![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Mir ist im Mai 2025 eine Auswertung zum neuesten\u00a0 FBI\u00a0 Internet Crime Report zugegangen. Dort findet sich die Aussage, dass Phishing, mit \u00fcber 193.000 Beschwerden\u00a0 in 2024, nach wie vor die h\u00e4ufigste\u00a0 Bedrohung durch Internetkriminalit\u00e4t in den USA darstellt. Nicht das Volumen ist besorgniserregend, sondern die Ver\u00e4nderung der Taktiken – die heutigen Angriffe sind sauberer, \u00fcberzeugender und darauf ausgelegt, unter dem Radar zu fliegen.<\/p>\n
<\/p>\n
Ich habe die Erkenntnisse aus der Mitteilung mal hier im Blog eingestellt, weil die Phishing-Varianten aufgelistet wurden. Die Cybersicherheitsexperten von ZeroBounce<\/a> verfolgen die neuesten Entwicklungen im Bereich Phishing und haben f\u00fcnf wenig bekannte Taktiken identifiziert, die selbst erfahrene Benutzer oft \u00fcbersehen. Im Folgenden finden sich die wichtigsten Bedrohungen.<\/p>\n Ein Trend sind Phishing-E-Mails ohne Links\u00a0(Linkless Phishing), ohne Anh\u00e4nge – nur eine kurze, scheinbar harmlose Nachricht wie \u201eHaben Sie Zeit f\u00fcr einen kurzen Anruf?\" oder \u201eK\u00f6nnen Sie mir bei dieser Aufgabe helfen?\" Diese Nachrichten sind so konzipiert, dass sie die Filter vollst\u00e4ndig umgehen und einen Echtzeit-Betrug per Telefon oder Antwort in Gang setzen.<\/p>\n \u201eDie Menschen sind darauf trainiert, verd\u00e4chtige Links zu erkennen, aber die Angreifer haben sich darauf eingestellt, indem sie sie ganz entfernen\", sagt Vlad Cristescu, Head of Cybersecurity bei ZeroBounce. \u201eSobald Sie geantwortet haben, geben sie sich weiter als Kollege oder F\u00fchrungskraft aus. Wenn Ihnen etwas komisch vorkommt, antworten Sie nicht direkt. Vergewissern Sie sich \u00fcber einen anderen Kanal, bevor Sie sich einschalten.\"<\/p>\n Die Angreifer \u00fcberschwemmen die Benutzer mit Push-Benachrichtigungen zur Multifaktor-Authentifizierung (MFA), nachdem sie die Anmeldedaten gestohlen haben, und schicken ihnen dann eine E-Mail, in der sie sich als IT-Support ausgeben und sie auffordern, \u201enur eine zu genehmigen\", um die Benachrichtigungen zu stoppen.<\/p>\n \u201eDies ist eher psychologische Kriegsf\u00fchrung als technische Trickserei\", erkl\u00e4rt Cristescu. \u201eEs nutzt die Frustration und das Vertrauen der Benutzer in die IT aus. Wenn Sie mehrere MFA-Anfragen erhalten, die Sie nicht initiiert haben, ist das keine St\u00f6rung, sondern ein Angriff. Halten Sie inne, lassen Sie es nicht zu und eskalieren Sie es sofort.\"<\/p>\n Einige Phishing-E-Mails verstecken ihre Nutzdaten in einem einfachen HTML-Anhang, der sich in Ihrem Browser \u00f6ffnet und einen Anmeldebildschirm imitiert. Diese Anh\u00e4nge sind besonders tr\u00fcgerisch, weil sie wie Rechnungen, freigegebene Dokumente oder sichere Benachrichtigungen aussehen.<\/p>\n \u201eDie Benutzer denken: 'Es ist nur eine HTML-Datei, was kann sie schon anrichten?'\" bemerkt Vlad Cristescu. \u201eAber ein Klick kann eine geklonte Anmeldeseite \u00f6ffnen, die Ihre Anmeldedaten sofort abf\u00e4ngt. Unternehmen sollten HTML-Anh\u00e4nge auf das Notwendigste beschr\u00e4nken, und Benutzer sollten unbekannte HTML-Dateien genauso behandeln wie einen verd\u00e4chtigen Link – \u00f6ffnen Sie ihn nur, wenn Sie sich des Absenders absolut sicher sind.\"<\/p>\n Angreifer versenden jetzt Besprechungsanfragen mit b\u00f6sartigen Links, die in die Einladung oder die Schaltfl\u00e4che \u201eBeitreten\" eingebettet sind. Diese Einladungen werden direkt mit Kalendern synchronisiert und bleiben oft unhinterfragt. Ich hatte dies die Tage im Beitrag Phishing mit Termineinladungen zielt auf Office 365-Konten<\/a> aufgegriffen.<\/p>\n \u201eKalendereinladungen haben diese eingebaute Glaubw\u00fcrdigkeit – sie werden in der Regel nicht wie E-Mails hinterfragt\", erkl\u00e4rt Cristescu. Wenn Sie jedoch Besprechungsanfragen von unbekannten Absendern oder vage Veranstaltungstitel wie \u201eSynchronisierung\" oder \u201eProjektbesprechung\" erhalten, sollten Sie diese genauso behandeln wie Phishing-E-Mails. Deaktivieren Sie nach M\u00f6glichkeit die automatische Annahme und \u00fcberpr\u00fcfen Sie jede Einladung manuell, bevor Sie darauf klicken.\"<\/p>\n","protected":false},"excerpt":{"rendered":" Mir ist im Mai 2025 eine Auswertung zum neuesten\u00a0 FBI\u00a0 Internet Crime Report zugegangen. Dort findet sich die Aussage, dass Phishing, mit \u00fcber 193.000 Beschwerden\u00a0 in 2024, nach wie vor die h\u00e4ufigste\u00a0 Bedrohung durch Internetkriminalit\u00e4t in den USA darstellt. Nicht … Weiterlesen Das Aufkommen von Phishing ohne Links<\/h2>\n
Wiederholte Login-Anfragen als Hilfe von IT getarnt<\/h2>\n
HTML-Anh\u00e4nge, die sich als sichere Portale ausgeben<\/h2>\n
Phishing durch Kalendereinladungen<\/h2>\n