Beiträge

Marketingspezialisten sind die Gestalter des Markenimages, daher müssen sie diese 5 berühmten Phishing-Begriffe kennen, die den Ruf eines Unternehmens schädigen können. Phishing ist eine Art von Angriffsvektor, bei dem eine Website oder E-Mail so aussieht, als stamme sie von einer seriösen Organisation, aber in Wirklichkeit mit der Absicht erstellt wird, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten (auch bekannt als Kartendaten) zu sammeln. Phishing-Angriffe sind in der Online-Welt weit verbreitet.

Wenn Ihr Unternehmen einem Phishing-Angriff zum Opfer fällt, kann dies dem Markennamen schaden und Ihr Suchmaschinen-Ranking oder Ihre Konversionsrate beeinträchtigen. Es sollte eine Priorität für Marketer sein, sich vor Phishing-Angriffen zu schützen, da sie ein direktes Spiegelbild der Konsistenz Ihres Unternehmens sind. Daher müssen wir als Marketer mit äußerster Vorsicht vorgehen, wenn es um Phishing-Betrug geht.

Phishing-Betrügereien gibt es schon seit vielen Jahren. Machen Sie sich keine Sorgen, wenn Sie vorher noch nichts davon gehört haben, es ist nicht Ihre Schuld. Manche sagen, dass der Cyber-Betrug vor 10 Jahren geboren wurde, aber Phishing wurde offiziell im Jahr 2004 zu einem Verbrechen. Da sich die Phishing-Techniken ständig weiterentwickeln, kann die Begegnung mit einer neuen Phishing-E-Mail schnell verwirrend werden, und manchmal ist es schwer zu erkennen, ob die Nachricht legitim ist oder nicht. Sie können sich und Ihr Unternehmen besser schützen, wenn Sie auf die folgenden fünf gängigen Phishing-Techniken achten.

5 Häufige Phishing-Begriffe, die Sie kennen müssen

1) E-Mail-Phishing 

Phishing-E-Mails werden in der Regel massenhaft von einer Domain verschickt, die eine legitime Domain imitiert. Ein Unternehmen könnte die E-Mail-Adresse [email protected] haben, aber ein Phishing-Unternehmen könnte [email protected] verwenden. Das Ziel ist es, Sie dazu zu verleiten, auf einen bösartigen Link zu klicken oder vertrauliche Informationen weiterzugeben, indem sie vorgeben, ein echtes Unternehmen zu sein, mit dem Sie Geschäfte machen. Bei einer gefälschten Domain werden oft Zeichen ersetzt, z. B. durch die Verwendung von "r" und "n" nebeneinander, um "rn" anstelle von "m" zu erzeugen.

Phishing-Angriffe entwickeln sich ständig weiter und werden mit der Zeit immer unerkennbarer. Bedrohungsakteure nutzen Social-Engineering-Taktiken, um Domains zu fälschen und betrügerische E-Mails von einer legitimen Domain aus für bösartige Zwecke zu versenden.

2) Spear-Phishing 

Ein Spear-Phishing-Angriff ist eine neue Form des Cyberangriffs, bei dem falsche Informationen verwendet werden, um Zugang zu Konten zu erhalten, die eine höhere Sicherheitsstufe haben. Professionelle Angreifer haben das Ziel, ein einzelnes Opfer zu kompromittieren. Um diese Idee auszuführen, recherchieren sie das soziale Profil des Unternehmens sowie die Namen und Rollen der Mitarbeiter innerhalb dieses Unternehmens. Im Gegensatz zum Phishing handelt es sich beim Spear-Phishing um eine gezielte Kampagne gegen eine Organisation oder Einzelperson. Diese Kampagnen werden von Bedrohungsakteuren sorgfältig mit dem alleinigen Ziel aufgebaut, eine bestimmte Person(en) ins Visier zu nehmen, um Zugang zu einer Organisation zu erhalten.

3) Walfang

Whaling ist eine sehr gezielte Technik, die die E-Mails von Mitarbeitern höherer Ebenen kompromittieren kann. Das Ziel, das anderen Phishing-Methoden ähnlich ist, besteht darin, Mitarbeiter dazu zu verleiten, auf einen bösartigen Link zu klicken. Eine der verheerendsten E-Mail-Attacken, die über Unternehmensnetzwerke laufen, ist der Whaling-Betrug. Bei diesen Versuchen, sich persönlich zu bereichern, wird die Überzeugungskraft der Opfer genutzt, um ihren Widerstand zu senken und sie zur Herausgabe von Firmengeldern zu bewegen. Whaling ist auch als CEO-Betrug bekannt, da sich die Angreifer oft als Personen in autoritären Positionen ausgeben, wie z. B. der CEO eines Unternehmens.

