Mit den ersten Anzeichen des Sommers in der Luft k\u00f6nnen sich die Gedanken ans Angeln wenden\u2026 warte\u2026 falscher Blog\u2026<\/p>\n\n\n\n
In diesem ersten iDS-Blogbeitrag zur Cybersicherheit geben wir einen schnellen \u00dcberblick \u00fcber Phishing-Angriffe und den Schaden, den sie verursachen k\u00f6nnen, die H\u00e4ufigkeit von Angriffen und einige g\u00e4ngige Arten von Phishing-Angriffen. ichin der zweiten Rate<\/a>, konzentrieren wir uns haupts\u00e4chlich darauf, wie Sie einen Phishing-Angriff verhindern und sich von ihm erholen k\u00f6nnen.<\/p>\n\n\n\n Phishing ist eine Technik, die von Cyberkriminellen eingesetzt wird, um Ger\u00e4te und Netzwerke zu kompromittieren, indem E-Mail-Empf\u00e4nger dazu verleitet werden, auf einen Link zu klicken oder ein Dokument zu \u00f6ffnen, das Malware enth\u00e4lt. W\u00e4hrend Hollywood Hacker oft als abtr\u00fcnnige Helden darstellt, die versuchen, b\u00f6se Unternehmen oder finstere Regierungsbeh\u00f6rden zu Fall zu bringen, ist die Realit\u00e4t viel komplexer.<\/p>\n\n\n\n Es gibt gute, ethische Hacker, die oft als White-Hat-Hacker bezeichnet werden und Organisationen dabei helfen k\u00f6nnen, Schwachstellen in ihren Netzwerken, Systemen oder Anwendungen zu identifizieren. Es gibt Black-Hat-Hacker, die ihre F\u00e4higkeiten f\u00fcr b\u00f6swillige Aktivit\u00e4ten nutzen, wie z. B. den Diebstahl Ihrer Kreditkarteninformationen oder Unternehmensgeheimnisse.<\/p>\n\n\n\n In den Filmen sind die b\u00f6sen Hacker normalerweise aktiv an ihren Hacks beteiligt \u2013 das hei\u00dft, sie gehen in Echtzeit vor unseren Augen gegen ihre Feinde vor, umgehen Sicherheitsvorrichtungen, extrahieren Passw\u00f6rter und erhalten schlie\u00dflich w\u00e4hrend unserer Zeit Zugriff auf die Kronjuwelen ihres Ziels Helden versuchen, sie zu besiegen.<\/p>\n\n\n\n Die Realit\u00e4t sieht meist ganz anders und viel banaler aus. Der h\u00e4ufigste Vektor f\u00fcr Datenschutzverletzungen im Jahr 2018 war laut Angaben eine Phishing-E-Mail IDG <\/a>in seinem 2018 US State of Cybercrime, der in Zusammenarbeit mit dem CSO Magazine, CERT, dem Secret Service und KnowBe4 durchgef\u00fchrt wird.<\/p>\n\n\n\n Die Studie ergab auch, dass keine Organisation immun ist. Regierungsbeh\u00f6rden und gro\u00dfe Unternehmen erlebten durchschnittlich 196 Sicherheitsvorf\u00e4lle pro Jahr, w\u00e4hrend das typische kleine\/mittlere Unternehmen durchschnittlich 24 Vorf\u00e4llen pro Jahr ausgesetzt war.<\/p>\n\n\n\n Das Ergebnis eines erfolgreichen Angriffs h\u00e4ngt vom Ziel des Angreifers ab. Ein h\u00e4ufiger Angriff besteht darin, Malware in eine E-Mail einzubetten, die es dem Angreifer erm\u00f6glicht, den Sicherheitsperimeter zu durchbrechen, auf zus\u00e4tzliche Systeme zuzugreifen und entweder Kundendaten oder Anmeldedaten zu stehlen. In diesem Fall wissen Sie m\u00f6glicherweise nicht einmal, dass Sie verletzt wurden, bis Sie vom FBI oder der Presse um einen Kommentar gebeten werden.<\/p>\n\n\n\n Andere Angriffe sind offensichtlicher \u2013 jeder kommt zur Arbeit und stellt fest, dass die Daten auf all Ihren Computern jetzt mit Ransomware verschl\u00fcsselt sind. Und Ihr Echtzeit-Disaster-Recovery-Backup ist ebenfalls verschl\u00fcsselt. Sie k\u00f6nnen die Daten f\u00fcr nur $50.000 Bitcoin im Wert von Bitcoin zur\u00fcckerhalten, ein kleiner Preis, den sie zahlen m\u00fcssen, sagen sie Ihnen.