Die Betrugsmaschen im Internet werden immer ausgefeilter, sodass sie immer schwieriger zu enttarnen sind. Wussten Sie beispielsweise, dass allein fünf verschiedene Arten von Phishing existieren? Heute zeigen wir die mitunter recht ähnlichen Varianten verständlich auf. Zum Glück sind wir mit ähnlichen Mitteln wie die Angreifer ausgestattet – deshalb finden Sie auch gleich fünf geeignete Methoden zum Schutz und Verteidigung gegen Cyberangriffe.
Die Varianten von Phishing
Spear-Phishing
Wir beginnen unsere Reise durch die “Welt des Phishings” mit der meist verbreiteten Methode, nämlich dem sogenannten Spear-Phishing. Ein solcher Angriff findet grundsätzlich per Mail statt. Die Nachricht wirkt dabei relativ authentisch, ebenso deren Absender. Allerdings verstecken sich oft ein paar Schreibfehler in Adresse, Betreff oder Text. In der Regel enthalten die Mails schädliche Links oder Dateianhänge. Öffnet man diese, wird der PC mit Malware infiziert.
Smishing
Hintergrund und Ziel von Smishing ist ebenfalls die Infektion des Opfers mit Schadsoftware. Im Gegensatz zum “gewöhnlichen” Phishing kommt die Malware aber nicht per Mail, sondern im Rahmen von Textnachrichten. Das Opfer wird zu einer infizierten Website geführt, wo vertrauliche Informationen einzugeben sind.
Vishing
Viele verschiedene Ausdrücke, die eigentlich dasselbe beschreiben: Das Vishing ist deckungsgleich zum Smishing, nur dass die Abfrage vertraulicher Informationen per Telefonanruf erfolgt. Fällt das Opfer darauf herein, gelangt der Angreifer auf diese andere Weise an die sensiblen Daten.
Whaling
Beim Phishing dreht sich alles um den Oberbegriff Fischen und Angeln. Der Wal, obwohl eigentlich ein Säugetier, steht sinnbildlich für den “grössten Fisch” im Meer. Beim daraus resultierenden Whaling imitiert der Angreifer die Identität eines Vorgesetzten. Gefälschte Mails unter falschem Namen verleiten Mitarbeiter dazu, sie zu öffnen und damit versehentlich Malware herunterzuladen.
Angler Phishing
Obwohl es so aussieht, steht Angler nicht für eine Oberkategorie des Phishings. Die Methode bedient sich ausschliesslich Social Media. Über den News Feed und einzelne Posts werden schädliche Links verteilt, die auf infizierte Webseiten führen. In den “Angler” fällt nebenbei auch die Aktion, wenn der Social Media Nutzer sensible Informationen veröffentlicht, die dann für Passwort-Erkennung und Datenmissbrauch genutzt werden.
Die passenden Verteidigungsmassnahmen gegen Phishing
Die folgenden Tipps dienten ursprünglich als Strategie zur sicheren Verwaltung des Webshops. Allerdings sind sie ebenso effizient auf alle sonstigen betrieblichen Online-Prozesse anwendbar. Angriff ist die beste Verteidigung? Nicht ganz. Wir holen nicht zum Gegenangriff aus, aber mit ein paar grundlegenden Vorkehrungen sind wir bestens gegen alle Phishing-Methoden gewappnet.
1. Wissen gegen Wissen
Wer Hintergründe, Ziele und Methodik kennt und versteht, bringt automatisch einen starken Selbstschutz mit. Schulungen für die Mitarbeiter sind dabei hilfreich für die allgemeine Sensibilisierung zur IT-Sicherheit. Weiterbildung fördert zusätzlich die Entstehung unternehmenseigener Expertenteams, sodass man bestenfalls irgendwann nicht mehr auf externe Unterstützung angewiesen ist. Der gut geschulte Mitarbeiter wird nicht mehr auf Phishing-Mails und die anderen Betrugsmaschen hereinfallen.
2. Eine Frage des Managements
Gibt es einen Masterplan zur Abwehr von Cyberangriffen? Falls nicht, sollte unbedingt einer her. Besser Vorsicht als Nachsehen lautet die Devise, denn auch kleinste Investitionen in die eigene IT-Sicherheit lohnen sich. Vordefinierte Prozesse, Notfallpläne und feste Ansprechpartner sorgen dafür, dass im Ernstfall alles reibungslos und effizient abläuft. Natürlich dürfen auch starke Sicherheitsrichtlinien, wie etwa Vorgaben zur Passwortvergabe und Nutzer-Authentifizierung, nicht fehlen.
3. Gefahrenerkennung
Vorrangig kommt es wie so oft auf die Mitarbeit an. In Ergänzung zu geschulten Angestellten und Experten dient Monitoring dazu, auch potenziell riskante Vorgänge sofort zu erkennen. Die verwendeten technischen Hilfsmittel sind dabei immerzu auf aktuellstem Stand zu halten. Die besagte sichere Passwortvergabe oder Authentifizierung in mehreren Stufen zählen ebenso dazu wie genutzte Virenscanner und Firewalls. Viele Programme besitzen Aufzeichnungs– und Überwachungsmöglichkeiten, die in der Realität leider viel zu selten umfänglich genutzt werden.
4. Über den Tellerrand
Selbst, wenn das Unternehmen viel in die Eigensicherung investiert, gerät der Endverbraucher häufig in Vergessenheit. Es gibt diverse Beispiele, wie Phishing nicht nur dem direkten Empfänger, sondern im Nachgang auch den Geschäftskontakten schadet. Die Kundenkonten müssen also genauso sicher sein wie die der Mitarbeiter. Das bedeutet denselben starken Passwortschutz und Wege zur erfolgreichen Authentifizierung. Wurde beispielsweise die Identität des Unternehmens auf irgendeine Weise kompromittiert (gefälschte Webseiten oder auch Fake Shops), ist die Kundschaft umgehend darüber in Kenntnis zu setzen, um Weiterverbreitung und grösserem Schaden vorzubeugen.
5. Die künstliche Intelligenz
Die soll keinesfalls den eigenständig denkenden Mitarbeiter ablösen, kann mitunter dennoch unersetzlich sein. Das sogenannte Machine Learning ist aus der IT-Security nicht mehr wegzudenken. In den gängigsten Softwares sind derlei Strukturen bereits enthalten. Es gilt allerdings, sie auch zu nutzen und wirken zu lassen. Mit ein wenig eigener Aktivität werden zum Beispiel Spam-Filter trainiert. Prozesse wie das Monitoring können auf dieselbe Weise lernen. Es gilt, je mehr Input (durch Endnutzer, Mitarbeiter und Co.), desto schneller lassen sich maschinelle Verfahren noch weiter verbessern und verstärkter automatisieren.
Auch MELANI warnt vor Phishing
Selbst unsere Schweizer Melde- und Analysestelle für Informationssicherheit meldet eine eklatante Zunahme von Betrugsmaschen im Internet. Unter den dort genannten Varianten befindet sich das Phishing auf Platz Eins. Nicht nur in, vielmehr auch zu Zeiten der Corona-Krise, gelten die Tipps zum Schutz gegen Phishing und Co.
Weiterführende Erkenntnisse von MELANI zeigen ausserdem, dass erfolgreiche Cyberangriffe vor allem aus Nichtbeachtung empfohlener Sicherheitsstandards resultieren. So werden das Ignorieren von Warnhinweisen der Antiviren-Software, zu spärlich geschützte Remote-Zugänge, unbeachtete externe Meldungen oder fehlendes Patch- und Lifecycle-Management schnell zum Einfallstor von Cyberkriminellen.