Google schätzt, dass jedes Jahr mehr als 12,3 Millionen Menschen Opfer von Phishing werden. Obwohl die ersten Phishing-Angriffe Ende des letzten Jahrhunderts registriert wurden und traditionelle Methoden allmählich in den Hintergrund treten, stellt diese Art von Cyber-Betrug weiterhin eine ziemlich ernste Gefahr für Einzelpersonen und Unternehmen dar.
Um das Risiko, Opfer von Phishing zu werden, zu minimieren, sollten Sie sich ausführlich mit dieser Art von Cyberbetrug vertraut machen.
Was ist Phishing?
In den allermeisten Fällen handelt es sich bei Phishing um die Verteilung von Briefen im Auftrag einigermaßen bekannter Unternehmen mit Massencharakter. Solche Nachrichten enthalten normalerweise einen Link, der zu einer Seite führt, die sich auf den ersten flüchtigen Blick nicht von der echten unterscheidet. Durch die Eingabe vertraulicher Informationen in die entsprechenden Felder, die Betrüger mit verschiedenen Tricks erreichen, verschafft der Benutzer Cyberkriminellen Zugang zu seinen Konten.
Wie alles begann
Die erste Erwähnung von Phishing im Zusammenhang mit AOL erschien 1996.
Betrüger, die sich als Mitarbeiter eines Medienunternehmens ausgaben, forderten Benutzer auf, ihnen Passwörter für ihre Konten zu geben, und nachdem sie sich Zugang verschafft hatten, verwendeten sie diese zum Versenden von Spam. Die Verteilung an Zahlungssysteme begann in den frühen 2000er Jahren, und im Jahr 2006 gelangten Cyber-Betrüger zu MySpace und stahlen Benutzerregistrierungsdaten.
Phishing-Ziel
Bedenkt man, dass Phishing-Angriffe sowohl auf Einzelpersonen als auch auf Unternehmen erfolgen können, unterscheiden sich auch die Ziele der Betrüger.
Im ersten Fall besteht das Ziel also darin, Zugang zu Logins und Passwörtern sowie Kontonummern von Nutzern von Bankdienstleistungen sowie Zahlungssystemen und sozialen Netzwerken zu erhalten. Darüber hinaus werden Phishing-Angriffe häufig durchgeführt, um Schadsoftware auf dem Computer eines potenziellen Opfers zu installieren.
Das Auszahlen von Konten, auf die sich Betrüger Zugriff verschafft haben, ist aus technischer Sicht ein ziemlich komplizierter Vorgang, und es ist viel einfacher, eine Person zu fangen, die an solchen Operationen beteiligt ist.
Daher verkauft der Betrüger, nachdem er vertrauliche Informationen erhalten hat, diese in den allermeisten Fällen einfach an andere Personen, indem er bewährte Methoden zum Abheben von Geldern von Konten verwendet. Im Falle eines Phishing-Angriffs auf ein Unternehmen ist das vorrangige Ziel, auf den Account eines der Mitarbeiter zuzugreifen, um anschließend das Unternehmen als Ganzes anzugreifen.
Phishing-Methoden und -Schemata
Social-Engineering-Methode
In diesem Fall informieren Betrüger, die sich als Mitarbeiter bekannter Unternehmen ausgeben, das potenzielle Opfer, dass es notwendig ist, persönliche Daten zu aktualisieren oder diese bereitzustellen, was normalerweise mit einem Systemausfall oder -verlust erklärt wird.
Dieses Schema nutzt die Tatsache, dass Menschen normalerweise auf wichtige Ereignisse reagieren, in deren Zusammenhang die Organisatoren des Phishing-Angriffs versuchen, den Benutzer so weit wie möglich zu erregen, und ihn zwingen, sofort die Maßnahmen zu ergreifen, die die Betrüger benötigen. Es ist allgemein anerkannt, dass ein Brief mit dem Satz „um den Zugriff auf das Konto wiederherzustellen, folgen Sie dem Link …“ in der Überschrift die Aufmerksamkeit des Benutzers auf sich zieht und ihn zum Klicken zwingt.
Einfache Täuschung
Dieses Schema, bei dem Betrüger im Namen eines bekannten Unternehmens eine E-Mail mit der Aufforderung senden, einem Link zu folgen, ist am weitesten verbreitet und ermöglicht den Versand von Millionen von Spam-E-Mails innerhalb einer Stunde. Um persönliche Daten zu stehlen, werden Phishing-Seiten erstellt, die sich auf den ersten Blick äußerlich nicht von den echten unterscheiden. In den allermeisten Fällen werden Domains verwendet, die sich buchstäblich um ein Zeichen von echten unterscheiden.