4) E-Mail-Kompromittierung im Unternehmen 

Business Email Compromise (BEC) ist eine Form der Cyberkriminalität, die für Unternehmen extrem kostspielig sein kann. Diese Art von Cyberangriff nutzt E-Mail-Betrug, um Unternehmensdomänen dazu zu bringen, sich an betrügerischen Aktivitäten zu beteiligen, die zur Kompromittierung und zum Diebstahl sensibler Daten führen. Beispiele für BEC können Rechnungsbetrug, Domain-Spoofing und andere Formen von Impersonation-Attacken sein. Jedes Jahr kann ein durchschnittliches Unternehmen bis zu 70 Millionen Dollar durch BEC-Betrug verlieren. Erfahren Sie mehr über die BEC-Angriffsstatistik 2020. Bei einem typischen Angriff zielen die Betrüger auf bestimmte Mitarbeiterrollen innerhalb eines Unternehmens ab, indem sie eine Reihe von betrügerischen E-Mails versenden, die vorgeben, von einem leitenden Kollegen, Kunden oder Geschäftspartner zu stammen. Sie können die Empfänger anweisen, Zahlungen zu leisten oder vertrauliche Daten freizugeben.

5) Angler Phishing 

Viele Unternehmen haben Tausende von Kunden und erhalten täglich Hunderte von Beschwerden. Durch Social Media sind Unternehmen in der Lage, aus der Enge ihrer Grenzen auszubrechen und ihre Kunden zu erreichen. Dies ermöglicht es einem Unternehmen, flexibel zu sein und sich an die Anforderungen seiner Kunden anzupassen. Beim Angler-Phishing werden verärgerte Kunden über soziale Medien angesprochen und geben vor, Teil eines Unternehmens zu sein. Der Angler-Phishing-Betrug ist ein einfacher Trick, mit dem gelegentliche Social-Media-Nutzer glauben, dass ein Unternehmen versucht, ihre Probleme zu lösen, während die Person am anderen Ende sie in Wirklichkeit ausnutzt.

Wie Sie Ihr Unternehmen vor Phishing und E-Mail-Betrug schützen können

Ihr E-Mail-Dienstanbieter verfügt möglicherweise über integrierte Sicherheitspakete als Teil seines Dienstes. Diese fungieren jedoch als Spam-Filter, die Schutz vor eingehenden Phishing-Versuchen bieten. Wenn jedoch eine E-Mail von Betrügern unter Verwendung Ihres Domain-Namens an die Postfächer der Empfänger gesendet wird, wie im Fall von BEC, Whaling und anderen oben aufgeführten Formen von Imitationsangriffen, erfüllen sie nicht ihren Zweck. Aus diesem Grund müssen Sie E-Mail-Authentifizierungslösungen wie DMARC sofort nutzen und zu einer Politik der Durchsetzung übergehen.

  • DMARC authentifiziert Ihre E-Mails durch den Abgleich mit den Authentifizierungsstandards SPF und DKIM.
  • Sie gibt den empfangenden Servern vor, wie sie auf E-Mails reagieren sollen, die die Authentifizierungsprüfung nicht bestehen.
  • DMARC-Aggregatberichte (RUA) bieten Ihnen einen besseren Einblick in Ihr E-Mail-Ökosystem und die Authentifizierungsergebnisse und helfen Ihnen, Ihre Domains einfach zu überwachen.
  • DMARC-Forensikberichte (RUF) geben Ihnen eine detaillierte Analyse Ihrer DMARC-Fehlerergebnisse und helfen Ihnen, schneller auf Impersonationsangriffe zu reagieren.

Wie kann PowerDMARC Ihrer Marke helfen?

PowerDMARC ist mehr als nur Ihr DMARC-Dienstleister, es ist eine mandantenfähige SaaS-Plattform, die eine breite Palette von Authentifizierungslösungen und DMARC-MSSP-Programmen bietet. Wir machen E-Mail-Authentifizierung einfach und zugänglich für jede Organisation, von kleinen Unternehmen bis hin zu multinationalen Konzernen.

