Die zunehmende Bedrohung von Phishing-Angriffen stellt Organisationen vor ernste Herausforderungen. In der heutigen digitalen Ära ist es unerlässlich, sich über die gängigen Arten von Phishing-Betrügereien im Klaren zu sein, wie sie funktionieren und welche präventiven Maßnahmen ergriffen werden können. Phishing-Angriffe zeigen keine Anzeichen eines Rückgangs. Laut einer Studie zu Phishing-Trends und -Intelligenz von PhishLabs aus dem Jahr 2019 ist die Anzahl der Phishing-Angriffe im Jahr 2018 um 40,9 % gestiegen, wobei 83,9 % der Angriffe auf fünf Branchen abzielten: Finanzwesen, E-Mail, Cloud, Zahlungs- und SaaS-Dienste. Bis 2023 richteten weltweit über 23 % der Phishing-Angriffe ihr Augenmerk auf Finanzinstitute, soziale Medien, webbasierte Software-Dienste und Webmail, wie neuere Studien zeigen.
Seit März 2020 haben 81 % der Organisationen weltweit eine Zunahme von E-Mail-Phishing-Angriffen erlebt, wie aus Forschungen von IRONSCALES hervorgeht. Während bestimmte Branchen am häufigsten angegriffen werden, haben Phishing-Angriffe ihren üblichen Fokus auf Organisationen in bestimmten Branchen wie Finanzunternehmen, Online-Dienstleistern und Cloud- und Dokumentenverwaltungsunternehmen erweitert. Die zunehmenden Fälle von Phishing-Angriffen stellen mittlerweile eine erhebliche Bedrohung für alle Organisationen und Unternehmen dar, insbesondere für internetbasierte Unternehmen. Unternehmen jeder Art müssen Phishing-Betrügereien schnell erkennen und identifizieren, um ihre Daten und sensiblen Informationen zu schützen. Um Ihnen zu helfen, die Bedrohung durch Phishing-Angriffe zu bekämpfen, hier eine Liste von fünf gängigen Arten von Phishing-Angriffen und Tipps zur Verhinderung von Angriffen: 1.
Täuschendes Phishing Dieser Phishing-Angriff ist die häufigste Art von Phishing-Angriff. Bei dieser Art von Täuschung imitieren Betrüger eine echte Organisation und versuchen, die Anmeldeinformationen oder persönliche Informationen von Einzelpersonen zu stehlen. Diese E-Mails verwenden häufig Dringlichkeit oder Drohungen, um die Benutzer in Panik zu versetzen und das zu tun, was die Hacker wollen. Zum Beispiel könnten PayPal-Betrüger Organisationen eine Phishing-E-Mail senden, die die Empfänger auffordert, auf einen Link zu klicken, um eine Unstimmigkeit mit ihrem Online-Konto zu identifizieren. Aber dieser Link leitet den Empfänger auf eine gefälschte PayPal-Anmeldeseite um, die die Daten des Opfers sammelt, wie z.
B. Anmeldeinformationen, die dann an die Angreifer gesendet werden. Der Erfolg des Phishing-Angriffs hängt von der Aufmerksamkeit des Benutzers und davon ab, wie genau eine Betrugs-E-Mail der authentischen Korrespondenz der angezielten Organisation ähnelt. Um Ihre Organisation und persönlichen Informationen vor solchen Angriffen zu schützen, müssen Sie alle URLs sorgfältig überprüfen, um festzustellen, ob sie Sie auf eine andere verdächtige Website umleiten. Schauen Sie auch nach Grammatikfehlern, allgemeinen Anreden und Rechtschreibfehlern in der E-Mail, um betrügerische Nachrichten zu erkennen.
