Was ist Phishing?
Phishing beschreibt den Vorgang, sensible Daten durch Täuschung des Kommunikationspartner zu beschaffen. Hierzu dienen verschiedenste Medien als Kommunikationsweg, in den meisten Fällen wird ein Phishing-Angriff jedoch auf dem Wege der E-Mail ausgeführt. Der Zielperson wird hierbei durch erfundene Sachverhalte, beispielsweise eine Aufforderung ein Passwort auf Grund verdächtiger Aktivitäten zu ändern, ein Handlungszwang suggeriert. Durch dieses falsche Gefühl von Dringlichkeit wird die Zielperson zu Unvorsichtigkeit verleitet und wird unachtsam, was dazu führt, dass der Täuschungsversuch nicht erkannt wird und sensible Daten an den Angreifer fließen.
Es ist wichtig zu verstehen, dass Phishing auf die menschliche Komponente in der Technologie abzielt und somit der Schutz vor derartigen Angriffen durch technische Maßnahmen, wie beispielsweise Spam-Filter, nur unterstützt werden kann – nicht verhindert.
Wir helfen Ihnen mögliche Risiken innerhalb ihres Unternehmens rechtzeitig zu erkennen und durch realitätsnahe Phishing-Simulationen und gezielten Awareness-Schulungen dafür zu sorgen, dass Ihre Mitarbeiter und Ihre Daten sicher bleiben.
Gefahren durch Phishing Angriffe
Die zunehmende Digitalisierung sorgt für eine größere Angriffsfläche bei Phishing-Angriffen und zeitgleich für schwerwiegendere Gefahren bei einem erfolgreichen Angriff. Je nach Absicht des Angreifers können unterschiedliche Schäden an der Zielperson, den Kunden oder dem ganzen Unternehmen verursacht werden.
Datenabfluss
In vielen Fällen zielen Phishing-Angriffe darauf ab, sensible Daten wie Anmelde- oder Zahlungsinformationen vom Ziel-Mitarbeiter zu beschaffen. Mit diesen Informationen können Angreifer dann auf weitere Daten zugreifen, wie beispielsweise Daten anderer Mitarbeiter oder gar Kundendaten.
Die Folgen für das Unternehmen reichen von wertvollen, gestohlenen Firmeninterna bis hin zu gravierende finanzielle Schäden und auch mediale Aufruhr, welche zum Verlust von Kunden führen kann. Je nach Art der erbeuteten Daten können auch Folgen für Mitarbeiter oder Kunden im Privatleben auftreten. Hierbei kann es für betroffenen Personen zu Identitätsdiebstahl und Überweisungsbetrug kommen.
Schadsoftware
Ein anderes verbreitetes Angriffsszenario bieten Mail-Anhänge und Download-Links. Öffnet der Ziel-Mitarbeiter einen bösartigen Anhang, wird Schadcode auf dem Computer des Mitarbeiters ausgeführt, welcher der Angreifer im Anhang eingebettet hat. Dieser Schadcode kann verschiedene Zwecke haben, häufig handelt es sich jedoch um eine sogenannte Ransomware, welche alle Daten auf der Festplatte verschlüsselt und für die Entschlüsselung eine hohe Geldsumme als Lösegeld fordert.
Im Falle einer Ransomware zeichnen sich für das Unternehmen große finanzielle Verluste ab. Auch kann es zu Ausfällen oder Kompromittierung von Systemen auf Grund von ausgeführtem Schadcode kommen. Die Bereinigung infizierter Systeme stellt ebenfalls einen zeit- und kostenintensiven Prozess dar. Hinzu kommen auch mediale Thematisierungen des Vorfalls, welche zum Verlust von Kunden und somit zu finanziellen Einbußen führen kann.
Profitieren Sie von Best-Practices im Bereich Cyber Security aus über 30 Jahren Erfahrung bei der Entwicklung hochsicherer Satelliten-Systeme.
Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch zum Thema Pentest, Awareness oder Schwachstellenanalyse!
Spear-Phishing / Whaling
Beim Spear-Phishing wird genau eine Person ins Visier genommen. Durch genaue Informationen rund um die Zielperson wird eine maßgeschneiderte E-Mail angefertigt, welche durch ihre Detailliertheit vertrauenswürdig wirkt und Authentizität suggeriert. Im Vergleich zum klassischen Phishing-Ansatz wird die bösartige E-Mail hierbei nicht an verschiedene Personen verschickt, sondern auf ausschließlich an die Person, auf welche die Mail zugeschnitten wurde.
Whaling bezeichnet eine besondere Form des Spear-Phishings, bei dem eine Person aus einer Führungs- oder Managementebene in einem Unternehmen anvisiert wird.
Vishing
Der Terminus „Vishing“ setzt sich aus dem englischen Wort „Voice“ und dem Wort „Phishing“ zusammen und beschreibt die Beschaffung von sensiblen Daten durch Telefonate. Durch Imitierung anderer Personen wird mündlich versucht die Zielperson zur Preisgabe von privaten Daten zu bringen. Hierbei geben sich Angreifer als Mitarbeiter einer Firma aus um ihre Nachfrage nach persönlichen Daten zu rechtfertigen und zu verhindern, dass die Zielperson verdacht schöpft.
Smishing
Der Terminus „Smishing“ setzt sich aus der Abkürzung „SMS“ und dem Wort „Phishing“ zusammen und beschreibt die Beschaffung von sensiblen Daten durch Versendung von SMS-Nachrichten. Hier wird ähnlich wie beim klassischen Phishing per Mail vorgegangen. Als Tarnmantel werden hier beispielsweise Paket-Zustellungen verwendet, um die Zielperson gezielt reinzulegen.
Wie können wir Ihnen helfen?
Durch individuelle, realitätsnahe Simulationen von Phishing-Angriffen können wir Ihnen bei der Erfassung des aktuellen Sicherheitsniveaus der menschlichen Komponente Ihres Unternehmens helfen. Hierzu führen wir eine an Ihre Anforderungen angepasste Phishing-Kampagne durch und erarbeiten basierend auf der Analyse der Simulationsergebnisse individuelle Verbesserungsmöglichkeiten für die Sicherheit innerhalb Ihres Unternehmens, um sie auch zukünftig vor bösartigen Akteuren zu schützen.
Wir wissen die Individualität Ihres Unternehmens zu schätzen und erzeugen deshalb für Sie maßgeschneiderte Kampagnen, welche exakt an Ihre Gegebenheiten und Bedürfnisse angepasst sind. Basierend auf Ihren Datenschutzrichtlinien und Compliance-Verfahren können wir unsere Simulation entsprechend anpassen und dank unserer eingesetzten Lösung Auswertungen ohne personenbezogene Daten vornehmen. Sie profitieren darüber hinaus von einem detaillierten Bericht nach dem Abschluss unseres simulierten Phishing-Angriffs, welcher sich durch eine Vielzahl von für Sie relevanten Leistungskennzahlen (KPIs) und entsprechenden Metadaten auszeichnet.
Kommt für Sie keine Simulation eines Phishing-Angriffs in Frage, bieten wir ebenfalls gezielte Schulungen für Ihre Mitarbeiter und Leitungspositionen an, bei welchen wir auf konkrete Risiken für die jeweilige Person eingehen, das rechtzeitige Erkennen von Phishing-Versuchen exerzieren und basierend darauf Vorschläge für Maßnahmen im Arbeitsalltag konzipieren und anregen.