  • Wir helfen Ihnen, in kürzester Zeit von p=none auf p=reject zu wechseln, um Ihre Marke vor Imitationsangriffen, Domain-Spoofing und Phishing zu schützen.
  • Wir helfen Ihnen bei der einfachen Konfiguration des DMARC-Reportings mit umfassenden Diagrammen und Tabellen sowie RUA-Berichtsansichten in 6 verschiedenen Formaten für eine einfache Bedienung und erhöhte Transparenz
  • Wir haben uns um Ihre Privatsphäre gekümmert, deshalb können Sie Ihre DMARC-RUF-Berichte mit Ihrem privaten Schlüssel verschlüsseln
  • Wir unterstützen Sie bei der Erstellung von zeitgesteuerten PDF-Berichten über Ihre Authentifizierungsergebnisse
  • Wir bieten eine dynamische SPF-Flattening-Lösung wie PowerSPF an, so dass Sie niemals das Limit von 10 DNS-Lookups überschreiten
  • Wir helfen Ihnen dabei, TLS-Verschlüsselung in SMTP obligatorisch zu machen, mit MTA-STS, um Ihre Domain vor allgegenwärtigen Überwachungsangriffen zu schützen
  • Wir helfen Ihnen, Ihre Marke in den Posteingängen der Empfänger visuell erkennbar zu machen - mit BIMI

Melden Sie sich noch heute bei PowerDMARC an, um Ihre kostenlose Testversion des DMARC-Analysetools zu erhalten, und gehen Sie von einer Überwachungs- zu einer Durchsetzungspolitik über, um Ihrer Domain maximalen Schutz vor BEC-, Phishing- und Spoofing-Angriffen zu bieten.

E-Mail-Phishing hat sich im Laufe der Jahre von Spielern, die Scherz-E-Mails verschicken, zu einer höchst lukrativen Aktivität für Hacker auf der ganzen Welt entwickelt.

In der Tat erlebte AOL Anfang bis Mitte der 90er Jahre einige der ersten großen E-Mail-Phishing-Angriffe. Zufällige Kreditkartengeneratoren wurden verwendet, um Benutzeranmeldeinformationen zu stehlen, die es Hackern ermöglichten, breiteren Zugriff auf die unternehmensweite Datenbank von AOL zu erhalten.

Diese Angriffe wurden unterbunden, als AOL seine Sicherheitssysteme aufrüstete, um weiteren Schaden zu verhindern. Dies führte dann dazu, dass Hacker ausgefeiltere Angriffe mit Imitations-Taktiken entwickelten, die auch heute noch weit verbreitet sind.

Wenn wir in die heutige Zeit springen, beweisen die jüngsten Imitationsangriffe, die sowohl das Weiße Haus als auch die WHO betrafen, dass jede Organisation an dem einen oder anderen Punkt für E-Mail-Angriffe anfällig ist.

Laut dem 2019 Data Breach Investigation Report von Verizon beinhalteten ca. 32 % der im Jahr 2019 aufgetretenen Datenschutzverletzungen E-Mail-Phishing bzw. Social Engineering.

Vor diesem Hintergrund werfen wir einen Blick auf die verschiedenen Arten von Phishing-Angriffen und darauf, warum sie heute eine große Bedrohung für Ihr Unternehmen darstellen.

Fangen wir an.

1. E-Mail-Spoofing

Bei E-Mail-Spoofing-Angriffen fälscht ein Hacker den E-Mail-Header und die Absenderadresse, um es so aussehen zu lassen, als käme die E-Mail von jemandem, dem er vertraut. Der Zweck eines solchen Angriffs ist es, den Empfänger dazu zu bringen, die E-Mail zu öffnen und möglicherweise sogar auf einen Link zu klicken oder einen Dialog mit dem Angreifer zu beginnen

Diese Angriffe stützen sich stark auf Social-Engineering-Techniken im Gegensatz zu herkömmlichen Hacking-Methoden.

Dies mag als ein eher einfacher oder "Low-Tech"-Ansatz für einen Cyberangriff erscheinen. In Wirklichkeit sind sie jedoch äußerst effektiv, wenn es darum geht, Menschen durch überzeugende E-Mails zu ködern, die an ahnungslose Mitarbeiter gesendet werden. Social Engineering nutzt nicht die Schwachstellen in der Sicherheitsinfrastruktur eines Systems aus, sondern die Unvermeidbarkeit menschlichen Versagens.

Werfen Sie einen Blick darauf:

Im September 2019 verlor Toyota 37 Millionen Dollar durch einen E-Mail-Betrug.

Die Hacker waren in der Lage, eine E-Mail-Adresse zu fälschen und einen Mitarbeiter mit finanziellen Befugnissen davon zu überzeugen, Kontoinformationen für eine elektronische Überweisung zu ändern.

Das Ergebnis ist ein massiver Verlust für das Unternehmen.

2. Business Email Compromise (BEC)

Laut dem FBI-Bericht zur Internetkriminalität 2019 verursachten BEC-Betrügereien einen Schaden von über 1,7 Millionen US-Dollar und machten mehr als die Hälfte der Verluste durch Cyberkriminalität im Jahr 2019 aus.

