Was ist Phishing und wie wirkt es sich auf Ihr Unternehmen aus?

Laut einem aktuellen Bericht von Ironhack¹, einem renommierten digitalen Schulungszentrum, war Deutschland im Jahr 2020 das zweitattraktivste Land der Welt für Hacker und Cyber-Kriminelle, hinter den USA und vor Spanien. Eine Studie von OpenText², ein US-amerikanischer Software-Anbieter, stellte fest, dass 28 Prozent der Arbeitnehmer in Deutschland im letzten Jahr ein- oder mehrmals Opfer eines Phishing-Angriffs wurden. Gleichzeitig unterschätzen sie die Phishing-Gefahr: 79 Prozent der Befragten öffnen E-Mails von unbekannten Absendern.

Bei Kunden von Amazon Business hingegen besteht diese Gefahr nicht: Wir bieten unseren Kunden mit digitalen Tools größte Sicherheit bei ihren Geschäftseinkäufen sowie einen Pool von verifizierten Lieferanten.

Was ist Phishing?

Phishing ist eine Art Cyberangriff, bei dem Betrüger versuchen, durch glaubwürdige Köder in Form von Nachrichten an vertrauliche Informationen von Unternehmen wie Passwörter, Konto- und Sicherheitsnummern oder ähnliches zu gelangen. Daher stammt auch der Name, der eine Variation des englischen Wortes „fischen” (fishing) ist. Hacker versuchen, mit diesen „Ködern” alle Informationen zu fischen, die sie können.

In der Regel fordern die Phishing-Betrüger, sogenannte Phisher, vertrauliche Daten für vermeintliche Vorgänge an, die unserer Zustimmung bedürfen, zum Beispiel die Bestätigung einer Banküberweisung oder des Kaufs eines Produkts. Damit der Vorgang glaubwürdig ist, versuchen diese Hacker normalerweise, die Identität von Unternehmen, Banken oder Institutionen, denen wir vertrauen, nachzuahmen. Das tun sie, indem sie entweder das Logo und den Namen des E-Mail-Kontos kopieren oder einfach Informationen angeben, die wahrheitsgemäß sein könnten und vertrauensvoll wirken.

Unternehmen sind besonders anfällig, insbesondere wenn es sich um Firmen mit einer hohen Anzahl von Mitarbeitern handelt, da in diesen möglicherweise weniger direkte Kontrolle über bestimmte Prozesse und Verfahren besteht. Beispielsweise müssen Manager die Aktivitäten anderer Mitarbeiter per E-Mail genehmigen. Hacker machen sich diese Lücken zunutze, um ihr Ziel zu erreichen. Tatsächlich haben sich die Phishing-Fälle während der Pandemie aufgrund des Homeoffice-Booms vervielfacht.

Dank der sozialen Netzwerke haben Hacker viel mehr Informationen über die Mitarbeiter des Unternehmens, die Positionen, die sie besetzen, die Leute, mit denen sie zusammenarbeiten und die Verantwortlichen. Phishing-Angriffe auf Firmen werden immer professioneller, weil diese Detailtreue sie absolut glaubwürdig macht.

Welche Arten von Phishing gibt es?

Es gibt verschiedene Formen von Phishing-Attacken, abhängig von der spezifischen Technik, mit der Hacker an die Daten gelangen. Die Hauptkategorien, in die diese Arten von Cyberangriffen unterteilt werden, sind:

