Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Was ist Phishing?

06/2023 – Fachartikel Swiss Infosec AG

Phishing ist eine Methode, bei der Personen getäuscht werden, sensible Informationen wie Passwörter oder Kreditkartennummern preiszugeben. Ähnlich wie beim Fischen gibt es verschiedene Möglichkeiten «eine Beute an Land zu ziehen», aber eine bestimmte Phishing-Taktik ist besonders beliebt. Dabei erhält das Opfer eine E-Mail, die vorgibt, von einer vertrauenswürdigen Person oder einem Unternehmen wie einem Mitarbeitenden, einer Bank oder einer Behörde zu stammen. Wenn das Opfer die E-Mail öffnet, wird es mit einer beunruhigenden Nachricht konfrontiert, die Angst erzeugen soll. Die Nachricht fordert das Opfer z. B. auf, sofort auf eine Website zu gehen und eine Handlung vorzunehmen, um negative Konsequenzen zu vermeiden.

Wenn der Benutzer darauf hereinfällt und auf den Link klickt, gelangt er zu einer gefälschten Website, die einer legitimen Seite ähnelt. Dort wird er aufgefordert, seine Anmeldedaten einzugeben. Wenn das Opfer naiv genug ist, dieser Aufforderung nachzukommen, gelangen die Anmeldedaten in die Hände des Angreifers. Diese werden dann verwendet, um Identitäten zu stehlen, Geld von Bankkonten abzuziehen oder persönliche Daten auf dem Schwarzmarkt zu verkaufen.

Im Gegensatz zu anderen Online-Bedrohungen erfordert Phishing kein besonders fortgeschrittenes technisches Know-how. Tatsächlich ist Phishing laut Experten «die einfachste, aber auch gefährlichste und effektivste Form von Cyberangriff». Phisher nutzen keine technischen Schwachstellen im Betriebssystem aus, sondern setzen auf Social Engineering. Egal, ob es sich um Windows, iPhones, Android oder Macs handelt – kein Betriebssystem ist vor Phishing vollständig geschützt, unabhängig von den Sicherheitsmassnahmen. Angreifer entscheiden sich oft für Phishing, weil sie so keine technischen Schwachstellen ausnutzen müssen. Warum sollten sie Zeit damit verschwenden, Sicherheitsschichten zu überwinden, wenn sie jemanden dazu bringen können, ihnen Zugriff zu gewähren? Oft ist das schwächste Glied in einem Sicherheitssystem keine versteckte Schwachstelle im Code, sondern eine Person, die nicht überprüft, woher eine E-Mail stammt.

Wie erkenne ich einen Phishing-Angriff?

Es ist nicht immer leicht, einen Phishing-Versuch zu erkennen, aber mit einigen Tipps, etwas Disziplin und gesundem Menschenverstand kann viel erreicht werden. Achten Sie auf alles, was ungewöhnlich oder seltsam erscheint.

Hier sind weitere Anzeichen für einen Phishing-Versuch:

  • Die E-Mail enthält ein zu gutes Angebot, um wahr zu sein. Zum Beispiel behauptet sie, dass Sie angeblich im Lotto gewonnen zu haben, einen teuren Preis erhalten sollen oder etwas anderes von grossem Wert gewonnen zu haben.
  • Sie kennen den Absender, haben aber keine Kommunikation mit ihm. Seien Sie skeptisch, wenn der Absender zwar bekannt ist, Sie aber normalerweise keine Kommunikation mit dieser Person haben, insbesondere wenn der Inhalt der E-Mail nichts mit Ihrer normalen Arbeit zu tun hat. Das gilt auch, wenn Sie in eine E-Mail-Kopie (CC) gesetzt wurden und den Empfänger nicht kennen oder wenn der Empfänger eine Gruppe von Kollegen aus verschiedenen Abteilungen ist.
  • Die Nachricht ist beunruhigend. Seien Sie vorsichtig, wenn die E-Mail eine alarmierende oder intensive Sprache verwendet, um Dringlichkeit zu erzeugen und Sie dazu zu bringen, sofort zu handeln, bevor Ihr Konto gesperrt wird. Denken Sie daran, dass seriöse Organisationen niemals persönliche Daten über das Internet anfordern würden.
  • Die Nachricht enthält unerwartete oder ungewöhnliche Anhänge. Die Anhänge könnten Schadsoftware, Ransomware oder andere Online-Bedrohungen enthalten.

