{"id":26747,"date":"2022-02-18T10:05:37","date_gmt":"2022-02-18T10:05:37","guid":{"rendered":"https:\/\/easydmarc.com\/blog\/?p=26747"},"modified":"2023-06-09T12:09:38","modified_gmt":"2023-06-09T12:09:38","slug":"was-ist-consent-phishing-und-wie-lassen-sich-solche-angriffe-verhindern","status":"publish","type":"post","link":"https:\/\/easydmarc.com\/blog\/de\/was-ist-consent-phishing-und-wie-lassen-sich-solche-angriffe-verhindern\/","title":{"rendered":"Was ist Consent-Phishing und wie lassen sich solche Angriffe verhindern?"},"content":{"rendered":"
Wenn Sie sich jemals f\u00fcr Cybersicherheit interessiert haben, haben Sie wahrscheinlich schon einmal von <\/span>Consent-Phishing<\/b> geh\u00f6rt. Der Begriff beschreibt genau das, worum es geht. Diese spezielle Art von Cyberangriff erfordert eine Art von Zustimmung (engl. \u201econsent\u201c) des Opfers. Sie hat in letzter Zeit weltweit <\/span>zugenommen<\/span> und sendet eine unsichtbare Botschaft an zahlreiche Unternehmen: \u00dcberarbeiten Sie Ihre Benutzerrichtlinien und Ihr Digital Asset Management.<\/span><\/p>\n In diesem Artikel wird erl\u00e4utert, was unter <\/span>Consent-Phishing<\/b> zu verstehen ist, damit sowohl Unternehmen als auch Privatpersonen ihre Daten besser vor diesem gezielten Angriff sch\u00fctzen k\u00f6nnen.<\/span><\/p>\n Consent-Phishing <\/b>ist ein anwendungsbasierter Angriff, bei dem das Opfer mit einer legitim registrierten Anwendung get\u00e4uscht wird, um Zugang zu seinen sensiblen Daten zu erhalten. Diese Angriffsart unterscheidet sich jedoch vom Credential-Phishing, da sie den Benutzer nicht auf eine gef\u00e4lschte Anwendung umleitet.<\/span><\/p>\n Es kann zwar auf verschiedene Arten durchgef\u00fchrt werden, doch die h\u00e4ufigste ist per E-Mail. Wie also funktioniert das <\/span>Consent-Phishing<\/b>? Der Angreifer sendet eine scheinbar zuverl\u00e4ssige Nachricht an die E-Mail der Zielperson. Sobald die Zielperson auf den Link klickt, wird eine Anwendung auf ihrem Computer installiert. Von dort aus sammelt der Angreifer Informationen \u00fcber das Opfer.<\/span><\/p>\n Es gab viele anschauliche F\u00e4lle von <\/span>Consent-Phishing-Angriffen<\/b> prominenter Organisationen, die sp\u00e4ter zu einem Warnsignal f\u00fcr andere wurden.<\/span><\/p>\n Eines der bekanntesten Beispiele ist die <\/span>Sicherheitsl\u00fccke<\/span><\/a>, die das SANS Institute im Jahr 2020 aufdeckte. Wie berichtet wurde, erhielten einige Mitarbeiter eine E-Mail mit dem Namen \u201eCopy of sans July Bonus 24JUL2020.xls\u201c.<\/span><\/p>\n Sie enthielt ein \u201eBonus\u201c-Dokument im Format Enabler4Excel 365, und die Mitarbeiter f\u00fchlten sich angeregt, auf die Schaltfl\u00e4che \u201e\u00d6ffnen\u201c zu klicken. Das reichte einem Mitarbeiter, um auf den Link zu klicken und versehentlich ein b\u00f6sartiges Microsoft 365-Add-on zu installieren. Dieses Programm erstellte eine Weiterleitungsregel f\u00fcr 513 E-Mails an den anonymen Angreifer.