• Täuschungs-Phishing: Diese Form definiert Angriffe, bei denen sich die Phisher als reale Unternehmen, Institutionen oder Personen ausgeben. Es handelt sich um die häufigste Form und in der Regel haben die Angreifer kein bestimmtes Ziel. Sie streuen den Köder einfach an eine breite Masse und hoffen, dass die meisten Menschen auf sie hereinfallen.
• Personalisiertes Phishing oder Spear-Phishing: Diese Attacken richten sich im Gegensatz zur vorherigen gegen bestimmte Personen und es gibt festgelegte Ziele. Bei personalisiertem Phishing suchen Hacker in der Regel über LinkedIn nach den benötigten Informationen für die Phishing-Kampagne, um ihren Köder glaubwürdiger zu machen.
• Whaling: Der Name bezieht sich auf den Walfang, da es hierbei darum geht, wichtige Personen wie Führungskräfte, Manager oder CEOs zu täuschen. Ziel ist es, wertvolle Daten zu erschleichen, die größere Vorteile bringen. Diese Art von Phishing-Attacke erfordert eine große Menge an persönlichen Informationen. Die Nutzung dieses Know-hows führt dazu, dass die Zielperson dem Phisher vollständig vertraut.
• CEO-Fraud: In diesem Fall geben sich Phisher als ein CEO oder andere hochrangige Personen im Betrieb aus, um über die Mitarbeiter an Daten von ihren Zielunternehmen zu gelangen. CEO-Betrug ist oft ein Teil von Whaling. Denn wenn es ihnen gelingt, ein glaubwürdiges CEO- oder Senior-Manager-Profil zu erstellen, ist es wahrscheinlicher, dass andere Führungskräfte dem Phisher vertrauen.
• Pharming: Hierbei handelt es sich um einen Phishing-Angriff, bei dem versucht wird, die Schwachstelle des Domain-Name-System (DNS) auszunutzen und den User auf eine replizierte gefälschte Seite zu führen.
• Phishing von Dropbox und Google Docs: Phisher erstellen falsche Versionen der Anmeldeseiten dieser Informationsdienste in der Cloud. Sobald der Benutzer seine Zugangsdaten eingibt, verwendet der Hacker diese auf der echten Seite und lädt alle Informationen herunter, die dort vorhanden sind.
• Klonen von E-Mail-Konten: Dies ist ein Phishing-Angriff, bei dem das E-Mail-Konto des Opfers geklont wird und bösartige Links in einer Nachricht an alle seine gestohlenen Kontaktadressen gesendet werden.
• Link-Manipulation: Hiermit ist das Senden von gefälschten URLs, die echt aussehen, gemeint. Beim Zugriff erhalten die Phisher alle Daten des Nutzers. Gefälschte URLs werden erstellt, indem ein Zeichen durch ein ähnliches ersetzt wird.
• Scripting zwischen Webseiten: Dies ist eine sehr ausgeklügelte Technik, bei der Phisher das gesamte Erscheinungsbild einer Website replizieren. Ziel ist es, eine identische Seite zu erstellen, die eine Falle für User ist, um an ihre Daten zu gelangen.

Obwohl die meisten Phishing-Fälle per E-Mail auftreten, ist dies nicht die einzige Möglichkeit, wie Phisher unsere Daten stehlen. Immer mehr Datendiebstahl-Kampagnen finden über SMS oder WhatsApp statt.

Wie kann ich mein Unternehmen vor Phishing schützen?

Je nach der Art und Weise, mit der die Phisher Sie angreifen, kann es sehr schwer zu erkennen sein, ob es sich um einen Phishing-Attacke handelt. Experten empfehlen in der Regel folgendes, um sich und seine persönlichen Daten vor Betrügern im Internet zu schützen:

• Öffnen Sie keine Links, die Sie nicht kennen.
• Verbessern Sie Ihre interne Kommunikation und fragen Sie Ihre Kollegen, wenn Sie eine E-Mail erhalten, die Sie nicht erwarten.
• Öffnen Sie keine E-Mail-Adressen, mit denen Sie nicht interagieren.
• Wenn Sie einen Link von einem E-Mail-Konto erhalten, das Sie für verdächtig halten, klicken Sie nicht darauf. Geben Sie die originale Adresse in Ihrem Internet-Browser ein und überprüfen Sie, ob es sich um dieselbe URL handelt.
• Wenn es sich um eine Website handelt, suchen Sie nach dem digitalen Zertifikat. Sie können auch prüfen, ob es sich um eine HTTPS-Website handelt. Das S zeigt an, dass es eine sichere Domain ist.
• Schulen Sie alle Mitglieder Ihres Betriebs, unabhängig von ihrer Position, insbesondere Manager und Finanzteams, da sie über wertvollere Informationen verfügen.
• Legen Sie Verfahrensrichtlinien fest, die es zu befolgen gilt.
• Überprüfen Sie immer Ihre Finanzprozesse.
• Implementieren Sie spezialisierte Systeme für Cyber-Sicherheit in Ihrer Firma.
• Nutzen Sie sichere Anmeldesysteme.
• Verwenden Sie digitale Signaturen in Ihren E-Mails.

Letztendlich besteht die wichtigste Verteidigung gegen Phishing darin, äußerst vorsichtig und skeptisch zu sein. Im Phishing-Radar der Verbraucherzentrale werden regelmäßig Warnungen zu aktuellen Phishing-Attacken bereitgestellt.

Mit einem Konto bei Amazon Business profitieren Sie von einem sicheren Login sowie anderen Tools, die Ihnen die größte Sicherheit bei Ihren Geschäftseinkäufen garantieren. Außerdem können Sie auf einen Pool von Lieferanten zurückgreifen, die von Amazon verifiziert sind. Damit sind Sie immer auf der sicheren Seite.

^Referenzen

_{¹ Ironhack, 30.10.2020, Analyse: Diese Länder sind für Cyberkriminelle und Hacker besonders attraktiv.
https://www.ironhack.com/de/neuigkeiten/analyse-diese-laender-sind-fuer-cyberkriminelle-und-hacker-besonders-attraktiv
² OpenText, 22.09.2020. Der digitale Virus: Deutsche Arbeitnehmer unterschätzen das derzeitige Phishing-Mail-Risiko.
https://www.opentext.de/uber-uns/press-releases?id=0996004F0F18493BBC5A0A385C3572EB}