Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Wie Sie sich vor Phishing schützen

2023-03-13

Lesezeit: 6 Min.
Dieser Beitrag ist auch auf English, Français, 日本語, Español, und 简体中文 verfügbar.

Sie wachen morgens auf, fühlen sich schläfrig und unausgeschlafen, erhalten eine dringliche E-Mail von einer scheinbar bekannten Quelle und klicken, ohne groß nachzudenken, auf einen Link, den Sie nicht hätten anklicken sollen. Manchmal ist es so einfach, und diese mehr als 30 Jahre alte Phishing-Methode führt dazu, dass Chaos ausbricht – sei es auf Ihrem persönlichen Bankkonto oder in den sozialen Medien, wo ein Angreifer auch beginnt, Ihre Familie und Freunde auszutricksen; oder in Ihrem Unternehmen, was bedeuten könnte, dass Systeme und Daten kompromittiert werden, Dienste unterbrochen werden und alle anderen daraus folgenden Konsequenzen. Anknüpfend an unseren Beitrag „Die 50 Marken, die am häufigsten für Phishing-Angriffe missbraucht werden“ finden Sie hier einige Tipps, wie Sie diese Betrügereien erkennen können, bevor Sie darauf hereinfallen.

How to stay safe from phishing (and avoid being the bait)

Wir sind alle nur Menschen, und die Reaktion auf oder die Interaktion mit einer bösartigen E-Mail ist nach wie vor die primäre Methode, mit der Hacker in Unternehmen eindringen. Laut CISA beginnen 90 % der Cyberangriffe mit einer Phishing-E-Mail. Unternehmen erleiden durch eine ähnliche Art von Phishing-Angriffen, die als Kompromittierung von Geschäfts-E-Mails (BEC) bekannt sind, jährlich Verluste in der Höhe von 43 Mrd. USD. Eines ist sicher: Phishing-Angriffe werden immer raffinierter, dank neuer Tools wie KI-Chatbots und der zunehmenden Nutzung verschiedener Kommunikations-Apps (Teams, Google Chat, Slack, LinkedIn usw.).

Was ist Phishing? So fängt es an (wie Hacker den Fuß in die Tür bekommen)

Es erscheint so banal, aber es ist immer gut, alle in einfachen Worten daran zu erinnern. E-Mail-Phishing ist eine betrügerische Technik, bei der der Angreifer verschiedene Arten von Ködern einsetzt, z. B. eine überzeugende E-Mail oder einen Link, um die Opfer dazu zu bringen, sensible Informationen preiszugeben oder Malware herunterzuladen. Wenn der Köder funktioniert (ein einziges Mal ist für den Angreifer ausreichend) und das Opfer auf den Link klickt, hat der Angreifer nun einen Fuß in der Tür, um weitere Angriffe mit potenziell verheerenden Folgen auszuführen. Jeder kann auf einen allgemeinen „Phishing-Angriff“ hereinfallen – aber diese Angriffe können auch auf ein einzelnes Ziel ausgerichtet sein und spezifische Informationen über das Opfer enthalten, was als Spear-Phishing bezeichnet wird.

Zu den jüngsten Phishing-Fällen gehören Reddit als Ziel, aber auch Twilio und Cloudflare wurden etwa zur gleichen Zeit mit einem ähnlichen Angriff ins Visier genommen. Wir erklären hier „Die Funktionsweise eines raffinierten Phishing-Betrugs und wie wir ihn gestoppt haben“ – dank unserer eigenen Verwendung von Cloudflare One-Produkten. In einigen Fällen kann den Hackern der Home-Computer eines Mitarbeiters als Einfallstor dienen und dies einige Wochen später zu einer größeren Datenschutzverletzung führen.

Die National Cyber Security Centre (NCSC) des Vereinigten Königreichs weist darauf hin, dass Phishing-Angriffe auf Einzelpersonen und Organisationen in einer Reihe von Branchen abzielen. Auch die nationale Cybersicherheitsstrategie desWeißen Hauses (Cloudflare ist auf diese vorbereitet) weist auf diese Risiken hin. Deutschland, Japan und Australien arbeiten an einem ähnlichen Ansatz.