<\/span><\/p>\n Um vertrauensw\u00fcrdig genug zu sein, kommen <\/span>Consent-Phishing-Angriffe<\/b> scheinbar von seri\u00f6sen Anbietern. Dies erleichtert es den von Angreifern kontrollierten Anwendungen, Zugang zu Benutzerdaten zu erhalten. Der Plan ist in der Regel minuti\u00f6s orchestriert, um erfolgreich zu sein. Nachfolgend erl\u00e4utern wir die \u00fcblichen Schritte bei <\/span>Consent-Phishing-Angriffen<\/b>.<\/span><\/p>\n Jeder Consent-Phishing-Angriff ist anders, aber die wichtigsten Schritte sind die folgenden:<\/span><\/p>\n Sobald der Benutzer die Nachricht annimmt, werden seine Daten f\u00fcr den Angreifer zug\u00e4nglich. Dazu k\u00f6nnen E-Mails, Kontakte, Weiterleitungsregeln, Dateien, Notizen, Profile usw. geh\u00f6ren.<\/span><\/p>\n Consent-Phishing kann \u00fcber verschiedene digitale Kan\u00e4le erfolgen. E-Mails sind jedoch eine der zuverl\u00e4ssigsten Quellen, da der Angreifer den Eindruck erwecken muss, dass ein legitimes Unternehmen die Zielpersonen kontaktiert. Ein Benutzer kann auch in einer App, einem Softwareprogramm oder in Anmeldeformularen auf einen Consent-Phishing-Angriff sto\u00dfen. Wenn Sie von einer App aufgefordert werden, eine andere App zu installieren, sollten Sie in jedem Fall pr\u00fcfen, ob die Aufforderung mit den Datenschutzrichtlinien des Programms und den Richtlinien Ihres Unternehmens \u00fcbereinstimmt.<\/span><\/p>\n Wie wir bereits erw\u00e4hnt haben, ist Consent-Phishing in der Regel geplant und folgt einer bestimmten Abfolge von Schritten. Angefangen bei der Erstellung einer b\u00f6sartigen App bis hin zu den Bem\u00fchungen, echt zu erscheinen, kann dieser Prozess entmutigend sein.<\/span><\/p>\n Als eine Art von Phishing weist dieser Angriff starke Social-Engineering-Merkmale auf. Zun\u00e4chst einmal setzt der Hacker auf die Dringlichkeitskomponente. Zweitens hofft er, dass ein \u201etolles Angebot\u201c f\u00fcr das Opfer verlockend genug ist, um auf den Link zu klicken. Ein Merkmal des Consent-Phishings ist jedoch die \u201e\u00dcbertragung der Schuld\u201c auf die empfangende Partei.<\/span><\/p>\n Consent-Phishing ist effizient, weil es eine scheinbar legitime Anwendung nutzt, die das Opfer gerne installieren m\u00f6chte. Eine weitere Komponente, die es sehr effektiv macht, ist die Umsetzung auf der Grundlage der Zustimmung des Opfers.<\/span><\/p>\n Als hochwirksame Angriffsart in Verbindung mit der Zunahme des E-Mail-Marketings gewinnt das Consent-Phishing in der Cyberwelt immer mehr an Bedeutung. Diese Angriffsart ist auf dem Vormarsch, hat aber ihren H\u00f6hepunkt noch nicht erreicht. Wir haben das Wachstum des Consent-Phishings bereits f\u00fcr das Jahr 2022 <\/span>prognostiziert<\/span><\/a>, da die allgemeinen Phishing-F\u00e4lle nicht abnehmen werden.<\/span><\/p>\n Die Gefahren des Consent-Phishings <\/b>k\u00f6nnen jedes Unternehmen bedrohen. Daher muss jedes Unternehmen entsprechende Ma\u00dfnahmen ergreifen, um den Verlust wichtiger Daten zu vermeiden. Es lohnt sich, in die Cybersicherheit zu investieren, denn sie ist f\u00fcr ein Unternehmen von gr\u00f6\u00dfter Bedeutung. Wir haben auch einige praktische Taktiken zur <\/span>Verhinderung von Consent-Phishing<\/b> aufgezeigt.