Warnzeichen übersehen oder nicht ernst nehmen, Risiken unterschätzen, nicht an die Folgen denken und blind jedem und allem vertrauen – kurzum Nachlässigkeit, Leichtsinn und Gutgläubigkeit – sind typische menschliche Eigenschaften. Gerade diese Verhaltensweisen können in der digitalen Welt schnell zu ernsthaften Problemen werden. Sie sind das Einfallstor für Angriffe.
Es ist wichtig zu verstehen, dass Gefahren nicht nur in der realen Welt existieren, sondern längst auch in der digitalen Welt. Phishing ist eine dieser Bedrohungen und gehört zur digitalen Realität. Wir kommen viel häufiger damit in Kontakt, als uns bewusst ist.
Zugegebenermaßen sprechen heutzutage immer mehr Menschen über Phishing und andere Cyberangriffe. Was früher wie ein Fremdwort aus einem Cyberthriller klang, ist heute ein gängiges Thema, das uns überall begegnet. Mittlerweile hört man Menschen über Hackerangriffe wie Phishing sprechen, auch wenn nur oberflächlich, Bürger warnen sich gegenseitig vor verdächtigen Links in WhatsApp-Gruppen oder in den sozialen Medien.
Doch nur weil das Wort „Phishing“ bekannt ist, schützt es nicht automatisch vor der Gefahr. Deshalb setzen immer mehr Unternehmen gezielt auf die Sensibilisierung ihrer Mitarbeitenden, um das Bewusstsein für diese Bedrohungen zu stärken. Eigentlich lernt jeder dazu: Unternehmen entwickeln ihre Sicherheitsstrategien weiter, Mitarbeitende verstehen immer besser, worauf sie achten müssen, die IT-Security-Teams lernen auch dazu und passen ihre Abwehrstrategien entsprechend an und auch technische Lösungen werden immer effektiver und konsequenter eingesetzt. Doch auch die Bedrohungsakteure entwickeln sich weiter, sie beobachten ebenfalls diese Entwicklung und passen ihre Methoden laufen an.
Phishing
Phishing ist eine simple Methode, mit der versucht wird, möglichst viele Menschen zu erreichen. Zudem ist es eine kostengünstige und wirksame Methode, um an vertrauliche Daten zu gelangen. Kriminelle sind bemüht Passwörter, Zugangsdaten oder persönliche Informationen abzugreifen, indem sie gefälschte Nachrichten verschicken, meist über E-Mail, SMS oder Messenger-Dienste. Diese Nachrichten wirken auf den ersten Blick oft seriös und sollen das Opfer dazu bringen, auf einen Link zu klicken oder sensible Daten einzugeben.
Der Aufwand ist gering, die Erfolgsquote auch. Zum Teil, weil die Nutzer wachsamer geworden sind. Beispielsweise werden offensichtliche Phishing- Nachrichten (z. B. Rechtschreibfehler oder unlogische Inhalte) deutlich schneller erkannt als noch vor ein paar Jahren. Durch den Einsatz von KI-gestützten Übersetzungstools, Chatbots und Textgeneratoren sind Phishing-Mails heute jedoch oft fehlerfrei formuliert. Obwohl die klassische Phishing-Methode, also das massenhafte Versenden von gefälschten Nachrichten, immer noch gut funktioniert, hat sie mittlerweile weitgehend ausgedient. Im Allgemeinen ist die Methode leicht aufzudecken. Sobald eine Kampagne entdeckt wird, spricht sich das schnell herum. Es entsteht Aufwand für den Angreifer, der sich nicht lohnt. Deshalb kommt immer häufiger Precision Validated Phishing zum Einsatz. Es ist eine neue Technik, die eine höhere Trefferquote ermöglicht, indem nur verifizierte Opfer angegriffen werden.
Precision Validated Phishing
Wie bereits erwähnt, wird die Technik immer besser, der Mensch wachsamer und der Streuverlust ist bei massenhaften Mails enorm. Wer zum Beispiel noch nie bei Amazon bestellt hat oder kein Kunde einer bestimmten Bank ist, erkennt meist den Betrugsversuch. Zudem verbreiten sich Warnungen heutzutage schnell. Der Spielraum für Angreifer wird dadurch immer kleiner. Doch das hält Cyberkriminelle nicht auf. Sie müssen lediglich ihre Strategie anpassen.
Was ist Precision Validated Phishing?
Es ist eine gezieltere Angriffsstrategie im Vergleich zu dem Massenangriff. Die Angreifer setzten hier auf Qualität statt Quantität. Die Opfer werden vorher ausgewählt; nicht zufällige Empfänger, sondern gezielt ausgewählte Personen, sollen erreicht werden.