Harpunen-Phishing
In diesem Fall ist der Angriff nicht massiv, sondern wird auf eine bestimmte Person ausgeführt. Typischerweise wird ein solches Schema verwendet, um den Schutz des Unternehmens zu umgehen und einen gezielten Angriff durchzuführen. Cyber-Betrüger untersuchen potenzielle Opfer vorab über soziale Netzwerke und andere Dienste, passen Nachrichten an und machen sie überzeugender.
„Walfang“
Eine ähnliche Methode wird bei einem Phishing-Angriff auf Top-Manager und Führungskräfte von Unternehmen verwendet, und um eine maximale Vorstellung von den persönlichen Qualitäten eines potenziellen Opfers zu bekommen, verbringen Betrüger viel Zeit damit, den am besten geeigneten Weg zum Stehlen zu finden vertrauliche Informationen.
Virenverteilung
Häufig werden Phishing-Angriffe nicht dazu verwendet, persönliche Daten zu stehlen, sondern einer bestimmten Personengruppe Schaden zuzufügen. Dazu wird in eine Phishing-Nachricht ein Link eingefügt, durch dessen Klick ein Schadprogramm auf den Rechner des Opfers heruntergeladen wird, mit dem man die volle Kontrolle über den Rechner des Nutzers übernehmen kann.
Landwirtschaft
Mit dieser relativ neuen Methode gelangen Betrüger über offizielle Webseiten an persönliche Daten. Ein solches Phishing, bei dem die digitale Adresse der offiziellen Website des Unternehmens auf dem DNS-Server gefälscht wird und der Benutzer automatisch auf eine gefälschte Website umgeleitet wird, ist viel gefährlicher als herkömmliche Methoden, da das Spoofing in diesem Fall einfach nicht sichtbar ist. Ebay und PayPal haben bereits unter einem solchen Phishing-Schema gelitten.
Vishing
In diesem Fall wird die telefonische Kommunikation verwendet, und die Telefonnummer selbst, die angerufen werden muss, um das „Problem“ zu beseitigen, wird in einem Schreiben mit Benachrichtigungscharakter angegeben. Darüber hinaus bitten die Betrüger den Benutzer bereits direkt im Laufe eines Telefongesprächs, Identifikationsdaten anzugeben, um das Problem so schnell wie möglich zu lösen.
So schützen Sie sich vor Phishing
Zunächst sollten Sie lernen, Phishing selbst zu berechnen, und wenn Sie Briefe erhalten, in denen Sie aufgefordert werden, Ihr Konto zu „verifizieren“, wenden Sie sich sofort an das Unternehmen, um die Nachricht zu authentifizieren.
Anstatt Hyperlinks zu verwenden, sollten Sie die URL des Unternehmens manuell in Ihren Browser eingeben. Die überwiegende Mehrheit der Nachrichten, die von echten Diensten stammen, enthalten bestimmte Informationen, die für Phisher-Anfänger nicht verfügbar sind, wie z. B. einen Namen oder die letzten Ziffern eines Kontos, obwohl dies die Risiken nur geringfügig verringert. Es ist erwähnenswert, dass ein Link zu einer Phishing-Seite auch in Nachrichten von Freunden enthalten sein kann, deren Konten gehackt wurden.
Technische Methoden zur Minimierung von Risiken
Viele Browser warnen Internetnutzer bereits vor Phishing-Bedrohungen, für die sie eigene Listen solcher Seiten führen. Auch Mail-Dienste kämpfen, verbessern Spam-Filter und analysieren Phishing-E-Mails. Um Risiken zu minimieren, verkomplizieren große Unternehmen Genehmigungsverfahren und verbessern den Schutz personenbezogener Daten.
Der Informationssicherheitsexperte Mikhail Tereshkov, der die JSC ER-Telecom Holding vertritt, stellt einige ziemlich einfache, aber effektive Methoden zum Schutz vor Phishing vor. Sie müssen besonders darauf achten, ob die Site über ein Sicherheitszertifikat verfügt, das wie https aussieht, und auch die Standardkennwörter des Routers ändern. Beim Einkaufen ist es besser, kein öffentliches WLAN zu verwenden, und wenn Sie in einem unbekannten Online-Shop bezahlen, sollten Sie mehr Informationen darüber sammeln.
Ausgabe
Angesichts der Tatsache, dass Cyberangriffe schon lange in unser Leben eingedrungen sind, ist ein qualifizierter Schutz vor Cyberkriminellen zu einer der Hauptaufgaben von Unternehmen geworden, die E-Commerce-Dienste entwickeln. Normale Benutzer sollten jedoch Maßnahmen nicht vergessen, die das Risiko minimieren können, hineinzufallen die Falle der Kriminellen.
