Phishing
Hier können Sie sich über aktuelle Phishing-Taktiken und bewährte Strategien zum Schutz Ihres Unternehmens vor Cyberbedrohungen informieren.
Informationen zu Phishing
Wer das Internet oder ein Smart-Gerät verwendet, ist schon einmal Zeuge eines Phishing-Versuchs geworden, sei es per E-Mail, SMS, Telefonanruf oder Social-Media-Beitrag.
Phishing stellt für Unternehmen eine ernste Berdohung dar. Der Aufstieg der generativen KI hat zu einer massiven Zunahme von Phishing-Angriffen geführt, bei denen immer raffiniertere Techniken zum Einsatz kommen.
Social Engineering: Wie Phishing Vertrauen als Waffe missbraucht
Wir neigen dazu, Nachrichten zu vertrauen, die aus einer vermeintlich zuverlässigen Quelle stammen. Entsprechend ist eine überzeugende Lüge ein wesentlicher Bestandteil eines erfolgreichen Phishing-Angriffs. Das wird als Social Engineering bezeichnet. Angreifer können sich als unsere Kollegen, Freunde, Strafverfolgungsbehörden oder vertrauenswürdige Marken ausgeben – was auch immer nötig ist, damit wir unachtsam werden. Und es funktioniert: Bei 90 % aller Cyberangriffe kommt Social Engineering zum Einsatz.¹
Weiterlesen: Was ist Phishing?
Im Jahr 2023 nahmen Phishing-Angriffe im Vergleich zum Vorjahr um 58,2 % zu, da Angreifer generative KI für neue, ausgeklügelte Täuschungstechniken ausnutzen.
Arten von Phishing-Angriffen
Phishing-Angriffe verfolgen alle ähnliche Ziele: Sie sollen die Opfer dazu verleiten, Malware herunterzuladen, schädlichen Links zu folgen oder vertrauliche Informationen preiszugeben. Phishing-Angreifer können jedoch viele Ansätze und Medientypen verwenden, um ihre Angriffe überzeugender, persönlicher oder dringlicher erscheinen zu lassen. Entdecken Sie unten einige der gängigsten Typen.
E-Mail-Phishing ist die ursprüngliche Form des Phishings, bei der Angreifer betrügerische E-Mails versenden, in denen sie ihre Opfer zu bestimmten Handlungen auffordern. Die Eintrittsbarriere für diese Methode ist niedrig, da sich E-Mails leicht weit verbreiten lassen und viele Teile davon (Absender, Überschrift) leicht gefälscht werden können.
Vishing (Voice-Phishing) wird über Telefon oder VoIP durchgeführt. Als direkte Interaktion in Echtzeit spricht Vishing unser Dringlichkeitsgefühl und unsere sozialen Instinkte stark an. Ausgefeilte Vishing-Angriffe kombinieren heutzutage oft Techniken wie Caller-ID-Spoofing und Voice-Deepfakes. Weitere Informationen
Smishing (SMS-Phishing) erfolgt über Textnachrichten oder DMs in sozialen Medien. Obwohl Smishing dem E-Mail-Phishing ähnelt, kann es aufgrund der wahrgenommenen persönlichen Natur von Textnachrichten und der Tatsache, dass die meisten Menschen Texte lesen, bevor sie sie löschen, äußerst effektiv sein. Weitere Informationen
Spear-Phishing ist ein sehr gezielter Angriff auf eine kleine Gruppe von Opfern oder sogar ein einzelnes Opfer. Spear-Phishing ist nicht auf ein bestimmtes Medium beschränkt, sondern wird durch Personalisierung gekennzeichnet. Dabei werden spezifische Details des/der Opfer(s) verwendet, um die betrügerischen Anfragen glaubwürdiger und irreführender zu machen. Weitere Informationen
MiTM-Phishing (Man-in-the-Middle) ist ein komplexer Angriff, bei dem Angreifer die Kommunikation zwischen zwei Parteien heimlich in Echtzeit abfangen und manipulieren. Sie können u. a. Nachrichten ändern, Opfer auf schädliche Websites umleiten und vertrauliche Daten erfassen. Weitere Informationen
Phishing-Angriffe erkennen: Häufige Typen, wichtige Taktiken und Tipps zur Vorbeugung
Phishing-Techniken und -Taktiken
Phishing-Angreifer nutzen das Vertrauen, die Angst oder einfach die Unachtsamkeit ihrer Opfer aus, um sie zum Handeln zu bewegen.
Angreifern stehen heute mehr Optionen zur Verfügung als je zuvor.
Quishing (QR-Code-Phishing)
Verwendet schädliche QR-Codes anstelle von Standard-Hyperlinks. Obwohl ein QR-Code genauso funktioniert wie ein Hyperlink, ist die Wahrscheinlichkeit geringer, dass Opfer ihn sorgfältig prüfen.
