-Media-Plattformen wie LinkedIn sind zu einem fruchtbaren Boden für Angreifer geworden, die es auf Arbeitssuchende mit gefälschten Stellenausschreibungen und imitierten Personalvermittlern abgesehen haben. Darüber hinaus hat der Aufstieg der Kryptowährung neue Wege für Betrug eröffnet, da Millionen durch gefälschte Kryptowährungsinvestitionsprogramme und Phishing-Versuche, die auf digitale Geldbörsen abzielen, gestohlen wurden. 

Wie kommt es zu Phishing-Angriffen?

Angreifer erstellen Phishing-Betrügereien, um illegal an Benutzerdaten wie Anmeldedaten und Kreditkartennummern zu gelangen. Dies kann passieren, wenn sich ein Angreifer als vertrauenswürdige Entität ausgibt und ein Opfer dazu verleitet, eine Textnachricht, E-Mail-Adresse oder andere Kommunikation zu öffnen, die aussieht, als stamme sie von einem legitimen Unternehmen, etwa einer Bank oder einer Regierungsbehörde. Durch Klicken auf einen Link in der Nachricht gelangt der Benutzer zu einer Website, die einer echten Website ähnelt. Wenn der Benutzer persönliche Daten auf der gefälschten Site eingibt, kann der Angreifer diese stehlen, um Betrug oder Identitätsdiebstahl zu begehen.

Arten von Phishing:

  • E-Mail-Adresse oder Phishing: Sich über die E-Mail-Adresse als legitimes Unternehmen oder Individuum auszugeben, um vertrauliche Informationen, Kontodaten oder Geld zu erhalten.
  • Voice-Phishing oder Vishing: Verwendung von Sprachsynthese-Technologie über das Telefon oder VOIP-Dienste, um Opfer davon zu überzeugen, sensible Informationen preiszugeben oder bestimmte Handlungen auszuführen. Vishing kann auch persönlich stattfinden, wobei eher auf zwischenmenschlicher als auf digitaler Kommunikation gesetzt wird.

SMS oder Smishing: Verleiten Sie Empfänger per SMS oder Messaging-App dazu, Informationen weiterzugeben oder schädliche Handlungen auszuführen.

  • QR-Code-Phishing: Platzieren von QR-Codes, die Opfer auf bösartige Websites leiten, die vertrauliche Informationen erfassen.
  • WLAN- oder „Evil Twin“-Phishing: Erstellen eines gefälschten WLAN-Hotspots, um den Datenverkehr eines Opfers zu überwachen und es auf bösartige Websites umzuleiten.
  • Ungezieltes Phishing: Senden einer großen Menge bösartiger Nachrichten ohne ein bestimmtes Ziel im Sinn, in der Hoffnung, dass ein kleiner Prozentsatz anbeißt.
  • Angler-Phishing: Oft geben sie sich in sozialen Medien als Kundendienstmitarbeiter aus, um Informationen oder Geld von den Opfern zu erhalten, ohne ihre Ziele zu kennen.
  • Business E-Mail-Adresse kompromittieren (BEC): Einen hochrangigen leitenden Angestellten oder Beamten eines Unternehmens dazu zu verleiten, Handlungen vorzunehmen, Gelder zu überweisen oder sensible Informationen per E-Mail-Adresse preiszugeben.
  • AitM-Phishing (Adversary-in-the-Middle): Abfangen des Netzwerkverkehrs eines Opfers, um das Erscheinungsbild von Websites zu verändern oder sie auf bösartige Websites umzuleiten.
  • Spear-Phishing: Erstellen personalisierter Phishing-Nachrichten, die sich an eine kleine, spezifische Zielgruppe richten, um wertvolle Informationen zu erhalten oder bestimmte Aktionen auszulösen.
  • Whaling: Eine Untergruppe von Spear-Phishing, die auf hochrangige Personen oder leitende Angestellte innerhalb eines Unternehmens abzielt.
  • Catphishing: Erstellen gefälschter Profile in sozialen Netzwerken und Dating-Websites, um Opfer in eine betrügerische Beziehung zu locken, um sich finanziell oder persönlich zu bereichern.
  • Phishing in sozialen Medien: Ausnutzung der Verbindungen einer Person auf Social-Media-Plattformen, um vertrauliche Informationen zu extrahieren oder sie auf bösartige Websites zu leiten.
  • Kryptowährungs-Phishing: Ziel ist es, Benutzer und Dienste im Zusammenhang mit Kryptowährungen zu stehlen, um Geld zu stehlen oder Zugriff auf Konten zu erhalten.
  • Personalbeschaffungs- oder Jobbetrug Phishing: Imitieren Sie Personalvermittler oder Personalmitarbeiter, um Arbeitssuchende auszunutzen und Geld oder vertrauliche Informationen zu extrahieren.
  • Pharming: Umleitung eines Benutzers von einer legitimen Website auf eine gefälschte Website durch Ausnutzen von Schwachstellen in DNS-Server-Software oder Ändern der lokalen Host-Dateien eines Benutzers.
  • Clone Phishing: Erstellen einer fast identischen Kopie einer zuvor zugestellten legitimen E-Mail-Adresse, wobei Links oder Anhänge durch bösartige ersetzt werden.
  • Pop-up-Phishing: Anzeigen eines betrügerischen Pop-up-Fensters Behaupten, dass der Computer eines Benutzers mit Malware infiziert ist, und verleiten ihn dazu, schädliche Software herunterzuladen oder persönliche Informationen preiszugeben.
  • SIM-Swap-Phishing: Mobilfunkanbieter werden dazu verleitet, die Telefonnummer eines Opfers auf eine vom Angreifer kontrollierte SIM-Karte zu übertragen, wodurch dieser die SMS-basierte Zwei-Faktor-Authentifizierung umgehen kann.
  • Malvertising: Platzieren bösartiger Anzeigen auf legitimen Websites, die Benutzer auf Phishing-Websites umleiten oder sie zum Herunterladen von Malware auffordern.
  • In-Session-Phishing: Das Anzeigen eines gefälschten Pop-ups während einer aktiven Browsersitzung, die Behauptung, dass die Sitzung des Benutzers abgelaufen ist, und die Aufforderung, seine Anmeldedaten erneut einzugeben.