Hier ist ein Beispiel für einen Phishing-Versuch, der eine gefälschte Benachrichtigung von PayPal imitiert und den Empfänger auffordert, auf den Button «Jetzt bestätigen» zu klicken. Wenn Sie jedoch bei diesem Mail mit der Maus über den Button gefahren wären, hätten Sie anhand der angezeigten URL erkannt, dass es sich um eine gefälschte Website handelt.

Dies ist ein weiteres Beispiel für einen Phishing-Angriff, diesmal angeblich von Amazon.

Wenn hier auf den Link geklickt würde, wird man auf ein Formular weitergeleitet, in dem Sie dem Phisher Ihre Informationen geben sollen, damit er Ihre wertvollen Daten stehlen kann.

Wie schütze ich mich vor Phishing?

Phishing ist eine weit verbreitete Bedrohung, die Desktop-Computer, Laptops, Tablets und Smartphones gefährden kann. Die meisten Webbrowser können prüfen, ob ein Link sicher ist, aber die erste Verteidigungslinie gegen Phishing-Angriffe ist Ihr gesunder Menschenverstand. Lernen Sie, Phishing-Anzeichen zu erkennen, und üben Sie jederzeit sichere Verhaltensweisen, wenn Sie E-Mails überprüfen, Facebook-Beiträge lesen oder Online-Spiele spielen.

Hier sind nochmals einige wichtige Praktiken, die Ihnen helfen, sicher zu bleiben:

  • Öffnen Sie keine E-Mails von unbekannten Absendern.
  • Klicken Sie niemals auf einen Link in einer E-Mail, es sei denn, Sie wissen genau, wohin er führt.
  • Wenn Sie unsicher sind, geben Sie die URL der Website manuell in den Browser ein, anstatt auf einen Link in einer unsicheren E-Mail zu klicken.
  • Achten Sie auf das digitale Zertifikat einer Website.
  • Wenn Sie aufgefordert werden, sensible Informationen preiszugeben, überprüfen Sie, ob die URL mit HTTPS beginnt, was auf eine sichere Verbindung hinweist. Beachten Sie jedoch, dass dies keine absolute Garantie dafür ist, dass eine Website legitim ist. Die meisten seriösen Websites verwenden jedoch HTTPS, da es sicherer ist als HTTP. HTTP-Websites, auch wenn sie legitim sind, können anfällig für Angriffe von Hackern sein.
  • Wenn Sie vermuten, dass eine E-Mail nicht legitim ist, kopieren Sie einen Teil des Namens oder des Textes aus der Nachricht und suchen Sie in einer Suchmaschine nach bekannten Phishing-Angriffen mit ähnlichen Inhalten.
  • Fahren Sie mit der Maus über den Link, um zu überprüfen, ob er legitim ist.

Die meisten Cybersicherheits-Tools können erkennen, ob ein Link oder ein Anhang gefährlich ist und verhindern, dass Sie Ihre Informationen mit den falschen Personen teilen, selbst wenn Sie auf einen raffinierten Phishing-Versuch hereinfallen.

Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch

Swiss Infosec AG; 24.06.2023
Fachteam IT-Sicherheit

Kategorie: Fachartikel Swiss Infosec AG | IT-Sicherheit
Michael Reber
Senior Consultant
Anfrage
Michael Reber
Senior Consultant
Anfrage
© Swiss Infosec AG 2024