Bei einem Phishing-Angriff versuchen Hacker, Sie dazu zu bringen, vertrauliche Informationen preiszugeben. Ihr Ziel ist es, Anmeldedaten, Kreditkartennummern oder vertrauliche Unternehmensinformationen zu stehlen. Darüber hinaus versuchen sie möglicherweise, Ihre(n) Computer mit Malware zu infizieren.
Unter Phishing versteht man den Versuch eines Diebstahls über vernetzte Geräte. Die Aktion kann manuell erfolgen oder mithilfe eines Tools, das den Vorgang automatisiert. Es kann auch eine Kombination sein, die als skriptbasiertes Tool beginnt, das dem Hacker die Tür öffnet, damit er den Angriff manuell vervollständigen kann.
Die erste Verwendung des Begriffs „Phishing“ reicht zurück ins Jahr 1994, als eine Gruppe Teenager eine Methode erarbeitete, um manuell Kreditkartennummern von ahnungslosen Anwendern auf AOL abzugreifen. Bis 1995 erschufen sie ein Programm namens AOHell, das diese Arbeit für sie automatisierte.
Seitdem entwickeln Hacker immer wieder neue Methoden, um an die Daten von Internetnutzern zu gelangen. Diese Betrüger haben eine Reihe von Programmen und Arten von Schadsoftware entwickelt, die auch heute noch im Einsatz sind. Einige dieser Tools wurden ausschließlich für Penetrationstests oder zum „Hacken mit Erlaubnis“ entwickelt. Sobald ein Tool jedoch existiert, können Kriminelle einen Weg finden, es zu missbrauchen.
Im Laufe der Jahre ist es Hackern gelungen, Schadsoftware speziell für Phishing-Anwendungen zu entwickeln. Ein Beispiel dafür ist PhishX. Dieses Tool wurde entwickelt, um Bankinformationen zu stehlen. Mit PhishX können Angreifer eine gefälschte Website erstellen, die der einer realen Bank nachempfunden ist, bei der Sie möglicherweise ein Konto haben. Dazu personalisieren sie die Seite mit ihrer eigenen Telefonnummer und E-Mail-Adresse. Wenn Sie dann beispielsweise auf die Schaltfläche „Kontakt“ klicken, kommunizieren Sie direkt mit den Hackern.
Phishing Frenzy ist ein E-Mail-Phishing-Tool, das ursprünglich für Penetrationstests entwickelt wurde. Phishing Frenzy erwies sich als benutzerfreundlich, weshalb es viele Hacker einsetzen.
Ein weiteres Phishing-Tool ist Swetabhsuman8. Es dient dazu, Instagram-Konten zu hacken, indem die Angreifer gefälschte Anmeldeseiten erstellen. Wenn Sie versuchen, sich anzumelden, fangen die Hacker Ihren Anwendernamen und Ihr Passwort ab.
Zusätzlich zu gefälschten Websites, E-Mail-Phishing-Tools und schädlichen Anmeldeseiten zum Abgreifen Ihrer Daten richten Hacker Callcenter mit einer Telefonnummer ein, die Sie über eine der E-Mails, gefälschten Websites oder SMS erhalten.
Moderne Ransomware-Erpresser haben es in der Regel auf größere Unternehmen abgesehen, um maximalen Gewinn zu erzielen. In der Regel verbringen sie viel Zeit damit, jeden Bereich des Netzwerks des Opfers zu infiltrieren, bevor sie ihren Ransomware-Angriff starten. Diese Art des mehrstufigen Angriffs beginnt oft mit einer einzigen Phishing-E-Mail.
Obwohl es eine Reihe verschiedener Phishing-Angriffe gibt, ist E-Mail-Phishing die am weitesten verbreitete und am besten erkennbare Form. Diese Angriffsart ist durch Spear Phishing, Whaling und lasergesteuerte Angriffe immer raffinierter geworden. Phishing-Angriffe haben sich auch von E-Mail-Programmen auf Kommunikationsplattformen wie SMS und Social Media ausgebreitet.
Beispiele für Phishing-Angriffe:
Hacker lieben es, die Onlinewelt zu missbrauchen. Dazu erstellen sie gefälschte Websites oder Anmeldeseiten, um vertrauliche Daten abzugreifen. Angreifer versuchen nicht nur, sich Zugang zu Kreditkartennummern, Bankkonten und Anmeldedaten für Social Media zu verschaffen, sondern auch, die Social-Media-Kanäle Ihrer Freunde oder Mitarbeiter auszuspähen. Dies geschieht, wenn sich ein Betrüger Zugang zu Ihrem Konto verschafft und Phishing-Angriffe per Direktnachricht an Ihre Abonnenten, Freunde oder Mitarbeiter sendet. Durch die große Beliebtheit von Social Media hat sich diese Methode in den letzten zehn Jahren immer mehr durchgesetzt.
Es gibt viele Dinge, die Sie tun können, um sich zu schützen. Die erste und mit Abstand wichtigste Maßnahme ist, stets wachsam zu sein.
Die zweite Maßnahme besteht darin, Ihre Konten zu schützen. Passwörter sollten mindestens 20 Zeichen haben. Sie müssen nicht alle vier Optionen verwenden, also Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Zwei oder drei reichen aus, aber Sie sollten die Vorgehensweise variieren, wenn Sie neue erstellen. Viele Nutzer haben Probleme, sich Passwörter zu merken. Erstellen Sie ein einziges langes Passwort, das Sie sich merken können. Verwahren Sie den Rest in einem Passwortmanager wie LastPass oder Password Safe.
Das Wichtigste ist, die Zwei-Faktor-Authentifizierung (2FA) für Ihre Konten zu aktivieren. Wenn die Website nur vorsieht, dass Sie eine SMS mit einem Einmalpasswort per Telefon erhalten, ist dies besser, als nur ein Passwort für den Zugang zu benutzen.
Das National Institute of Standards and Technology (NIST) bezeichnet seine Unterstützung für einmalige Passwörter per SMS als veraltet. Eine bessere Lösung ist es, ein Tool zur Erstellung eines Einmalpassworts zu verwenden, etwa Google Authenticator, Microsoft Authenticator oder LastPass Authenticator. Sie finden diese Optionen in den Einstellungen Ihrer Konten.
Verwenden Sie Softwaretools, um nach Dingen Ausschau zu halten, die Sie leicht übersehen. Verwenden Sie eine Firewall, einen Malware-Schutz, Anti-Malware und Anti-Phishing-Tools. Wählen Sie den Browser, den Sie verwenden, mit Bedacht aus. Schützt Sie der verwendete Browser, indem er auf Dinge wie Phishing-Angriffe achtet? Ist es möglich, ein Plug-in zu ergänzen? Wenn nicht, wählen Sie einen anderen Browser.
Als Unternehmen sollten Sie zusätzlich zu den oben genannten Empfehlungen für Ihre Mitarbeiter folgende Maßnahmen ergreifen:
Weiterführende Artikel
Weiterführende Forschung