Best Practices zur Phishing-Prävention

Die Kombination aus wachsamen, gut ausgebildeten Mitarbeitern mit modernster Überwachung und Identitätstechnologie kann das Risiko, Opfer eines Phishing-Angriffs zu werden, verringern. 

So erkennen Sie einen Phishing-Angriff

Phishing-Betrügereien entwickeln sich ständig weiter, können aber Folgendes umfassen:

  • Dringlichkeit: Angreifer setzen die Opfer unter Druck, sofort zu handeln, ein gesperrtes Konto zu beanspruchen, unbezahlte Rechnungen oder schlimme Konsequenzen für Untätigkeit zu haben.
  • Verdächtige E-Mail-Adressen oder Domains: Phishing E-Mail-Adressen stammen oft von öffentlichen Mail-Anbietern oder Spoofing-Domains, die seriöse Unternehmen imitieren.
  • Irreführende webbasierte Links: Phishing E-Mail-Adressen enthalten Links, die legitim erscheinen, aber Ziele auf bösartige Websites mit irreführenden URLs weiterleiten.
  • Unpersönliche Begrüßungen: Massen-Phishing-E-Mail-Adressen verwenden oft generische Anreden wie "Sehr geehrte Damen und Herren" oder einfach "Hallo".
  • Unerwartete Anfragen: Stellen Sie die Rechtmäßigkeit überraschender Kontosperrungen, Informationsüberprüfungsanfragen oder unerwarteter Rechnungen in Frage.
  • Untypische Sprache: Seien Sie vorsichtig, wenn eine Nachricht von einem Freund oder Kollegen nicht seinem üblichen Kommunikationsstil entspricht.
  • Riskante Anhänge: Vermeiden Sie das Herunterladen von Anhängen von unbekannten Absendern oder solchen, die nicht von Ihrem E-Mail-Adress-Provider auf Viren untersucht wurden.

So verhindern Sie Phishing-Angriffe:

  • Schulen Sie Ihre Mitarbeiter: Bieten Sie Schulungen zum Thema Phishing an, um Ihren Mitarbeitern beizubringen, wie sie auf einen mutmaßlichen Phishing-Angriff reagieren sollen. Verstärken Sie dieses Training mit Simulationen, um den Mitarbeitern zu zeigen, wie ein Versuch in der realen Welt aussieht.
  • Implementieren Sie E-Mail-Adressfilter und Gateways: Setzen Sie E-Mail-Adressfilterlösungen und sichere E-Mail-Adress-Gateways ein, um verdächtige E-Mail-Adressen zu identifizieren und zu blockieren, bevor sie die Posteingänge Ihrer Mitarbeiter erreichen. Integrieren Sie außerdem Tools, mit denen Benutzer mutmaßliche Phishing-Angriffe melden können. Dies ist eine wertvolle Hilfe bei der Erstellung von Profilen potenzieller Angreifer.
  • Verwenden Sie die Multi-Faktor-Authentifizierung (MFA): Implementieren Sie MFA in Ihrem beruflichen und persönlichen Account. Obwohl MFA nicht narrensicher ist, kann es das Risiko eines erfolgreichen Hacker-Kontos aufgrund von Phishing-Angriffen erheblich verringern. Darüber hinaus kann die Verwendung von passwortlosen Technologien, wie z. B. Passkey, im Rahmen der first-Faktor-Authentifizierung das Risiko weiter reduzieren.
  • Setzen Sie Endpunktschutz ein: Verwenden Sie Endpunktschutztools mit Anti-Phishing-Funktionen, wie z. B. Blacklists bekannter Phishing-Sites, netzwerk- und geräteweite Überwachung sowie E-Mail-Adressensicherheit, die verdächtige Nachrichten und bösartige Links identifizieren kann.
  • Implementierung der Richtlinie zur Zahlungsverifizierung: Richten Sie Prozesse ein, die vor der Überweisung von Geldern mehrere Rechnungsgenehmigungen erfordern, und lassen Sie Zahlungen nur über genehmigte Kanäle zu. Seien Sie vorsichtig bei Anfragen nach Zahlungsmethoden, die schwer nachzuverfolgen oder zu blockieren sind, wie z. B. Geschenkkarten oder Kryptowährungen.
  • Setzen Sie auf den Least-Privilege-Zugriff: Reduzieren Sie Ihre Angriffsfläche, indem Sie sicherstellen, dass Ihre Mitarbeiter nur auf die Tools und Systeme zugreifen können, die sie für ihre Arbeit benötigen.
  • Übernehmen Sie fortschrittliche Identitätstechnologien: Nutzen Sie Lösungen der nächsten Generation wie Passkey, die passwortlose und Phishing-resistente Benutzererfahrung mit kontinuierlichem Bedrohungsschutz ermöglichen.
  • Entwickeln Sie einen Incident-Response-Plan: Erstellen Sie einen umfassenden Incident-Response-Plan, um Phishing-Angriffe schnell zu erkennen, einzudämmen und sich davon zu erholen. Include-Prozeduren für Bericht|Melden Sie verdächtige Aktivitäten, untersuchen Sie Vorfälle und mildern Sie die Auswirkungen erfolgreicher Angriffe.

