9 min Zuletzt auktualisiert: 25.04.2023

Phishing in Ihrem Unternehmen

Phishing ist ein englisches Kunstwort, auf Deutsch lässt es sich ungefähr übersetzen mit: „nach Passwörtern angeln“.

Man versteht darunter den kriminellen Versuch, über Webseiten, E-Mails oder Chat Nachrichten Daten einer Person abzufangen und sie zu schädigen.

Was ist ein Phishing-Angriff?

Phishing kann verschiedene Ziele haben: Passwörter oder TAN-Nummern für das Onlinebanking erschleichen, Computer mit Schadsoftware infizieren oder Menschen dazu bringen, Geld an Betrüger zu überweisen.

Phishing ist zurzeit das größte Problem für die IT-Sicherheit, denn die gefährlichen Nachrichten können leicht verbreitet werden. Und da wir alle nur Menschen sind, fällt leider immer wieder jemand darauf herein.

Welche Arten von Phishing gibt es?

Phishing hat viele Gesichter und kann über viele Wege zu einem gelangen. Meistens handelt es sich um harmlos aussehende E-Mails. Wenn es sehr professionell gemacht wird, schickt zum Beispiel ein Kollege einen vermeintlichen Arbeitsauftrag.

Oftmals meldet sich auch ganz unvermittelt der Geschäftsführer oder ein Vorgesetzter mit einem Arbeitsauftrag oder einer Anweisung eine Zahlung zu leisten. Eine Phishing-Mail kann allerdings auch so aussehen, als würde sich ein Soziales Netzwerk mit einer Benachrichtigung melden. Diese Nachrichten haben meistens das Ziel, das Passwörter auf falschen Webseiten eingegeben werden.

Was soll erlangt werden?

Ziel der Hacker ist es, an Daten der Nutzer zu gelangen, die Sie für sich nutzen können. Das können zum Beispiel folgende Daten sein:

  • Zugangsdaten zu Social Media oder Online-Accounts
  • Zahlungsinformationen wie Kreditkartendaten
  • Zugangsdaten zu Systemen

Daran erkennen Sie eine Phishing E-Mail

Diese Liste hilft Ihnen dabei, Phishing E-Mails zu entlarven
  • Die E-Mail kommt unerwartet oder überraschend
  • Betrügerische Links sind enthalten, die legitimen Internetadressen sehr ähnlich sind (fast identisch)
  • Auffällige E-Mail-Adresse oder Name im Absender
  • Keine persönliche Anrede
  • Dringlicher und drohender Tonfall
  • Unverlangte (infizierte) Dateianhänge
  • Grammatik- oder Rechtschreibfehler

Was ist wenn ich eine Phishing Mail geöffnet habe?

Melden Sie Auffälligkeiten. Es ist allen mehr geholfen, wenn Sie ein Problem nicht verheimlichen. Kehren Sie Vorkommnisse nicht unter den Teppich. Auch wenn Sie sich nicht sicher sind, ob wirklich etwas passiert ist, melden Sie den Vorfall. Kopieren Sie keine Dateien mehr, wenn Ihr Rechner sich merkwürdig verhält. Wichtig ist ganz besonders, dass sie dokumentieren, was passiert ist.

Phishing vorbeugen?

Sie können Phishing nicht wirklich verhindern. Diese Nachrichten erhalten Sie meistens trotz einem guten SPAM-Filter. Sicheren Schutz gegen Phishing-Attacken haben Sie nur, wenn Mitarbeiter geschult sind und wissen, welche Gefahren hinter vermeintlich harmlosen E-Mails stecken.

Social Media Phishing

Was ist Social Media Phishing?

Social Media Phishing ist eine spezielle Art, bei der Nutzern vermeintliche E-Mails von sozialen Netzwerken, wie Facebook, Twitter etc. geschickt werden. Die Hacker nutzen dabei das Layout und Design der Sozialen Medien und wollen Nutzer bestmöglich täuschen, sodass sie auf Links oder Dateien klicken. Hinter diesen Dateien oder Links stecken zum Beispiel gefälschte Webseiten, auf denen Daten eingegeben werden sollen.

Wie sieht Social Media Phising aus?

Meistens handelt es sich dabei um E-Mails, die im Design des sozialen Netzwerks gehalten sind und zu Handlungen auffordern, die das Konto auf dem sozialen Medium schützen sollen.