<\/p>\n\n\n\n Eine Datenschutzverletzung kann viel schlimmer sein. Die Sch\u00e4tzungen variieren, aber mehrere Studien zu einer Verletzung von Kundendaten haben Kosten f\u00fcr ein mittelst\u00e4ndisches Unternehmen verursacht, das eine Verletzung von einigen Tausend Kunden- oder Mitarbeiterdatens\u00e4tzen erlebt, die auf $1,5 Millionen bis $5,5 Millionen festgesetzt sind. Die Kosten k\u00f6nnen viel h\u00f6her sein, und der Reputationsschaden, der Ihnen durch die Verletzung entstehen kann, ist darin nicht enthalten.<\/p>\n\n\n\n Phishing kann viele Formen annehmen. Der bekannteste (ber\u00fcchtigtste?) Betrug ist eine einfache Phishing-E-Mail, bei der der Absender vorgibt, ein nigerianischer Prinz (oder ehemaliger Regierungsbeamter) zu sein und einfach ein US-Bankkonto ben\u00f6tigt, um sein Geld einzuzahlen.<\/p>\n\n\n\n Diesen Betrug gibt es in irgendeiner Form seit mehr als einem Jahrhundert, er ist jedoch mit dem \u00dcbergang von einem papierbasierten zu einem E-Mail-basierten Angriff weitaus h\u00e4ufiger geworden. W\u00e4hrend die meisten Leute die E-Mails f\u00fcr den l\u00e4cherlich schlechten Betrug sehen, fragen Sie sich vielleicht, warum wir sie immer noch sehen.<\/p>\n\n\n\n Nun, es liegt daran, dass es leider immer noch funktioniert. Millionen von Dollar flie\u00dfen an Kriminelle aus einfachen E-Mails, die so verbreitet sind, dass sie einen eigenen Spitznamen haben: ein \u201e419\u201c-Betrug, benannt nach dem Abschnitt der Betrugskategorie des nigerianischen Strafgesetzbuchs.<\/p>\n\n\n\n Eine weitere g\u00e4ngige Art von Phishing-Angriffen wird als Spear-Phishing bezeichnet. Spear-Phishing ist ein gezielter Angriff, bei dem der Angreifer auf eine bestimmte Person abzielt und Informationen \u00fcber ihr Ziel sammelt, um eine viel glaubw\u00fcrdigere E-Mail zu erstellen.<\/p>\n\n\n\n Soziale Medien sind eine Hauptquelle f\u00fcr Daten, die bei Spear-Phishing-Angriffen verwendet werden. Wenn Sie beispielsweise \u00fcber den Aufenthalt in einem bestimmten Hotel posten, kann der schlechte Schauspieler eine E-Mail vom Hotel erstellen, um Sie zu bitten, an einer Zufriedenheitsumfrage teilzunehmen. Oder sie verwenden Ihr LinkedIn-Profil, um zu identifizieren, dass Sie ein Alumnus einer bestimmten Schule sind, und generieren dann eine E-Mail mit einem Dokument, das eine Alumni-Veranstaltung oder eine Spendeninitiative beschreibt.<\/p>\n\n\n\n Eine noch speziellere Art von Spear-Phishing-Angriffen wird als Whaling bezeichnet. Beim Walfang werden gezielt die h\u00f6chsten F\u00fchrungskr\u00e4fte einer Organisation angegriffen, um den Diebstahl der wertvollsten Informationen der Organisation zu erleichtern oder betr\u00fcgerische Geldtransfers zu autorisieren. Der Walfang ist oft eine langfristige Anstrengung mit dem Schwerpunkt auf Aufkl\u00e4rung, um die Effektivit\u00e4t des Angriffs zu erh\u00f6hen.