Fallstudie: Die Auswirkungen von Phishing 

Phishing Angriffe können Einzelpersonen, Unternehmen und sogar Nationen verwüsten! Im Fall des Democratic National Committee (DNC) während der US-Präsidentschaftswahlen 2016 zum Beispiel zielte die staatlich geförderte russische Hackergruppe Guccifer 2.0, von der angenommen wird, dass sie Teil des militärischen Geheimdienstes GRU ist, mit Phishing-E-Mail-Adressen auf das DNC ab, die aus legitimen Quellen wie Gmail zu stammen schienen. Entgegen dem Verdacht vieler Empfänger, darunter auch des Vorsitzenden von Hillary Clintons Präsidentschaftskampagne, John Podesta, gelang es den Angreifern, aufgrund einer Fehlkommunikation unter Wahlkampfmitarbeitern E-Mail-Adresse Account zu kompromittieren.

Die Auswirkungen dieses Phishing-Angriffs waren erheblich. Der Hacker erhielt sensible Informationen von der E-Mail-Adresse des DNC. Anschließend ließen sie den Inhalt an Wikileaks durchsickern, was zu einer erheblichen Störung des Präsidentschaftswahlkampfs führte und Bedenken über eine ausländische Einmischung in den US-Wahlprozess aufkommen ließ.

Die Zukunft des Phishings und Präventionsmethoden

Mit der rasanten Entwicklung von KI ist der potenzielle IT-Missbrauch bei Phishing-Angriffen ein wachsendes Problem. Generative KI-Modelle wie GPT-4 und DALL-E 2 können auf der Grundlage einfacher Eingabeaufforderungen hochrealistische Texte, Bilder und Videos erstellen. Wenn diese leistungsstarken Tools ausgenutzt werden, können sie immer überzeugendere und personalisierte Phishing-E-Mail-Adressen erstellen, die das Erkennen und Verhindern von Angriffen noch schwieriger machen.

Zum Beispiel könnten Angreifer generative KI nutzen, um gefälschte Sprachaufzeichnungen zu erstellen, die die Sprache und Intonation des CEO eines Unternehmens genau nachahmen, und Mitarbeiter dazu verleiten, vertrauliche Informationen preiszugeben oder Gelder zu überweisen. Sie könnten auch KI-generierte Bilder verwenden, um gefälschte Websites oder Social-Media-Profile zu erstellen, die von legitimen Websites kaum zu unterscheiden sind.

KI ist jedoch ein zweischneidiges Schwert mit dem Potenzial, sich mit gleichem Nachdruck gegen Phishing-Angriffe zu verteidigen. Unternehmen müssen wachsam bleiben und ihre Phishing-Präventionsstrategien anpassen, um diese neuen Bedrohungen zu bekämpfen. Dazu gehören unter anderem Investitionen in KI-gestützte Abwehrlösungen, die KI-generierte Phishing-Versuche erkennen und herausfiltern können, sowie die weitere Priorisierung der Mitarbeiterschulung und -sensibilisierung.

Indem sie auf dem Laufenden bleiben und proaktiv starke Abwehrmaßnahmen ergreifen, können Einzelpersonen und Unternehmen sich selbst, ihre Mitarbeiter und ihre Kunden vor Phishing einen Schritt voraus sein.

Verhindern Sie Phishing-Angriffe mit Okta

Erfahren Sie, wie sich die identitätsbasierte Sicherheit von Oktaauf die gesamte Benutzerreise erstreckt und Schutz vor Phishing bietet, ohne die Produktivität zu beeinträchtigen.

Möchten Sie mehr über Phishing-Resistenz erfahren? Schauen Sie sich unsere Seite zum Schutz vor Bedrohungen mit Phishing-Resistenz an.

Setzen Sie Ihre Identity Journey fort

Testen Sie Okta jetzt kostenlos – oder vereinbaren Sie einen Termin mit unserem Team, um über Ihre konkreten Anforderungen zu sprechen.

Erste Schritte
Kontakt