Cybersicherheit | IT-Schutz | Cyberspace
Das Stehlen von Informationen durch das Vortäuschen falscher Tatsachen per E-Mail ist eine der häufigsten und gefährlichsten Angriffsformen für Unternehmen.
Bei einem Phishing-Angriff versuchen Kriminelle mit Hilfe von betrügerischen E-Mails, gefälschten Internetseiten und anderen Methoden an vertrauliche Unternehmensdaten zu gelangen. Oft geben die Betrüger vor, eine Person oder Organisation aus dem näheren Umfeld zu sein – zum Beispiel eine gängige Bank oder ein entfernter Verwandter. Das hiermit verbundene Vertrauen des Opfers nutzen sie aus, damit es die Informationen bereitwillig preisgibt.
Neben der klassischen E-Mail gibt es übrigens auch das Phishing über SMS oder Telefon. Ein vermeintlicher Dienstleister ruft an und bittet Sie darum, dass Sie ihm Zugang zu Ihrem Computer geben, um ein angeblich dringendes Problem zu lösen.
Derartige Angriffe können ziemlich gefährlich sein. Eine Befragung des Gesamtverbands der Deutschen Versicherungswirtschaft hat ergeben, dass 59% der erfolgreichen Cyberattacken auf kleine und mittlere Unternehmen per E-Mail erfolgen.
Welches Ziel tatsächlich hinter einem Angriff steckt, lässt sich schwer sagen, solange man den Täter nicht festnimmt. In den meisten Fällen geht es darum, an Daten zu gelangen, mit denen sich der Kriminelle bereichern kann. Das kann direkt, aber auch indirekt geschehen.
Stiehlt der Täter beispielsweise komplette Kreditkarteninformationen oder Bankdaten, dann ist es für ihn ein Leichtes, damit online Geld zu überweisen oder einzukaufen. Aber auch mit den Zugangsdaten für das Computersystem eines Unternehmens lässt sich auf Handelsplätzen im Darkweb gutes Geld verdienen. In seltenen Fällen werden diese Informationen gezielt gestohlen, um den Ruf eines Konkurrenten zu zerstören oder Betriebsgeheimnisse auszuspionieren. Auch das ist nicht zu unterschätzen, da in Deutschland unter den kleinen und mittelständischen Unternehmen viele Vordenker und versteckte Weltmarktführer, sogenannte Hidden Champions, existieren. Ihre Daten sind aus Gründen der Wirtschaftsspionage hochinteressant.
Die Betrüger nutzen beim Phishing geschickt verschiedene psychologische Strategien, damit ihre Opfer die gewünschten Informationen preisgeben. Angst kann ein treibender Faktor sein, zum Beispiel die Befürchtung gleich nicht mehr arbeitsfähig zu sein. Aber auch Neugier („Wir haben eine Überraschung für Sie.“), sozialer Druck („Alle Kollegen haben an der Aktion teilgenommen.“) oder Gewinnstreben („Loggen Sie sich ein und erhalten Sie einen Gutschein über 50 Euro.“) können effektive Mechanismen sein, um an die gewünschten Daten zu gelangen. Je nach seiner Persönlichkeit ist jeder Mitarbeiter unterschiedlich anfällig für verschiedene Formen von Cyberangriffen. Lassen Sie sich daher nicht unter Druck setzen und prüfen Sie die Identität von E-Mail-Absendern und Anrufern ausreichend.
Ein gutes Beispiel für eine erfolgreiche Phishing-Masche ist die vermeintliche E-Mail von einer beliebten Bank. Das Opfer wird aufgefordert, sich schnellst möglich in seinem Kunden-Konto anzumelden und seine Identität zu bestätigen, da ansonsten das Firmenkonto gesperrt wird. Ist das Opfer tatsächlich Kunde der Bank und hält daher die E-Mail für echt, dann klickt es auf einen Link, der zu einer gefälschten Internetseite des Finanzinstituts führt. Dort gibt es seine Zugangsdaten und weitere Informationen ein, auf diese können die Kriminellen dann problemlos zugreifen. Häufig sind die E-Mails und Internetseiten täuschend echt konzipiert: Design, Name des Absenders, Anrede und Signatur entsprechen denen des Unternehmens – erst die genaue Prüfung der Absender- und Internetadresse lassen auf einen Betrug schließen.
Cyber security | IT protection | Cyberspace
Stealing information by pretending to be someone else via email is one of the most common and dangerous types of attack on businesses.
In a phishing attack, criminals use fraudulent emails, fake websites and other methods to try to obtain confidential company data. The fraudsters often pretend to be a person or organisation from the victim’s immediate environment – for example, a well-known bank or a distant relative. They exploit the victim’s trust to get them to willingly disclose information.
In addition to traditional emails, phishing also occurs via text message or telephone. A supposed service provider calls and asks you to give them access to your computer to solve an allegedly urgent problem.
Attacks of this kind can be quite dangerous. A survey by the German Insurance Association found that 59% of successful cyber attacks on small and medium-sized enterprises are carried out via email.
It is difficult to say what the actual goal behind an attack is until the perpetrator is apprehended. In most cases, the aim is to obtain data that the criminal can use to enrich themselves. This can be done directly or indirectly.
If the perpetrator steals complete credit card information or bank details, for example, it is easy for them to transfer money or make purchases online. But even with access data for a company’s computer system, it is possible to earn good money on marketplaces in the dark web. In rare cases, this information is stolen specifically to destroy a competitor’s reputation or to spy on trade secrets. This should not be underestimated, as there are many thought leaders and hidden global market leaders, known as hidden champions, among small and medium-sized companies in Germany. Their data is highly interesting for industrial espionage.
Phishing scammers skilfully use various psychological strategies to get their victims to reveal the desired information. Fear can be a driving factor, for example, the fear of suddenly no longer being able to work. But curiosity (‘We have a surprise for you.’), social pressure (‘All your colleagues have taken part in the campaign.’) or the desire for gain (‘Log in and receive a voucher worth £50.’) can also be effective mechanisms for obtaining the desired data. Depending on their personality, every employee is susceptible to different forms of cyber attacks. Therefore, do not let yourself be pressured and check the identity of email senders and callers thoroughly.
A good example of a successful phishing scam is the fake email from a popular bank. The victim is asked to log into their customer account as quickly as possible and confirm their identity, otherwise the company account will be blocked. If the victim is actually a customer of the bank and therefore believes the email to be genuine, they click on a link that leads to a fake website of the financial institution. There, they enter their login details and other information, which the criminals can then easily access. The emails and websites are often designed to look deceptively genuine: the design, sender’s name, salutation and signature match those of the company – only a close examination of the sender’s address and website reveals that it is a scam.