<\/p>\n\n\n\n Eine weitere Variante, die immer h\u00e4ufiger vorkommt, nennt sich Voice-Phishing oder Vishing. Es gibt viele Variationen von Vishing, von sehr einfach bis au\u00dferordentlich komplex. An einem Ende des Spektrums w\u00e4re ein einfacher Telefonanruf, um zu versuchen, jemanden zu \u00fcberreden, pers\u00f6nliche Daten oder Kontoinformationen preiszugeben, z. B. den Helpdesk anzurufen und ihm mitzuteilen, dass Sie ein Benutzer sind, der sein Passwort verloren hat.<\/p>\n\n\n\n Ein komplexerer Angriff k\u00f6nnte das \u00c4ndern der Anrufer-ID-Informationen, das T\u00e4tigen eines Anrufs und das anschlie\u00dfende Versenden einer E-Mail kombinieren. Beispielsweise k\u00f6nnte ein Angreifer seine Telefonnummer als die Telefonnummer eines leitenden Angestellten des Unternehmens erscheinen lassen und den Kreditorenbuchhaltungsspezialisten anrufen, um ihm mitzuteilen, dass der gr\u00f6\u00dfte Lieferant des Unternehmens nicht bezahlt wurde und dass so schnell wie m\u00f6glich eine \u00dcberweisung erforderlich ist .<\/p>\n\n\n\n Am Telefon sagt der Angreifer, dass er die Informationen f\u00fcr die Zahlung erhalten und eine E-Mail mit den Details senden wird. Der Angreifer folgt mit einer gef\u00e4lschten E-Mail an das Ziel, die anscheinend von derselben F\u00fchrungskraft stammt und die Routing- und Kontonummern f\u00fcr eine \u00dcberweisung enth\u00e4lt.<\/p>\n\n\n\n Der Angriff wird mit einem weiteren Telefonanruf abgeschlossen, der anscheinend von der F\u00fchrungskraft stammt und best\u00e4tigt, dass der AP-Spezialist die E-Mail und die Informationen erhalten hat. Und die F\u00fchrungskraft wartet in der Leitung, w\u00e4hrend die \u00dcberweisung ausgef\u00fchrt wird.<\/p>\n\n\n\n Was auch immer der Angriff ist, in einer zunehmend digitalisierten Welt sind wir alle gef\u00e4hrdet. Unsere n\u00e4chste Folge<\/a> konzentriert sich darauf, wie Sie Ihren Benutzern helfen k\u00f6nnen, diese Angriffe zu vermeiden, und wie Sie Ihren Systemen helfen k\u00f6nnen, diese Angriffe zu verhindern, zu erkennen und sich von ihnen zu erholen. F\u00fcr weitere Informationen zu unseren Dienstleistungen wenden Sie sich bitte an Robert Kirtley unter rkirtley@idsinc.com<\/a>.<\/p>\n\n\n\n <\/p>\n\n\n\n iDiscovery Solutions ist ein strategisches Beratungs-, Technologie- und Expertendienstleistungsunternehmen, das ma\u00dfgeschneiderte eDiscovery-L\u00f6sungen von digitaler Forensik bis hin zu Expertenaussagen f\u00fcr Anwaltskanzleien und Unternehmen in den Vereinigten Staaten und Europa anbietet.<\/strong><\/p>","protected":false},"excerpt":{"rendered":" With the first signs of summer in the air, one\u2019s thoughts may turn to fishing\u2026wait\u2026wrong blog\u2026 In this inaugural iDS cybersecurity blog post, we\u2019ll give a quick overview of phishing attacks and the damage they can cause, frequency of attacks, and some common types of phishing attacks. In the second installment, we\u2019ll concentrate primarily on […]<\/p>\n","protected":false},"author":9,"featured_media":2804,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[],"class_list":["post-2801","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","has-post-title","has-post-date","has-post-category","has-post-tag","has-post-comment","has-post-author",""],"yoast_head":"\nWas ist Phishing?<\/h3>\n\n\n\n
Was sind Beispiele f\u00fcr Phishing-Angriffe?<\/h3>\n\n\n\n