Von BEC spricht man, wenn sich ein Angreifer Zugang zu einem geschäftlichen E-Mail-Konto verschafft und sich als der Besitzer dieses Kontos ausgibt, um einem Unternehmen und seinen Mitarbeitern Schaden zuzufügen.

Das liegt daran, dass BEC eine sehr lukrative Form des E-Mail-Angriffs ist, die hohe Gewinne für Angreifer abwirft und deshalb eine beliebte Cyber-Bedrohung bleibt.

Eine Stadt in Colorado hat über 1 Million Dollar durch einen BEC-Betrug verloren.

Die Angreifer füllten ein Formular auf der lokalen Website aus, in dem sie eine lokale Baufirma aufforderten, elektronische Zahlungen anstelle der üblichen Schecks für Arbeiten zu erhalten, die sie derzeit in der Stadt durchführten.

Ein Mitarbeiter akzeptierte das Formular und aktualisierte die Zahlungsinformationen und schickte infolgedessen über eine Million Dollar an die Angreifer.

3. Vendor Email Compromise (VEC)

Im September 2019 hat Nikkei Inc. Japans größtes Medienunternehmen, 29 Mio. $verloren .

Ein Mitarbeiter aus dem amerikanischen Büro von Nikkei überwies das Geld auf Anweisung der Betrüger, die sich als Geschäftsführer ausgaben.

Ein VEC-Angriff ist eine Art von E-Mail-Betrug, bei dem Mitarbeiter eines Anbieterunternehmens kompromittiert werden. Wie in unserem obigen Beispiel. Und natürlich zu großen finanziellen Verlusten für das Unternehmen führt.

Was ist mit DMARC?

Unternehmen auf der ganzen Welt erhöhen ihre Budgets für Cybersicherheit, um die oben genannten Beispiele einzudämmen. Laut IDC werden die weltweiten Ausgaben für Sicherheitslösungen im Jahr 2022 voraussichtlich 133,7 Milliarden US-Dollar erreichen.

Aber die Wahrheit ist, dass die Akzeptanz von E-Mail-Sicherheitslösungen wie DMARC langsam ist.

Die DMARC-Technologie kam 2011 auf den Markt und ist ein wirksames Mittel, um gezielte BEC-Angriffe zu verhindern, die, wie wir wissen, eine nachgewiesene Bedrohung für Unternehmen auf der ganzen Welt darstellen.

DMARC arbeitet sowohl mit SPF als auch mit DKIM, wodurch Sie festlegen können, welche Maßnahmen gegen nicht authentifizierte E-Mails ergriffen werden sollen, um die Integrität Ihrer Domain zu schützen.

READ: Was ist DMARC und warum Ihr Unternehmen noch heute an Bord kommen muss?

Jeder der oben genannten Fälle hatte etwas gemeinsam... Sichtbarkeit.

Diese Technologie kann die Auswirkungen von E-Mail-Phishing-Aktivitäten auf Ihr Unternehmen reduzieren. So geht's:

  • Erhöhte Transparenz. Die DMARC-Technologie sendet Berichte, die Ihnen einen detaillierten Einblick in die E-Mail-Aktivitäten in Ihrem Unternehmen geben. PowerDMARC verwendet eine leistungsstarke Threat Intelligence-Engine, die Echtzeitwarnungen bei Spoofing-Angriffen erzeugt. Dies ist mit einem umfassenden Berichtswesen gekoppelt, das Ihrem Unternehmen einen besseren Einblick in die historischen Aufzeichnungen eines Benutzers ermöglicht.
  • Erhöhte E-Mail-Sicherheit. Sie werden in der Lage sein, die E-Mails Ihres Unternehmens auf Spoofing- und Phishing-Bedrohungen zu überprüfen. Wir glauben, dass der Schlüssel zur Prävention in der Fähigkeit liegt, schnell zu handeln, daher hat PowerDMARC ein 24/7-Sicherheitszentrum eingerichtet. Sie sind in der Lage, Domains, die Ihre E-Mails missbrauchen, sofort zu stoppen und Ihrem Unternehmen ein höheres Maß an Sicherheit zu bieten.
    Die Welt wird von der COVID-19-Pandemie heimgesucht, aber dies hat Hackern nur eine weit verbreitete Gelegenheit geboten, anfällige Sicherheitssysteme auszunutzen.

Die jüngsten Impersonation-Attacken auf das Weiße Haus und die WHO machen deutlich, dass die DMARC-Technologie verstärkt eingesetzt werden muss.

 

Angesichts der COVID-19-Pandemie und der Zunahme von E-Mail-Phishing möchten wir Ihnen 3 Monate GRATIS DMARC-Schutz anbieten. Klicken Sie einfach auf die Schaltfläche unten, um sofort loszulegen 👇.