Im Folgenden finden Sie einige Tipps, wie Sie sich vor Phishing-Angriffen schützen können.

Tipps, wie Sie online sicher bleiben: Wie Sie es vermeiden, auf Phishing-Betrug hereinzufallen

  • Die Nicht-klicken-Strategie. Wenn Sie eine E-Mail von Ihrer Bank oder von Behörden wie dem Finanzamt erhalten, klicken Sie nicht auf einen Link in der E-Mail, sondern gehen Sie direkt im Browser auf die entsprechende Webseite (URL eingeben in der URL-Leiste).

  • Achten Sie auf Rechtschreibfehler oder seltsame Zeichen in der E-Mail-Adresse des Absenders. Phishing-Versuche beruhen oft auf ähnlich aussehenden Domains oder „Absender“-Adressen, die zum Klicken verleiten sollen. Übliche Taktiken sind zusätzliche oder vertauschte Buchstaben (microsogft[.]com), Auslassungen (microsft[.]com) oder gleich aussehende Zeichen (der Buchstabe o und 0, oder micr0soft[.]com).

Hier ist ein klassischer Fall von „Phishing durch Nachahmung einer Marke“, bei dem die US-amerikanische Bank Chase als vertrauenswürdiger Köder eingesetzt wird:

Der Link im Nachrichtentext scheint eine Domain von Chase zu sein. Klickt man jedoch darauf, öffnet sich eine SendGrid-URL (eine bekannte E-Mail-Versandplattform). Anschließend wird der Nutzer auf eine Phishing-Website umgeleitet, die so aussehen soll, als wäre die Webseite von Chase

  • Denken Sie gründlich nach, bevor Sie auf Links wie „Konto freischalten“ oder „Zahlungsdaten aktualisieren“ klicken. Tech-Services waren eine der am häufigsten von Phishing-Kampagnen ins Visier genommenen Branchen, da sich in unseren E-Mails, Online-Speichern und Social-Media-Konten persönliche Informationen befinden. Bewegen Sie den Mauszeiger über einen Link und vergewissern Sie sich, dass es sich um eine URL handelt, die Sie kennen, bevor Sie darauf klicken.

  • Vorsicht bei finanzbezogenen Nachrichten. Finanzinstitute sind am häufigsten von Phishing betroffen. Halten Sie also inne und prüfen Sie alle Nachrichten, in denen Sie aufgefordert werden, eine Zahlung zu akzeptieren oder vorzunehmen.

  • Achten Sie auf Nachrichten, die ein Gefühl der Dringlichkeit vermitteln. E-Mails oder SMS-Nachrichten, die vor einer letzten Chance warnen, ein Paket abzuholen oder ein Konto zu bestätigen, sind wahrscheinlich gefälscht. Durch die Corona-Pandemie haben immer mehr Menschen online eingekauft, in weiterer Folge sind Einzelhandels- und Logistik-/Versandunternehmen ein beliebtes Ziel für diese Art von Phishing-Angriffen geworden.

    Sowohl Finanz- als auch Paketversand-Betrügereien nutzen typischerweise den SMS-Phishing-Angriff (auch als „Smishing“ bezeichnet). So heißen diese Angriffe, weil Angreifer SMS-Nachrichten verwenden, um die Opfer zu ködern. Cloudflare war vor ein paar Monaten das Ziel eines solchen Phishing-Angriffs (der Angriff wurde gestoppt). Im Folgenden zeigen wir Ihnen ein Beispiel für eine SMS-Nachricht aus diesem vereitelten Angriff:

  • Was zu gut klingt, um wahr zu sein, ist es wahrscheinlich auch. Hüten Sie sich vor „zeitlich begrenzten Angeboten“ für kostenlose Geschenke, exklusive Dienstleistungen oder tolle Angebote für Reisen nach Hawaii oder auf die Malediven. Phishing-E-Mails möchten uns ein Gefühl der Befriedigung, der Freude oder der Begeisterung vermitteln, um uns dazu zu bringen, in kürzester Zeit eine Entscheidung zu treffen, ohne die Dinge zu durchdenken. Mit dieser Art von Taktik werden Nutzer dazu verleitet, auf einen Link zu klicken oder vertrauliche Informationen anzugeben. Halten Sie inne, auch wenn es nur ein paar Sekunden sind, und schauen Sie schnell online nach, ob andere ähnliche Angebote erhalten haben.

