Im vergangenen Quartal gab es eine rekordverdächtige Anzahl von dokumentieren Phishing-Angriffen. Grund dafür ist die konstant steigende Menge an mobilen Geräten, die täglich genutzt werden. Die (finanziellen) Folgen können sowohl für Privatleute als auch Unternehmen dramatisch sein.
Zahlen sprechen deutliche Sprache
Der jüngste „Phishing Activity Trends Report“ der Anti-Phishing Working Group (APWG) für das zweite Quartal 2022 ergab 1.097.811 beobachtete Phishing-Angriffe, die höchste Zahl, die die Gruppe jemals in ihrer Geschichte gemessen hat.
Auch die Zahlen aus den US-Unternehmen sprechen eine deutliche Sprache. Während es 2015 noch durchschnittlich Schäden in Höhe von 3,8 Millionen Euro durch Phishing-Angriffe gab, erhöhte sich diese Zahl 2021 auf 14,8 Millionen Euro.
Phishing-Nachrichten bedeuten auch einen Produktivitätsrückgang. Während sich Mitarbeiter von US-Unternehmen 2015 pro Jahr etwa vier Stunden mit Phishing-Mails beschäftigt haben, seien es 2021 schon sieben Stunden gewesen, so eine Studie.
Was ist Phishing?
Aber was ist überhaupt Phishing? Bei Phishing versuchen Cyberkriminelle mithilfe gefälschter Nachrichten, E-Mails oder Webseiten, deine Daten oder dein Geld zu stehlen (meistens beides zusammen).
Phishing ist älter als das Internet selbst, wer kennt nicht den bekannten „Enkel-Trick“, bei dem Betrüger per Telefonanruf vor allem ältere Menschen um ihr Geld bringen wollen? Durch das Aufkommen des Internets hat sich diese Art der Cyberkriminalität dann weiterentwickelt und eine neue Hochphase durch das Aufkommen von Smartphones und Tablets erfahren, mit denen die Leute ihr Online-Leben mitsamt ihren Daten permanent in der Hosentasche tragen.
Verschiedene Formen von Phishing
Phishing selbst lässt sich in verschiedene Unterkategorien aufteilen; eine Auswahl:
– Spear Phishing: Diese Angriffe sind vorab auf eine bestimmte Person ausgerichtet; bevor der Hacker seine gefälschte E-Mail verschickt, hat er ausgiebige Informationen über die Zielperson eingeholt.
– Whaling: Der Cyberkriminelle gibt vor, eine Person aus der Führungsebene eines Unternehmens zu sein, zum Beispiel ein CEO, Manager oder jemand aus dem Aufsichtsrat.
Das erfordert viel Arbeit für den Hacker, da seine E-Mail mitsamt Layout glaubwürdig erscheinen muss.
– Smishing und Vishing: Zwei Angriffsarten, die für den mobilen Bereich entscheidend sind, da sie per Textnachricht und Telefonanrufe erfolgen. Ein Beispiel ist die Textnachricht (Smishing), die angeblich von einem Versanddienstleister wie DHL oder Hermes stammt und in der behauptet wird, dass du ein Paket erwartest, jedoch zunächst Informationen bestätigen musst. Als letztes Jahr die Daten von mehr als 500 Millionen Facebook-Nutzern gestohlen wurden, nahm Smishing deutlich zu, da Hacker die erbeuteten Telefonnummern für ihre Angriff nutzten.
So erkennst du eine Phishing-Attacke
– Aussehen der Nachricht: Die E-Mail unterscheidet sich von den Nachrichten, die du sonst von dem Unternehmen oder einer Person erhältst. Achte bei SMS-Nachrichten ebenfalls auf gewisse Warnsignale und klicke bei Zweifeln besser nicht auf den Link.
– Anhänge: Es ist unwahrscheinlich, dass Unternehmen Newsletter oder andere Nachrichten mit Anhängen verschicken – außer vielleicht, es handelt sich um eine Rechnung direkt nach einer Bestellung von dir, du kannst dir den Inhalt der E-Mail und den Anhang also offensichtlich erklären.
– Es wird eine Dringlichkeit vorgetäuscht: Die meisten Phishing-Angriffe beruhen auf der Angst der Menschen, etwas zu verpassen, um sie zu fragwürdigen Entscheidungen zu bewegen. Es ist beispielsweise nahezu unwahrscheinlich, dass du per E-Mail eine Gewinnbenachrichtigung über einen hohen Geldbetrag erhältst und über einen Link in der Mail zur Gewinnausschüttung gelangst, vor allem wenn du in letzter Zeit gar nicht an einem Gewinnspiel teilgenommen hast.
– Es wird Angst erzeugt: Cyberkriminelle können vortäuschen, dass sich zum Beispiel jemand versucht hat, in dein PayPal-Konto einzuloggen, und du nun so schnell wie möglich über einen Link handeln muss.
So schützt du dich vor Phishing-Attacken
Mit einem VPN (Virtuelles Privates Netzwerk) sendest du deine Daten verschlüsselst an einen VPN-Server, Hacker haben somit keine Chance, deine Informationen abzugreifen.
Im Zusammenhang mit Phishing-Angriffen haben manche VPNs die nützlichen Funktionen dich vor Malware zu schützen und auf schädliche Webseiten aufmerksam zu machen. Bei letzterem wird die Internetverbindung sofort beendet, wenn du auf solch eine Seite gelangst.
Du kannst ein VPN testen, um dich mit der Funktionsweise vertraut zu machen und Anbieter zu vergleichen.
Darüber hinaus kann ein Spam-Filter nützlich sein, um dich vor Phishing-E-Mails zu schützen. Jedes E-Mail-Programm bietet normalerweise diese Funktion, manche mehr, manche weniger gut. Leider hilft dir dieser Filter nicht, keine Phishing-Nachrichten mehr per SMS zu erhalten.
Gib außerdem die Webadresse manuell im Browser ein. Wenn du zum Beispiel eine vermeintliche SMS von Amazon erhältst, in der du dich erneut in dein Konto einloggen sollst, dann folge nicht dem Link in der Nachricht, sondern gibt die Adresse selbst ein.
Zuletzt solltest du lernen, Phishing-Versuche zu erkennen, wie oben beschrieben.