2. CEO-Betrug In einigen Fällen können Betrüger entscheiden, CEO-Betrug durchzuführen. Dies ist auch als Geschäftsbetrug per E-Mail (BEC) bekannt. Beim CEO-Betrug verwenden Hacker kompromittierte E-Mail-Konten von Firmenchefs oder anderen Führungskräften, um falsche Überweisungen an das von ihnen gewählte Finanzinstitut zu genehmigen. Die Betrüger können auch diese kompromittierten E-Mail-Konten und E-Mail-Aufzeichnungen verwenden, um W-2-Phishing durchzuführen, in dem sie W-2-Daten für alle Mitarbeiter anfordern, um falsche Steuererklärungen in deren Namen einzureichen oder diese Informationen im Darknet zu veröffentlichen.
Diese Art von Angriffen auf Top-Manager hat oft Erfolg, wenn sich hochrangige Funktionäre nicht für Sicherheitsschulungen mit ihren Mitarbeitern interessieren. Um den mit CEO-Betrug und W-2-Phishing verbundenen Risiken entgegenzuwirken, sollten Unternehmen verlangen, dass ihr gesamtes Personal - einschließlich der Top-Manager - regelmäßig Sicherheitsschulungen absolvieren. Unternehmen sollten auch darüber nachdenken, Mehrfaktorauthentifizierungsmethoden in ihren finanziellen Genehmigungsprozess zu integrieren, damit niemand Zahlungen allein per E-Mail autorisieren kann. 3. Rufschädigendes Phishing Nicht alle Phishing-Angriffe verwenden "Spray and Pray"-Methoden, um einfache Ziele zu finden.
Einige von ihnen sind auch auf individuellen Kontakten angewiesen, sonst wären sie weniger erfolgreich. So betreten Rufschädigungs-Phishing-Tricks das Spiel. Bei diesem Typ des Phishings verändern Betrüger ihre betrügerischen Mitteilungen mit dem Namen des Ziels, der Firma, der Position, der Arbeits-Telefonnummer und anderen Daten, um den Empfänger glauben zu lassen, dass er den Absender kennt. Das Ziel ist dasselbe wie beim täuschenden Phishing - sie versuchen auch, den Empfänger dazu zu bringen, auf schädliche Anhänge oder URLs in der Betrugsmail zu klicken. Um solche Phishing-Mails zu bekämpfen, müssen Unternehmen kontinuierliche Sicherheitsschulungen für ihre Mitarbeiter durchführen.
Diese Schulungen sind wichtig, um Mitarbeiter über Betrügereien aufzuklären und sie davon abzuhalten, persönliche Informationen, Firmenaufzeichnungen von Führungskräften und andere sensiblen Unternehmensdaten in öffentlichen Foren wie sozialen Netzwerken zu veröffentlichen. Sie sollten auch in Anti-Malware-Maßnahmen investieren, um eingehende E-Mails zu analysieren und bösartige E-Mail-Anhänge und Links von Betrügern zu identifizieren und zu kennzeichnen. Diese Lösung hilft dabei, Indikatoren für sowohl Zero-Day-Bedrohungen als auch bekannte Malware zu identifizieren. 4. Vishing Bisher haben wir über Phishing-Angriffe gesprochen, die ausschließlich auf E-Mails als Kommunikationsmethode angewiesen sind.
E-Mail ist zweifellos ein weit verbreitetes Werkzeug für Cyberkriminelle. Dennoch greifen Betrüger auch auf andere Medien zurück, um kriminelle Aktivitäten auszuführen. Nehmen wir zum Beispiel Vishing. Bei dieser Art von Phishing-Angriff wird nicht eine E-Mail gesendet, sondern es wird ein Telefonanruf getätigt. In diesem Betrug kann ein Angreifer einen Betrug durchführen, indem er einen Voice over Internet Protocol (VoIP)-Server einrichtet, um verschiedene Entitäten zu imitieren, um Ihre sensiblen Informationen oder Gelder zu stehlen.
