THE COMPLIÄNCE - Consulting Team by yourIT

Hier bloggen wir als #THECOMPLIÄNCE. Seit über 18 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Beauftragter in den Bereichen Cybersecurity (NIS2), Datenschutz (EU-DSGVO) & Informationssicherheit (ISO 27001). Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen in verschiedenen Branchen wie Maschinenbau, Medizintechnik, Lebensmittel, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Dienstag, 7. Januar 2025

Phishing-Attacken beschreiten neue Wege

Bei Passwortdiebstahl über Phishing-Attacken denken viele an E-Mails, die auf gefälschte Anmeldeseiten locken sollen. Doch Phishing-Mails sind nicht das einzige Risiko.

Bild: Phishing

Datendiebe gehen jetzt neue und unerwartete Wege, um an Ihre Daten zu kommen.

Angriffe kommen (nicht nur) über E-Mail

Cyberangriffe mithilfe von E-Mails sind weiterhin eine große Bedrohung für Unternehmen, Organisationen und Bürgerinnen und Bürger, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Insbesondere Phishing-Mails, mit denen Zugangsdaten oder ganze Identitäten gestohlen werden sollen, sind ein weithin genutztes Angriffsmittel.

Diese Warnung der IT-Sicherheitsbehörde des Bundes darf aber nicht missverstanden werden. Viele Cyberattacken beginnen mit einer bösartigen E-Mail, die einen schadhaften Anhang oder einen Link auf eine gefälschte Login-Seite enthält. Das bedeutet aber nicht, dass Datendiebe nur auf E-Mails setzen, um ihre Opfer zu erreichen.

Wissen Sie, wie vielfältig die Phishing-Gefahr ist?

Die Lösungen finden Sie am Ende des Beitrags.

Frage 1: Phishing ist ein digitales Risiko. Stimmt das?

1. Nein, Angreifende versuchen auch per Fax, Brief, Telefon oder persönliche Ansprache vertrauliche Daten zu erlangen.

2. Ja, erst mit der Digitalisierung sind auch die Phishing-Attacken möglich geworden, denn sie locken die Opfer auf manipulierte Links und Webseiten.

Frage 2: Auch SMS-Nachrichten können Phishing-Links enthalten und einen Angriff darstellen. Stimmt das?

1. Ja, jede Form der Kommunikation kann für Phishing genutzt werden.

2. Nein, bei SMS gibt es doch gar keine Links, auf die man klicken könnte.

Auch bei Teams & Co gibt es (gefährliche) Nachrichten

Da Videokonferenzen über Teams und vergleichbare Dienste zunehmend verbreitet sind und häufig genutzt werden, hat auch die Zahl der darüber verschickten Nachrichten zugenommen. Während eines Video-Calls sendet der Gesprächspartner zum Beispiel den Link zum gerade besprochenen Projekt. Leider können auch die Links, die über Teams & Co verschickt werden, gefälscht und manipuliert sein.

Microsoft warnt explizit vor möglichen Phishing-Nachrichten über Teams. Security-Unternehmen wie AT&T Cybersecurity berichten von konkreten Vorfällen, bei denen Teams-Nachrichten für Angriffe genutzt wurden. Cyberkriminelle begnügen sich nicht mit E-Mails, um die Empfänger zu täuschen und auszutricksen. Sie setzen auf jede Form der Kommunikation. Leider beschränken sich aber viele Schutzmaßnahmen auf den E-Mail-Kanal. Typische Phishing-Filter zur Erkennung und Blockade von Phishing kontrollieren nur den E-Mail-Eingang.

Auch SMS oder Briefe mit QR-Code können Phishing sein

Der „Global Mobile Threat Report 2024“ von Zimperium berichtet von einem deutlichen Anstieg an „Mishing“-Bedrohungen (Mobile Targeted Phishing). Mittlerweile zielen 82 Prozent der Phishing-Seiten auf mobile Endgeräte, denn dort sind die Displays klein und die Bereitschaft, etwas über den Touchscreen des Smartphones anzuklicken, ist groß. Dabei können die Phishing-Links auch in der guten, alten SMS enthalten sein, denn SMS sind schon lange keine reinen Textnachrichten mehr. Viele Smartphones verarbeiten SMS in Applikationen (Apps), die wie Chat-Programme arbeiten und zum Beispiel aktive Links unterstützen, die sich anklicken lassen und dann gleich den mobilen Browser auf dem Smartphone öffnen.

Polizeibehörden wie das Landeskriminalamt (LKA) NRW und Verbraucherschützer warnen aktuell vor einer weiteren Variante von Phishing: mithilfe von QR-Codes. Datendiebe verbinden ihre digitale Betrugsmasche mit klassischen Informationswegen. Mit QR-Codes, die in Briefen eingedruckt sind, locken sie auf gefälschte Internetseiten. Sie verschicken falsche Bank-Briefe, überkleben Codes auf E-Ladesäulen und verteilen sogar gefälschte Strafzettel mit QR-Codes, die auf Phishing-Seiten führen.

Die Kreativität der Datendiebe kennt kaum Grenzen, jede Möglichkeit wird genutzt, um mit den Opfern zu kommunizieren und sie zu täuschen. Phishing kennt viele Wege, überall ist Vorsicht angesagt, nicht nur bei E-Mails.

Und hier die Lösungen für die Quizfragen:

Lösung Frage 1: Die Antwort 1. ist richtig. Phishing ist der Versuch, insbesondere an Passwörter der Opfer zu gelangen. Ob dies über eine bösartige E-Mail, eine Fax-Nachricht oder einen täuschenden Anruf erfolgt, spielt für die Gefahr nicht wirklich eine Rolle. Es geht auf allen Wegen darum, die Opfer auszutricksen und zu gefährlichem Verhalten zu verleiten, also zum Beispiel einem Dritten ihre Passwörter anzuvertrauen.

Lösung Frage 2: Die Antwort 1. ist auch hier richtig. Auch die SMS-Nachricht kann für Phishing genutzt werden. In der Praxis geschieht dies sogar sehr häufig. Ein typisches Beispiel ist die angebliche SMS des Paketdienstes mit einem Link zur Nachverfolgung der Lieferung. Klickt man den Link in einer SMS an, öffnet sich eine womöglich gefälschte Webseite, wie man es von E-Mails kennt. Da Smartphones keine einfachen Telefone sind, haben sie auch Browser und Internetzugang und können so zum Ziel der Phishing-Angriffe werden.

Benötigen Sie dennoch Hilfe? Kein Problem!

Jetzt Kontakt aufnehmen

Das könnte Sie auch interessieren:

29.10.2024: Awareness - mit einfachen Mitteln viel erreichen