Früher fielen bedrohliche E-Mails meistens durch schlechtes Deutsch oder unpersönliche Anrede ziemlich schnell auf. Heute ist das anders: Solche Anzeichen sind nur selten eindeutige Indizien für Phishing. Auch bei gut formulierten E-Mails sollten Sie stets wachsam sein. Wir erklären Ihnen, worauf es ankommt und wie Sie sich schützen können.
Welche Arten von betrügerischen Mails gibt es?
Bei Phishing-Angriffen wird mit sozialer Manipulation (Social Engineering) versucht, an sensible Daten zu gelangen. Gerne werden Themen benutzt, die oftmals mit Unsicherheit verbunden sind, wie beispielsweise Geldanlage oder Steuerangelegenheiten.
Nachfolgend die häufigsten Strategien, wie Kriminelle dabei vorgehen:
- Deceptive Phishing: Hierbei wird in der E-Mail auf eine Domain hingewiesen, die ein Unternehmen oder eine Organisation vortäuscht. Unter Vorwänden wie Gewinnspielen, Sicherheitsüberprüfungen oder Datenupdates wird der Nutzer zur Eingabe persönlicher Daten aufgefordert. Hier hilft im Zweifel nur eins: Nicht dem Link folgen, sondern die Unternehmenswebsite separat aufrufen.
- Pharming: Bei dieser Methode geht der Phishing-Versuch von einer authentischen Quelle mit einer Aufforderung aus wie zum Beispiel einer Passwortänderung. Das Tückische: Der Link nutzt dieselbe Adresse wie die des Originals, leitet allerdings auf eine Fake-Website um. Hier kann der Betrug nur beim Check der erreichten Website erkannt werden.
- Spear Phishing: Beim Spear Phishing zielt der Angriff nicht wie bei anderen Methoden auf eine breite Masse, sondern auf ausgewählte Adressaten, beispielsweise einzelne Personen eines Unternehmens. Maßgeschneidertes Social Engineering lässt diese Mails für die Empfänger besonders schwer als Betrug erkennen.
- CEO Fraud: Bei dieser Form des Phishing geben sich die Kriminellen als CEO der Firma oder direkter Vorgesetzter aus und fordern einen Mitarbeiter meist zur Zahlung eines Betrages auf, zum Beispiel in Form einer noch offenen Rechnung. Die Täter setzen auf wenig Misstrauen des Empfängers bei einer vermeintlichen E-Mail „von oben“.
- Clone Phishing: Anhand einer echten E-Mail erstellen die Angreifer eine Kopie und tauschen die Anhänge oder Links aus. Dabei geben Sie vor, das die „erste Version“ fehlerhafte Anhänge oder URLs enthielten.
Keine eindeutigen Merkmale
Eines haben alle Arten der Angriffe gemeinsam: Sie wirken auf den ersten Blick meist seriös und sind deshalb nicht immer eindeutig als Betrug zu identifizieren. Die Alarmglocken sollten immer läuten bei direkten Handlungsaufforderungen in der E-Mail, wie beispielsweise der Begleichung einer Zahlung oder Änderung von Anmeldedaten. Auch Drohungen wie z.B. die Sperrung eines Benutzerkontos sind typisch für Phishing-Versuche. Sollte die Nachricht von einer bekannten Person kommen, das Anliegen jedoch ungewöhnlich wirken, könnte dies auf einen CEO Fraud hinweisen.
Beispiele
So schützen Sie sich!
- Sensibilität bei Herausgabe persönlicher Daten wie Anmelde- oder Bankdaten
- Check von Absender-Adresse und verwendeten Domains: So kann zum Beispiel eine zusätzliche Zahl oder Buchstabe des Namen der Firma, Bank oder Organisation auf den Betrug hinweisen
- Auf Nummer sicher gehen Sie bei Links, wenn Sie diese manuell im Web Browser eingeben statt direkt in der Mail zu klicken. Auch das Hovern über den Link kann den Betrug signalisieren (zum Beispiel kryptisch wirkender Link)
- Absolutes Must-Have ist immer eine Schutz-Software. Wir empfehlen Sophos E-Mail Security
Sie fürchten Cyberangriffe in Ihrem Unternehmen oder sind bereits – vielleicht sogar mehrfach – Opfer eines Phishing-Versuchs geworden? Wir bieten Awareness-Schulungen an und führen Praxistests im Rahmen einer gefälschten Phishing-Kampagne durch. Interesse? Sprechen Sie uns einfach an!
Bild: shutterstock.com | 1826032604 | JLStock