  • Sehr wichtige Nachricht von einem sehr wichtigen... Phishing-E-Mails geben manchmal vor, von hochrangigen Personen zu stammen, und drängen auf dringende Maßnahmen wie Geldüberweisungen oder die Weitergabe von Anmeldedaten. Prüfen Sie E-Mails mit solchen Anfragen und verifizieren Sie deren Echtheit. Kontaktieren Sie Ihren Vorgesetzten, wenn der Absender ein Geschäftsführer ist. Bei unbekannten Politikern sollten Sie die Durchführbarkeit der Anfrage prüfen, bevor Sie antworten.

  • Der Nachrichtentext ist voller Fehler (aber Vorsicht vor KI-Tools). Schlechte Grammatik, Rechtschreibung und Satzstruktur können ein Hinweis darauf sein, dass eine E-Mail nicht von einer seriösen Quelle stammt. Allerdings haben die neuesten KI-Text-Tools es Hackern oder schlechten Akteuren leichter gemacht, überzeugende und fehlerfreie E-Mail-Texte zu erstellen.

  • Romantik-Betrug per E-Mail. Dabei handelt es sich um E-Mails, in denen Betrüger eine falsche Online-Identität annehmen, um die Zuneigung und das Vertrauen des Opfers zu gewinnen. Sie können auch eine E-Mail senden, die scheinbar irrtümlich gesendet wurde und den Empfänger dazu veranlasst, zu antworten und ein Gespräch mit dem Betrüger zu beginnen. Diese Taktik wird verwendet, um Opfer zu ködern.

  • Verwenden Sie einen Passwort-Manager. Passwort-Manager überprüfen, ob der Domain-Name mit dem übereinstimmt, was Sie erwarten, und warnen Sie, wenn Sie versuchen, Ihr Passwort für einen falschen Domain-Namen einzugeben.

Wenn Sie eine potenzielle Phishing-E-Mail noch genauer unter die Lupe nehmen möchten, können Sie in unserem Learning Center nachlesen, was passiert, wenn eine E-Mail die Standard-Authentifizierungsmethoden wie SPF, DKIM oder DMARC nicht besteht.

Ein paar weitere Trends, die mit Cloudflare zusammenhängen, neben den 50 am häufigsten nachgeahmten Marken, stammen von Cloudflare Area 1. 2022 haben unsere auf den E-Mail-Schutz ausgerichteten Dienste 2,3 Milliarden unerwünschte Nachrichten identifiziert und von den Posteingängen unserer Kunden ferngehalten. Im Durchschnitt haben wir 6,3 Millionen Nachrichten pro Tag blockiert. Das entspricht fast 44.000 Nachrichten alle 10 Minuten. So lange dauert es, einen Blogbeitrag wie diesen zu lesen.

Die am häufigsten verwendeten Arten von E-Mail-Bedrohungen (wenn man unsere Area 1-Daten vom 1. Januar 2023 betrachtet) sind: Identitätsbetrug, bösartige Links, Markenimitation, bösartige Anhänge, Betrug, Erpressung, Kompromittierung von Konten. Und dann gibt es noch Voice Phishing.

Voice Phishing, auch bekannt als Vishing, ist eine weitere weit verbreitete Bedrohung und bezieht sich auf die Praxis, Menschen durch Telefonanrufe zur Weitergabe sensibler Informationen zu verleiten. Den Opfern wird vorgegaukelt, dass sie mit einer vertrauenswürdigen Instanz sprechen, z.B. mit der Steuerbehörde, ihrem Arbeitgeber oder einer von ihnen genutzten Fluggesellschaft. Hier erfahren Sie mehr darüber, wie Sie sich oder Ihr Unternehmen vor Voice Phishing schützen können.

