Gruppe Mitarbeiter, die wegen eines Phishing-Angriffs verzweifelt sind

Phishing-Angriffe

Mitarbeitende sensibilisieren, Schaden vom Unternehmen abwenden

IT-Sicherheit / Phishing

Phishing – eine Bedrohung für die Wirtschaft

Es ist ein Klassiker unter den Cyberkriminalitäten, der leider auf Unternehmen schwer schädigen kann: Phishing. Oft reicht ein argloser Klick auf einen Link in einer Mail und das Unheil nimmt seinen Lauf - persönliche Daten werden gestohlen, geistiges Eigentum entwendet. Umso wichtiger für Firmen, dass Mitarbeitende Phishing-Angriffe frühzeitig erkennen und richtig reagieren.

Blonde Frau vor Laptop, die sich über einen Phishing-Angriff ärgert und die Hände vors Gesicht schlägt

So funktioniert das Phishing

Ein angeblicher Bekannter manipuliert den Adressaten

In der Regel bekommen Mitarbeitende einer Firma eine E-Mail, die so wirkt, als wenn sie von einem vertrauenswürdigen oder bekannten Absender stammen würde. Dies kann etwa eine Bank sein, ein Paketzusteller, Amazon oder PayPal. In der betreffenden E-Mail stehen häufig Sätze wie „Ihre Order verzögert sich“, „Unser Datenschutz hat sich geändert. Bitte bestätigen Sie mit einem Klick“ oder „Leider kam es bei Ihrer letzten Bestellung zu einem Problem“. Die Adressaten werden in der E-Mail gebeten, zügig zu reagieren. Tatsächlich führt der Button in der Mail allerdings auf eine falsche Website, die in der Aufmachung dem gefälschten Original ähnelt. Das Problem: Sobald Mitarbeitende dort ihre Daten eingeben, sind sie den Hackern ausgeliefert.

Mann telefoniert und rauft sich die Haare, als ihm die Ausmaße eines Phishing-Angriffs klar werden

Wieso sind gefälschte Websites so schwer zu erkennen?

Die sogenannten "Phisher" wenden meist einen einfachen Kniff an: Die Homepage, auf die die potenziellen Phishing-Opfer gelenkt werden, sieht dem Originalanbieter zum Verwechseln ähnlich, oft liest sich auch die URL, als wäre sie echt. So könnte beispielsweise eine echte Website business-bank.de heißen und die gefälschte Version durch eine ähnlich klingende Subdomain wie business-bank.datenwarnung.de ebenfalls original wirken, obwohl sie auf einen ganz anderen Server führt. Für einen flüchtigen Blick reicht diese Täuschung oft aus. Ahnlich wirkende Buchstaben aus anderen Schreibsystemen sind bei Hackern ebenfalls gern genutzt. So gibt es zwischen dem kyrillischen „а“ und dem lateinischen „a“ optisch kaum einen Unterschied, technisch ist es aber ein anderes Zeichen, so dass auch die Domain woanders hinführt, als gedacht. 

Seriöse Anbieter fordern Sie niemals per E-Mail auf, vertrauliche Logindaten weiterzugeben.

Klassische Phishing-Merkmale:

Zwei junge Männer, die auf einen Bildschirm gucken, auf dem ein Phishing-Angriff stattfindet

Unpersönliche Anrede

Schaden wird angekündigt

Offene Drohungen

Es wird mit der Angst gespielt, etwa mit Sätzen wie: „Wenn Sie nicht unverzüglich reagieren, verlieren Sie wichtige Kontoinformationen."

Eine junge Frau, die auf einen Bildschirm guckt

Fehlende Business-Beziehung

Bitte um Logindaten

PIN eingeben

Es gibt eine unverblümte Aufforderung, den PIN für einen Login, vertrauliche Daten oder Kontonummern anzugeben.

Ein Mann mit Brille, der auf einen Bildschirm guckt und eine Mail mit Rechtschreibfehlern liest

Im Text kommen Rechtschreibfehler vor

Fehlerhafte Ergänzungen

Kyrillische Buchstaben

In der Domain sind Zahlen, kyrillische oder andere fremde Buchstaben anstatt gewöhnlicher Zeichen zu finden.

Eine junge Frau im Büro, die telefoniert

: E-Mail enthält Links für Eingabe persönlicher Daten

Kein Sicherheitszertifikat

SSL fehlt

Das Sicherheitszertifikat (kurz SSL) auf der verlinkten Website fehlt (keine verschlüsselte https-Verbindung) oder ist fehlerhaft.

Text der E-Mail fordert zu schnellem Handeln auf

Haben Sie Fragen oder wünschen eine Beratung?

Dann geben Sie hier bitte Ihre Postleitzahl an und sprechen direkt ihren osnatel Kontakt an. Wir freuen uns auf Sie.