Die drei Phasen eines Phishing-Angriffs – Köder, Haken und Fang

Spear phishing is the most dangerous form of phishing. Unlike generic, template-based attacks, spear phishing involves finding out information about the target in order to customise the phishing message to make it more likely to work

Ein Spear-Phishing-Angriff beginnt damit, dass der Cyberkriminelle Informationen über das Ziel findet, dann dieses Ziel verwendet, um eine Verbindung aufzubauen, und drittens diese Verbindung verwendet, um das Ziel zu einer Aktion zu veranlassen. Lesen Sie weiter, um mehr über Köder, Haken und Fang zu erfahren: die drei Phasen eines Spear-Phishing-Angriffs.

Schritt 1: Die Informationen (Köder)

Der erste der drei Schritte einer Phishing-Attacke ist die Vorbereitung des Köders. Dies beinhaltet das Herausfinden von Details über das Ziel, was so einfach sein kann wie zu wissen, dass es einen bestimmten Dienst nutzt oder in einem bestimmten Unternehmen arbeitet. Dies ist einer der Gründe, warum Datenschutzverletzungen, bei denen keine "sensiblen" Informationen kompromittiert werden, so gefährlich sein können: Wenn ein Dienst eine Liste nur mit E-Mail-Adressen seiner Benutzer durchsickert, können Kriminelle wissen, dass alle Besitzer dieser E-Mail-Adressen diesen Dienst nutzen und sie mit E-Mails ansprechen können, die vorgeben, von diesem Dienst zu stammen.

Bei ausgeklügelteren Spear-Phishing-Angriffen können Cyberkriminelle Details aus Ihren Social-Media-Profilen entnehmen, um eine hochgradig individuelle Spear-Phishing-Nachricht zu erstellen, die Sie höchstwahrscheinlich von ihrer Echtheit überzeugen wird.

Schritt 2: Das Versprechen (Haken)

Sobald der Angreifer die notwendigen Informationen für den Köder erlangt hat, muss er den Haken auslegen. Um das Ziel tatsächlich dazu zu bringen, eine Aktion auszuführen, muss der Angreifer etwas versprechen oder ihn zum Handeln erschrecken.

Bei vielen Betrügereien besteht der Haken darin, das Ziel glauben zu lassen, dass eines seiner Konten kompromittiert wurde, ein Gefühl der Dringlichkeit zu erzeugen und das Ziel dazu zu bringen, schnell zu handeln - vielleicht ohne nachzudenken. Der Angreifer kann das Ziel dann umleiten, um einem Link zu einer Seite zu folgen, auf der er die Details des Opfers sammeln kann.

Schritt 3: Der Angriff (Fang)

Die dritte Phase des Phishings ist der eigentliche Angriff. Der Cyberkriminelle verschickt die E-Mail und bereitet sich darauf vor, dass die Beute auf den Köder hereinfällt.

Die nächste Aktion des Angreifers hängt von der Art des Betrugs ab. Wenn sie beispielsweise eine Zielseite verwendet haben, um das E-Mail-Passwort des Opfers zu erhalten, können sie sich dann beim E-Mail-Konto des Opfers anmelden, um weitere Informationen zu sammeln und weitere Phishing-E-Mails an die Kontakte des Opfers zu senden.

Wie kann ich meine Organisation vor Phishing-Angriffen schützen?

Um Ihr Unternehmen vor Phishing zu schützen, ist es wichtig, die Bedrohung zu verstehen. Warum sollte jemand Ihr Unternehmen ins Visier nehmen? Welche Daten haben Sie, die wertvoll sind? Welche Finanztransaktionen führen Sie durch, die ein Cyberkrimineller mit einer gefälschten Rechnung in die Finger bekommen könnte?

1. 2-Faktor-Authentifizierung

Um Ihre Konten vor Phishing zu schützen, ist die Multi-Faktor-Authentifizierung unbedingt erforderlich. Es fügt eine zweite Verteidigungslinie hinzu, was bedeutet, dass Sie den Angreifer auch dann daran hindern können, auf Ihr Konto zuzugreifen, wenn Sie auf einen Phishing-Angriff hereinfallen und Ihr E-Mail-Passwort preisgeben.

2. Sicherheitsbewusstseinstraining

Da Phishing auf so viele verschiedene Arten durchgeführt werden kann, gibt es keine einfache technische Lösung, die es stoppen könnte. Der Mensch wird immer der Risikofaktor sein, wenn es um Phishing geht. Aus diesem Grund ist eine Ausbildung unbedingt erforderlich.

Ihren Mitarbeitern sollte beigebracht werden, auf Anzeichen von Phishing zu achten und immer besondere Vorsicht walten zu lassen, wenn sie Links aus unerwarteten E-Mails folgen. Wenn Sie Ihre Benutzer für Schulungen zum Sicherheitsbewusstsein anmelden, können Sie die Bedrohung durch Phishing-E-Mails verringern.

3. Simuliertes Phishing

Während Mitarbeiterschulungen unerlässlich sind, können Sie mit Phishing-Simulationen sehen, wie Ihre Mitarbeiter in einem realen Szenario abschneiden. Mithilfe von Simulationen können Ihre Mitarbeiter sehen, wie leicht es ist, auf eine Phishing-E-Mail hereinzufallen, und ist sehr effektiv bei der Sensibilisierung, da sich Mitarbeiter viel eher daran erinnern, auf eine simulierte Phishing-E-Mail hereingefallen zu sein, als an eine einfache Schulung.

 

Beginne damit, Menschen in deine stärkste Verteidigungslinie zu verwandeln

usecure ist die Menschliches Risikomanagement (MRM)-Lösung, die es Unternehmen ermöglicht, benutzerbezogene Sicherheitsvorfälle zu reduzieren, eine cyberresistente Belegschaft aufzubauen und Compliance-Standards durch automatisierte Benutzerschulungsprogramme zu erreichen.

Von führenden IT-Profis und Managed-Service-Providern (MSPs) vertraut, usecure analysiert, reduziert und überwacht das menschliche Cyberrisiko durch risikoorientierte Schulungsprogramme zum Sicherheitsbewusstsein, simulierte Phishing-Kampagnen, vereinfachtes Richtlinienmanagement und kontinuierliche Überwachung von Dark-Web-Verletzungen – alles von einer Plattform aus.

Erfahren Sie mehr über usecure