Business Email Copromise (BEC)
Verwendet kompromittierte oder gefälschte E-Mail-Adressen von Kollegen oder Führungskräften der Opfer, um vertrauliche Informationen, Finanztransfers oder Zugriffsberechtigungen anzufordern.
Typosquatting
Nutzt User aus, die URLs falsch eingeben, und führt sie häufig zu ähnlichen Domänen, die vertrauenswürdige, beliebte Marken imitieren.
KI-gestützte Phishing-Angriffe: Eine wachsende Bedrohung für die Cybersicherheit
Deepfake-Phishing
In KI-generierten Sprachnachrichten oder Videos werden Personen nachgeahmt, denen die Opfer vertrauen. Erfahren Sie mehr über Deepfake-Angriffe.
LLM-gestütztes Phishing
Verwendet GenAI-Modelle wie ChatGPT, um Übersetzungen mit minimalen Fehlern zu erstellen, sodass Angreifer Opfer, die andere Sprachen sprechen, besser ins Visier nehmen können.
Bei 43,1 % der Phishing-Angriffe auf Unternehmen wird Microsoft imitiert.
Erfahren Sie mehr im Phishing-Bericht 2024 von ThreatLabz.
Die Rolle der KI beim Phishing
KI-gestütztes Phishing nimmt weiterhin zu
Es wird für Menschen zunehmend schwierig, KI-gestützte Täuschungen von echten, harmlosen Mitteilungen zu unterscheiden. Schauen Sie sich unsere Prognosen an:
Phishing 2025: Aktuelle Prognosen im Überblick
Cybersicherheitstrends 2025: KI-gestützte Bedrohungen und Insider-Risiken
Die durchschnittliche Zeit bis zu einem erfolgreichen Phishing-Versuch beträgt lediglich 49 Sekunden.² Die weltweiten Durchschnittskosten eines Datenschutzverstoßes nähern sich 5 Mio. USD.³ Der beste Weg, Phishing zu bekämpfen, besteht in der Prävention.
Erkennungs- und Präventionsstrategien
Zscaler stellt eine Reihe von Lösungen bereit, um erfolgreiches Phishing in jeder Phase eines Angriffs zu verhindern.
Zscaler Internet Access™ hilft dabei, schädliche Aktivitäten zu identifizieren und zu stoppen, indem der gesamte Internet-Traffic über eine Cloud-native, proxybasierte Zero-Trust-Plattform geleitet und überprüft wird. Dadurch werden folgende Angriffe effektiv blockiert:
- Schädliche und riskante URLs und IPs– einschließlich richtliniendefinierter URL-Kategorien mit hohem Risiko, die häufig für Phishing verwendet werden
- IPS-Signaturen, die von ThreatLabz aus der Analyse von Phishing-Kits und -Seiten ermittelt wurden.
- Neuartige Phishing-Sites, die durch KI/ML-gestützte Inhalt-Scans erkannt wurden
Advanced Threat Protection blockiert alle bekannten Command-and-Control-Domänen (C2), um zu verhindern, dass Malware mit böswilligen Akteuren kommuniziert oder Daten an diese exfiltriert.
Zero Trust Firewall erweitert den C2-Schutz auf alle Ports und Protokolle, einschließlich neuer C2-Ziele.
Zscaler ITDR (Identity Threat Detection and Response) reduziert das Risiko identitätsbasierter Angriffe durch kontinuierliche Transparenz, Risikoüberwachung und Bedrohungserkennung.
Zero Trust Browser streamt schädliche oder riskante Inhalte als Pixel an User und sorgt so für eine nahezu native Anwendererfahrung, die Datenlecks verhindert und die Übermittlung aktiver Bedrohungen verhindert.
Cloud Sandbox verhindert, dass unbekannte Malware in Form von Second-Stage-Payloads übertragen wird
DNS Security schützt vor DNS-basierten Angriffen und Exfiltrationsversuchen.
Zscaler Private Access™ schützt Anwendungen, indem laterale Bewegungen durch Zugriff mit minimaler Rechtevergabe, User-to-App-Segmentierung und vollständige Inline-Überprüfung des privaten Anwendungstraffics eingeschränkt werden.
AppProtection überprüft sämtliche Anwendungs-Payloads, um Bedrohungen aufzudecken.
Instrumente
Informieren Sie sich über Sicherheitslücken, die Sie Phishing, Botnets, Drive-by-Downloads und vielem mehr aussetzen könnten:
Starten Sie eine Internet-Bedrohungsanalyse
Jeden Tag tauchen Zehntausende neuer Phishing-Sites auf. Analysieren Sie jede URL, um in nur wenigen Sekunden ihre Sicherheit zu bestätigen:
1. Gen Digital, Q2 2024 Cybersecurity Trends.2. Verizon, 2024 Data Breach Investigations Report.3. IBM, Cost of a Data Breach Report 2024.
Zero Trust Essentials
Explore more topics
Browse our learning hubs–read up on fundamentals, use cases, benefits, and strategies.