Zunächst werden Informationen über potenzielle Opfer gesammelt, basierend auf Datenlecks, Unternehmenswebsites, sozialen Netzwerken, gekauften E-Mail-Listen oder Social Engineering. Mit diesen Informationen können dann glaubwürdige Nachrichten erstellt und versendet werden. Das Ganze braucht dann auch eine Phishing-Webseite, die genauso professional und täuschend echt vorbereitet wird. Bevor diese eigentliche Phishing-Seite angezeigt wird, erfolgt eine Echtzeitprüfung, ob eine E-Mail-Adresse überhaupt gültig und aktiv ist. Nur wenn die E-Mail-Adresse des Besuchers zur internen Zielliste gehört, wird die betrügerische Seite angezeigt. Ist die eingegebene E-Mail-Adresse nicht in der internen Zielliste aufgeführt, zeigt die Phishing-Seite entweder eine Fehlermeldung oder leitet den Nutzer auf eine harmlose, legitime Seite weiter. Dadurch bleibt der Angriff für Sicherheitsteams oft unsichtbar und entzieht sich wirksamer Analyse oder technischer Erkennung.
Durch diese Vorauswahl steigt die Erfolgswahrscheinlichkeit, da nur echte und lohnende Ziele angegriffen werden.
Herausforderungen für Sicherheitsexperten
Im Gegensatz zum klassischen Massenangriff ist die Angriffsmethode von Precision Validated Phishing deutlich schwerer zu erkennen und zu analysieren. Bei der klassischen Methode werden große Mengen nahezu identischer E-Mails versendet, meist mit offensichtlichen Merkmalen wie unpassender Inhalt oder auffällige Domains.
Bei der herkömmlichen Methode könnten Sicherheitssysteme wie Spamfilter, Firewalls, SIEMs oder E-Mail Gateways durch typische Mustererkennung frühzeitig alarmieren. Bei den neuen Methoden fehlen genau diese Anzeichen. Die Riesenwelle gleichartiger Mails ist nicht vorhanden, keine Häufung an fehlgeschlagenen Zustellungen und keine klaren Trigger für automatisierte Systeme. Ein einziger gezielter Angriff fällt nicht sofort auf. Es ist schwierig solch ein Angriff in Echtzeit zu erkennen. Selbst wenn der Vorfall bemerkt wird, ist die Nachverfolgung äußerst schwierig, da unklar bleibt wie der Angriff genau ablief und über welche Wege der Zugriff erfolgte.
Schutzmöglichkeiten
Ein zentraler Baustein im Schutz vor modernen Phishing-Angriffen ist die kontinuierliche Sensibilisierung der Mitarbeitenden. Es reicht längst nicht mehr aus nur auf klassische Merkmale von Phishing-Mails hinzuweisen. Es braucht realistische Phishing-Simulationen, die auch neuartige und gezielte Angriffsformen abbilden.
Auch auf technischer Ebene müssen Unternehmen nachrüsten. Standard-Spamfilter reichen bei zugeschnittenen Phishing-Mails nicht mehr aus. Lösungen, die mit Verhaltensanalyse arbeiten, also auffälliges Verhalten erkennen und frühzeitig alarmieren können, sollten eingesetzt werden. Ergänzend dazu kann das Zero-Trust-Prinzip etabliert werden, das heißt jeder Zugriff muss überprüfbar und nachvollziehbar sein bevor vertraut wird.
Und falls es trotz aller Maßnahmen zu einem Sicherheitsvorfall kommt, ist ein umfassendes Incidentmanagement essenziell. Zuständigkeiten, Abläufe, Melde- und Kommunikationswege sollten klar definiert sein. Wichtig ist auch, die aktuelle Bedrohungslage regelmäßig zu beobachten. Precision Validated Phishing ist ein deutliches Zeichen dafür, das sich die Bedrohungslage in diesem Bereich geändert hat.
Fazit
Phishing ist eine der am häufigsten eingesetzten Methoden, um an sensible Informationen wie Zugangsdaten zu gelangen. Eine neue Form davon ist Precision Validated Phishing, bei dem Angreifer verifizierte Informationen über ihr Ziel sammeln. Früher einmal landeten Phishing Mails mit offensichtlichen Fehlern massenhaft in den digitalen Postfächern. Heute sind sie präziser und professioneller. Mit Precision Validated Phishing entfernt man sich weg von der breiten Streuung, es werden kaum Spuren hinterlassen und die Sicherheitsteams stehen vor großen Herausforderungen. Klassische Schutzmaßnahmen wie einfache Spamfilter oder pauschale Schulungen greifen nicht mehr zuverlässig. Die Kombination aus Sensibilisierung und moderner Technik sowie klare Prozesse für das Incidentmanagement sind entscheidend, um gegen neue Angriffsformen wie Precision Validated Phishing bestehen zu können.
17. Juli 2025 @ 14:47
Die Arbeit mit der Recherche und der Personalisierung werden und können sich die Cybergangster nicht für Jede/n machen. Hans und Erna von der Straße sind also weniger gefährdet als Schlüsselpersonen in Unternehmen. Das ist als Spear-Phishing bekannt. –
Der wichtigste technische Schutz gegen Phishing wird immer wieder vergessen: Passwort-Manager (PWM). Ein PWM wie Bitwarden springt nur an, wenn er die richtige Adresse (URL) sieht. Auf Phishing-Seiten reagiert er nicht, und seien sie optisch noch so gut nachgemacht. Man darf dann nur nicht der Versuchung erliegen, Zugangsdaten manuell einzugeben.