Vishing-Angriffe haben im Laufe der Zeit verschiedene Formen angenommen. Im September 2019 setzten einige digitale Hacker zum Beispiel einen verheerenden Vishing-Angriff ein in dem sie versuchten, die Passwörter von britischen Abgeordneten und Parlamentsmitarbeitern zu stehlen. Kurz nach diesem gewagten Angriff wurden auch andere prominente Organisationen und Institutionen ins Visier genommen. The Next Web wurde von Vishern angegriffen, die sich als Boss ihres deutschen Mutterunternehmens ausgaben und einem britischen Tochterunternehmen rund 243.000 Dollar abzwangen.
Um Ihr Unternehmen vor solchen Vishing-Angriffen zu schützen, sollten Sie Ihre Kunden darüber informieren, nicht auf Anrufe von unbekannten Telefonnummern zu reagieren, die vorgeben, Ihr Unternehmen zu sein. Geben Sie auch keine persönlichen Informationen über einen Telefonanruf preis. Und verwenden Sie eine Anruferkennungs-App, um Anrufer zu identifizieren und Betrüger zu vermeiden. 5. Smishing Vishing ist nicht die einzige Art von Phishing, die digitale Betrüger über ein Telefon ausführen können.
Sie können auch andere Arten von Telefonbetrugsangriffen durchführen, die als Smishing bekannt sind. Diese spezielle Art von Phishing-Angriff verwendet bösartige und betrügerische SMS-Nachrichten, um Benutzer dazu zu bringen, zurückzurufen, auf einen bösartigen Link zu tippen und/oder ihre persönlichen Informationen preiszugeben. Wie Visher geben sich auch Smisher als verschiedene Entitäten aus, um zu bekommen, was sie wollen. Im Februar 2019 warnte Nokia zum Beispiel seine Kunden vor einer Smishing-Kampagne, bei der digitale Cyberkriminelle als finnisches globales Telekommunikationsunternehmen auftraten und Textnachrichten an Kunden verschickten, die sie darüber informierten, dass sie ein Fahrzeug oder Geld gewonnen hätten. Die Betrugs-SMS forderten die Empfänger dann auf, Geld als Anmeldegebühr für ihr neues Auto zu senden.
Später im Jahr veröffentlichte WATE die Geschichte einer Frau aus Knoxville, Tennessee, die auf einen Smishing-Angriff hereingefallen war. Die Dame hatte Krebs und die Smisher behaupteten erbarmungslos, dass sie einen staatlichen Zuschuss für die Bezahlung ihrer Behandlung bekommen könne. Aber für die Auszeichnung forderten die Betrüger sie auf, zunächst eine Anzahlung zu leisten und auch die Steuern des Zuschusses zu zahlen. Sie können sich gegen Smishing-Angriffe verteidigen, indem Sie die unbekannten Telefonnummern und Anrufe online recherchieren. Rufen Sie das Unternehmen an, das in Textnachrichten genannt wird, um deren Echtheit zu überprüfen.
Abschluss Unternehmen können gängige Arten von Phishing-Angriffen leicht erkennen, indem sie die Tipps in diesem Leitfaden befolgen. Das bedeutet jedoch noch lange nicht, dass Sie immer in der Lage sein, jeden einzelnen Phishing-Angriff zu erkennen. Phishing-Angriffe entwickeln sich ständig weiter, nehmen neue Formen und Strukturen an. Organisieren Sie regelmäßige Sicherheitsaufklärungs- und -schulungsprogramme, damit sowohl Mitarbeiter als auch Führungskräfte auf dem neuesten Stand der Phishing-Taktiken bleiben und Cyberkriminellen einen Schritt voraus bleiben. Ayman Totounji ist der CEO von Cynexlink, einem Managed-IT-Dienstleistungsunternehmen, das kleinen und mittelständischen Unternehmen Technologielösungen wie Cybersicherheit, Managed IT-Services und Cloud-Computing bietet.
--- Das war ein langer und ausführlicher Artikel zu den verschiedenen Arten von Phishing-Angriffen und wie man sich dagegen schützen kann. Ich hoffe, er war informativ und hilfreich!.