Beispiele für Social Media Phishing

In der Betreffzeile nutzen die Hacker meistens bekannte soziale Netzwerke. Gut funktionieren allerdings auch Nachrichten, in denen ein Freund die Person vermeintlich auf einem Bild markiert hat. Nachrichten in denen Benachrichtigungen zu Anmeldungen enthalten sind, werden außerdem häufig geklickt. Seltener klicken Nutzer auch auf Nachrichten, die dazu auffordern das Passwort zurückzusetzen.

Was meinen Sie?

Handelt es sich bei unserem Beispiel um eine Phishing E-Mail, oder können Sie hier bedenkenlos auf “Passwort ändern” klicken?

Dieses Beispiel ist wirklich schwierig. Auf den ersten Blick scheint diese E-Mail sicher zu sein. Hierbei handelt es sich allerdings um eine Social-Media-Phishing-E-Mail. Hinweise dafür? Die seltsame Absender-E-Mail, oder der komische Link, der hinter dem Button “Passwort ändern” steckt.

Mobile Banking

Phishing beim Mobile-Banking ist das aktuell lukrativste Angriffs-Modell. Bei dieser Art von Phishing sollen die Zugangsdaten von Mobile Banking Accounts abgefischt werden.

Ziel ist es Überweisungen von Geld auf andere Konten vorzunehmen. Mit diesen goldenen Regeln schützen Sie sich und Ihre Mitarbeiter:

Goldene Regeln vom Bundesamt für Sicherheit in der Informationstechnik (BSI)

  1. Verwenden Sie kein gerootetes / gejailbreaktes mobiles Gerät zum Mobile Banking.
  2. Halten Sie ihr mobiles Gerät hinsichtlich Betriebssystem etc. auf dem aktuellsten Stand.
  3. Installieren Sie die entsprechende Software (Banking App) nur von vertrauenswürdigen Quellen – Ihrer Bank oder Ihrem bekannten App-Store. Installieren Sie Softwareupdates, sobald sie verfügbar sind.
  4. Überlegen Sie genau, ob Sie eine multibankfähige App wählen, um mehrere Konten bei verschiedenen Banken unter Verwendung von Sonderfunktionen mit nur einer Anwendung nutzen zu können. Durch die mögliche Verknüpfung der verschiedenen Kontenbewegungen mit Nutzungs- und Standortdaten besteht die Gefahr der Bildung von Nutzungsprofilen.
  5. Sichern Sie die Banking-App mit einem starken Passwort. Nutzen Sie dabei die von der Bank angebotene starke Kundenauthentifizierung (Strong Customer Authentisierung).
  6. Schließen Sie nicht einfach die App, sondern melden sich in der Banking-Anwendung korrekt über den Button „Logout“ oder „Abmelden“ ab.
  7. Geben Sie Ihre PIN/TAN für das Banking-Konto nicht an Dritte weiter. Speichern Sie PIN und TAN auch nie als getarnte Telefonnummern oder Geburtsdaten im Gerät.
  8. Nutzen Sie die Sperrfunktion Ihres mobilen Gerätes. Das Gerät kann so erst nach Eingabe eines Codes oder Nutzung der biometrischen Sperrfunktionen wieder genutzt werden.
  9. Lassen Sie bei Verlust des mobilen Gerätes unverzüglich Ihre SIM-Karte und alle Zugänge zu Ihren hinterlegten Bankkonten sperren.
  10. Überprüfen Sie regelmäßig Ihre Kontobewegungen und informieren Sie Ihre Bank, wenn Ihnen etwas nicht richtig erscheint.
  11. Nutzen Sie keine öffentlichen Netzwerke bzw. (öffentlichen) WLAN Hotspots, wenn Sie Mobile Banking verwenden.
  12. Aktivieren Sie Bluetooth, NFC, WLAN nur bei Gebrauch, um es Angreifern zu erschweren, eine Verbindung mit dem mobilen Gerät herzustellen. Sie können die Funktionen in den Schnelleinstellungen aus- und einschalten.

Goldene Regeln zu sicherem Mobile-Banking entnommen vom: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Online-Schulung IT-Sicherheit

Inhaltsangabe

Unsere Auszeichnungen

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6376948318294 von 5 Sternen 2438 Bewertungen auf ProvenExpert.com

E-Learnings

Darum lawpilots

Expertise

Unternehmen

Ressourcen

*Verkauf nur an Unternehmer, Gewerbetreibende, Freiberufler und öffentliche Einrichtungen. Kein Verkauf an Verbraucher im Sinne des § 13 BGB.