Die Betrugsmaschen im Internet werden immer ausgefeilter – und damit immer schwieriger zu enttarnen. Wusstest du, dass allein fünf verschiedene Arten von Phishing existieren? Wir zeigen die mitunter recht ähnlichen Varianten verständlich auf. Und weil wir mit ähnlichen Mitteln wie die Angreifer ausgestattet sind, findest du gleich auch fünf geeignete Methoden zum Schutz und zur Verteidigung gegen Cyberangriffe.
Die Varianten von Phishing
Spear-Phishing
Beginnen wir mit der am weitesten verbreiteten Methode: dem Spear-Phishing. Der Angriff läuft per Mail. Die Nachricht wirkt authentisch, der Absender ebenso – aber meist schleichen sich ein paar Schreibfehler in Adresse, Betreff oder Text. Die Mails enthalten schädliche Links oder Dateianhänge. Öffnest du diese, wird der PC mit Malware infiziert.
Smishing
Hintergrund und Ziel von Smishing ist ebenfalls die Infektion mit Schadsoftware. Im Gegensatz zum gewöhnlichen Phishing kommt die Malware aber nicht per Mail, sondern über Textnachrichten. Das Opfer wird auf eine infizierte Website geführt, wo es vertrauliche Informationen eingeben soll.
Vishing
Vishing ist im Grunde dasselbe wie Smishing – nur dass die Abfrage vertraulicher Informationen per Telefonanruf erfolgt. Fällt das Opfer darauf herein, gelangt der Angreifer auf diesem Weg an die sensiblen Daten.
Whaling
Beim Phishing dreht sich vieles ums Fischen und Angeln. Der Wal steht sinnbildlich für den grössten Fisch im Meer. Beim Whaling imitiert der Angreifer die Identität eines Vorgesetzten. Gefälschte Mails unter falschem Namen verleiten Mitarbeitende dazu, sie zu öffnen – und dabei versehentlich Malware herunterzuladen.
Angler Phishing
Angler steht nicht für eine Oberkategorie des Phishings, auch wenn es so aussieht. Die Methode bedient sich ausschliesslich Social Media. Über den News Feed und einzelne Posts werden schädliche Links verteilt, die auf infizierte Webseiten führen. Zum Angler-Phishing zählt auch, wenn Social-Media-Nutzende sensible Informationen veröffentlichen, die dann für Passwort-Erkennung und Datenmissbrauch genutzt werden.
Die passenden Verteidigungsmassnahmen gegen Phishing
Die folgenden Tipps wurden ursprünglich als Strategie zur sicheren Verwaltung des Webshops entwickelt – sie funktionieren aber genauso für alle anderen betrieblichen Online-Prozesse. Angriff ist die beste Verteidigung? Nicht ganz. Wir holen nicht zum Gegenangriff aus. Aber mit ein paar grundlegenden Vorkehrungen bist du gegen alle Phishing-Methoden gut gewappnet.
1. Wissen gegen Wissen
Wer Hintergründe, Ziele und Methodik kennt und versteht, bringt automatisch einen starken Selbstschutz mit. Schulungen für Mitarbeitende helfen bei der allgemeinen Sensibilisierung zur IT-Sicherheit. Weiterbildung fördert ausserdem den Aufbau unternehmenseigener Expertenteams – im besten Fall ist man irgendwann nicht mehr auf externe Unterstützung angewiesen. Gut geschulte Mitarbeitende fallen nicht mehr auf Phishing-Mails und andere Betrugsmaschen herein.
2. Eine Frage des Managements
Gibt es einen Masterplan zur Abwehr von Cyberangriffen? Falls nicht, sollte dringend einer her. Besser Vorsicht als Nachsehen – selbst kleinste Investitionen in die IT-Sicherheit lohnen sich. Vordefinierte Prozesse, Notfallpläne und feste Ansprechpartner sorgen dafür, dass im Ernstfall alles reibungslos läuft. Dazu gehören auch starke Sicherheitsrichtlinien – etwa Vorgaben zur Passwortvergabe und Nutzer-Authentifizierung.
3. Gefahrenerkennung
Vorrangig kommt es wie so oft auf die Mitarbeit an. Ergänzend zu geschulten Angestellten und Experten hilft Monitoring dabei, potenziell riskante Vorgänge sofort zu erkennen. Die eingesetzten technischen Hilfsmittel müssen dabei immer auf dem aktuellsten Stand sein. Sichere Passwortvergabe, mehrstufige Authentifizierung, Virenscanner und Firewalls zählen ebenso dazu. Viele Programme bieten Aufzeichnungs– und Überwachungsmöglichkeiten – die in der Praxis leider viel zu selten vollständig genutzt werden.
4. Über den Tellerrand
Selbst wenn ein Unternehmen viel in die Eigensicherung investiert, gerät der Endverbraucher oft in Vergessenheit. Es gibt genug Beispiele, wie Phishing nicht nur dem direkten Empfänger schadet, sondern im Nachgang auch den Geschäftskontakten. Die Kundenkonten müssen also genauso sicher sein wie die der Mitarbeitenden – mit demselben starken Passwortschutz und verlässlichen Authentifizierungswegen. Wurde die Identität des Unternehmens kompromittiert – etwa durch gefälschte Webseiten oder Fake Shops –, muss die Kundschaft umgehend informiert werden, um Weiterverbreitung und grösseren Schaden zu verhindern.
5. Die künstliche Intelligenz
KI soll den eigenständig denkenden Mitarbeiter nicht ablösen – kann aber dennoch unersetzlich sein. Machine Learning ist aus der IT-Security nicht mehr wegzudenken. In den gängigsten Sicherheitslösungen sind solche Strukturen bereits enthalten. Entscheidend ist, sie auch zu nutzen. Mit etwas eigener Aktivität lassen sich zum Beispiel Spam-Filter trainieren. Monitoring-Prozesse lernen auf dieselbe Weise. Die Regel: Je mehr Input – durch Endnutzer, Mitarbeitende und Co. – desto schneller verbessern und automatisieren sich maschinelle Verfahren weiter.
Auch MELANI warnt vor Phishing
Selbst unsere Schweizer Melde- und Analysestelle für Informationssicherheit meldet eine eklatante Zunahme von Betrugsmaschen im Internet. Unter den dort genannten Varianten steht Phishing auf Platz eins. Nicht nur in, vielmehr auch zu Zeiten der Corona-Krise gelten die Tipps zum Schutz gegen Phishing und Co.
Weiterführende Erkenntnisse von MELANI zeigen ausserdem: Erfolgreiche Cyberangriffe resultieren vor allem aus der Nichtbeachtung empfohlener Sicherheitsstandards. Ignorierte Warnhinweise der Antiviren-Software, zu spärlich geschützte Remote-Zugänge, unbeachtete externe Meldungen oder fehlendes Patch- und Lifecycle-Management werden schnell zum Einfallstor für Cyberkriminelle.