Phishing ist eine Wortschöpfung aus den englischen Begriffen „Password“ und „Fishing“. Der Begriff beschreibt eine Art des Daten- und Identitätsdiebstahls über das Internet. Mittels täuschend echt nachgemachter E-Mails werden Mitarbeiter/Internet-Nutzer auf gefälschte Internetseiten namhafter Payment-Provider, Onlineshops und -dienstleister gelockt, um Benutzerkennungen und Passwörter zu stehlen. Heute verursachen Phishing-Attacken mehr als 90 Prozent aller gezielten Angriffe im Internet.
Die am häufigsten verwendete Phishing-Methode ist das massenhafte Versenden von gefälschten E-Mails. Diese sind oft so gestaltet, dass sie den originalen E-Mails vertrauter Personen oder namhafter Unternehmen täuschend ähnlich sind. Der Empfänger der E-Mail wird aufgefordert, den enthaltenen Link anzuklicken und seine Zugangsdaten einzugeben. Der Link führt zu einer gefälschten Website, diese ist der Originalseite des Unternehmens pixelgenau nachempfunden. Sieht der Empfänger die E-Mail als glaubwürdig an und gibt seine persönlichen Daten ein, ist der Angreifer im Besitz der Zugangsdaten und kann diese für seine Absichten missbrauchen.
In den meisten Fällen sind Phishing E-Mails durch charakteristische Merkmale auch für ahnungs-lose Internet-Nutzer erkennbar:
- Die Absenderadresse der E-Mail entspricht nicht der bekannten Firmenadresse
- Die Anrede und Grußformel sind unpersönlich
- Ein scheinbar authentischer Grund (Problematik) für die E-Mail
- Ein dringender Handlungsbedarf wird vorgetäuscht
- Drohungen bei nicht Handeln werden ausgesprochen
- Die E-Mail enthält Grammatikfehler und ist in einem schlechten Deutsch verfasst
- Die E-Mail enthält einen Link oder einen Anhang als Lösungsweg für die genannte Problematik
- Bei der verlinkten Website fehlt das Sicherheitszertifikat SSL und somit das Kürzel https://
- Die URL sieht der echten Adresse ähnlich, enthält aber unübliche Zusätze
- Die Angabe persönlicher Zugangsdaten wird verlangt
Um das Risiko von Phishing E-Mails zu minimieren, ist neben verschiedenen technischen Schutzmaß-nahmen vor allem wichtig, Mitarbeiter im Umgang mit E-Mails und der Eingabe von Zugangsdaten im Netz zu sensibilisieren.
Viele Unternehmen haben die Sensibilisierung ihrer Mitarbeiter noch nicht ergriffen, deshalb bietet CyberDirekt eine optimale Lösung für den ersten Schritt in den Risikodialog zwischen Unternehmen und Mitarbeitern. Versicherungsmakler mit einer Anbindung an CyberDirekt können ihre Gewerbe- und Firmenkunden ab sofort per Gutschein kostenfrei zum Phishing-Simulationstest einladen. Der Selbsttest mit einer animierten Cyber-Attacke auf die eigenen Mitarbeiter ist ein erster Schritt um den Risikofaktor „Mensch“ zu verringern.