Eine weitere Angriffsart ist der Watering Hole-Angriff, bei der Hacker Websites identifizieren, die von Nutzern innerhalb eines Zielunternehmens häufig aufgerufen werden, und dann diese Websites kompromittieren, um Malware zu verbreiten. Diese Angriffe werden oft mit Supply Chain-Angriffen in Verbindung gebracht.

Als Nächstes zeigen wir ein Beispiel für eine Phishing-E-Mail, die wir von einem echten Lieferanten erhalten haben, dessen E-Mail-Konto im Rahmen eines so genannten Rechnungsbetrugs gehackt wurde:

Zu guter Letzt gibt es in unserer Liste von Beispielen noch das Kalender-Phishing, bei dem ein Betrüger möglicherweise ein Cloud-E-Mail-Konto nutzt, um gefälschte Einladungen in die Kalender der anvisierten Mitarbeiter einzuschleusen. Dies wird mit den Produkten unseres Cloudflare Zero Trust-Produkts erkannt und verhindert.

Wie wir vor Kurzem anlässlich der CIO Week, geschrieben haben, gibt es auch ein mögliches Sicherheitsnetz, selbst wenn der bestgeschulte Nutzer einen guten Link mit einem schlechten Link verwechselt. Basierend auf dem Cloudflare-Dienst für Browserisolierung macht die Isolierung von E-Mail-Links (Email Link Isolation) die Cloud-E-Mail-Sicherheit von Cloudflare zur umfassendsten Lösung, wenn es um den Schutz vor Phishing-Angriffen geht, die über die reine E-Mail hinausgehen. Es umschreibt und isoliert Links, die ausgenutzt werden könnten, hält Nutzer wachsam, indem es sie auf die Unsicherheit der Website hinweist, die sie besuchen wollen, und schützt vor Malware und Sicherheitslücken. Und wie bei Cloudflare üblich, ist es mit nur einem Mausklick einsatzbereit. Weitere Informationen erhalten Sie im zugehörigen Blogbeitrag.

Allerdings stammen nicht alle bösartigen Links aus E-Mails. Wenn Sie sich Sorgen über bösartige Links machen, die über Instant Messaging oder andere Kommunikationstools (Slack, iMessage, Facebook, Instagram, WhatsApp usw.) kommen, sind Zero Trust und Remote-Browserisolierung eine wirksame Lösung.

Fazit: Vorsicht ist besser als Nachsicht

Wie wir gesehen haben, ist die E-Mail eines der am weitesten verbreiteten und auch am meisten genutzten Tools, das Unternehmen jeden Tag nutzen. Die überwiegende Mehrheit von Angreifern – von den raffiniertesten kriminellen Organisationen bis zu unerfahrenen Angreifern – setzt darum auf die besonders altbewährte Taktik, Nutzer zu einem Klick auf böswillige Links in einer E-Mail zu ködern. Denken Sie also daran, wenn Sie online sind:

Seien Sie vorsichtig. Seien Sie vorbereitet. Bleiben Sie sicher.

Sie möchten mehr über E-Mail-Sicherheit erfahren? Besuchen Sie unser Learning Center oder fordern Sie eine kostenlose Analyse des Phishing-Risikos für Ihr Unternehmen an.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Security Week (DE)PhishingSicherheitCloud Email Security

Folgen auf X

João Tomé|@emot
Cloudflare|@cloudflare

Verwandte Beiträge

08. Oktober 2024 um 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

06. Oktober 2024 um 23:00

Enhance your website's security with Cloudflare’s free security.txt generator

Introducing Cloudflare’s free security.txt generator, empowering all users to easily create and manage their security.txt files. This feature enhances vulnerability disclosure processes, aligns with industry standards, and is integrated into the dashboard for seamless access. Strengthen your website's security today!...

02. Oktober 2024 um 13:00

How Cloudflare auto-mitigated world record 3.8 Tbps DDoS attack

Over the past couple of weeks, Cloudflare's DDoS protection systems have automatically and successfully mitigated multiple hyper-volumetric L3/4 DDoS attacks exceeding 3 billion packets per second (Bpps). Our systems also automatically mitigated multiple attacks exceeding 3 terabits per second (Tbps), with the largest ones exceeding 3.65 Tbps. The scale of these attacks is unprecedented....