<\/span><\/p>\n Ihre Teammitglieder m\u00fcssen sich des Consent-Phishings bewusst sein, um sowohl sich selbst als auch das Unternehmen, f\u00fcr das sie arbeiten, zu sch\u00fctzen. Schulen Sie Ihre Mitarbeiter darin, die Links, Dateien, E-Mails und anderen Inhalte, die sie erhalten, zu \u00fcberpr\u00fcfen und verd\u00e4chtige Funktionen auszuschlie\u00dfen.<\/span><\/p>\n Setzen Sie herstellergepr\u00fcfte Anwendungen durch oder erstellen Sie eine separate Liste von Anwendungen, denen Sie vertrauen. Wenn Ihr Unternehmen selbst Anwendungen herstellt, ist es besser, propriet\u00e4re Produkte zu verwenden.<\/span><\/p>\n Nat\u00fcrlich sind Apps von Drittanbietern wichtig f\u00fcr Ihr Unternehmen, trotz der <\/span>Gefahren des Consent-Phishings<\/b>. Daher m\u00fcssen Ihre Administratoren das Berechtigungs- und Zustimmungsrahmenwerk verstehen, um zu verhindern, dass b\u00f6sartige Apps in Ihre Umgebung gelangen. Wir empfehlen eine feste Richtlinie f\u00fcr Fremdanwendungen und den Umgang mit Installationsangeboten.<\/span><\/p>\n Wie wir bereits erw\u00e4hnt haben, ist die E-Mail ein Haupt\u00fcbermittlungsweg f\u00fcr Consent-Phishing. Schulungen und Richtlinien sind zwar wichtig, doch manchmal reicht es nicht aus, sich auf das gesunde Urteilsverm\u00f6gen Ihrer Mitarbeiter zu verlassen.<\/span><\/p>\n Wie bei jeder Art von Phishing ist es am besten, gen\u00fcgend Filter einzurichten, um so wenig wie m\u00f6glich dem Einzelnen zu \u00fcberlassen.<\/span><\/p>\n Es stimmt, dass SPF, DKIM und DMARC Ihre Infrastruktur nicht vor eingehenden Bedrohungen sch\u00fctzen k\u00f6nnen. (Wir arbeiten aber an einem neuen Produkt, das auch dieses Problem l\u00f6sen wird.) Aber wir k\u00f6nnen und werden Ihre Partner und Kunden davor sch\u00fctzen, in Ihrem Namen manipuliert zu werden. Ihr Ruf steht auf dem Spiel, also <\/span>melden Sie sich bei EasyDMARC an<\/span><\/a>, um Ihre Authentifizierungsreise zu beginnen.<\/span><\/p>\n Mit der technologischen Entwicklung wird es immer einfacher, alles zu entschl\u00fcsseln, was digitalisiert ist. Daher wird die Wahrscheinlichkeit von Cyberangriffen immer gr\u00f6\u00dfer und damit auch die Notwendigkeit, Ihre Daten zu sch\u00fctzen.<\/span><\/p>\n Nachdem Sie nun erfahren haben, <\/span>was Consent-Phishing ist<\/b> und <\/span>wie Sie es verhindern k\u00f6nnen<\/b>, sollten Sie unsere bew\u00e4hrten Verfahren in die Tat umsetzen.<\/span><\/p>\nWas ist Consent-Phishing?<\/b><\/h2>\n
Beispiel f\u00fcr Consent-Phishing<\/b><\/h3>\n
Wie funktionieren Consent-Phishing-Angriffe?<\/b><\/h2>\n
Die Consent-Phishing-Methode<\/b><\/h3>\n
\n
Zustellungsmechanismen<\/b><\/h3>\n
Consent-Phishing-Taktiken<\/b><\/h3>\n
Warum ist Consent Phishing so effizient?<\/b><\/h2>\n
Wie lassen sich Consent-Phishing-Angriffe verhindern?<\/b><\/h2>\n
Schulen Sie Ihr Personal<\/b><\/h3>\n
Erlauben Sie Benutzern nur den Zugriff auf eine Liste genehmigter Apps<\/b><\/h3>\n
Stellen Sie sicher, dass die Administratoren die Richtlinien f\u00fcr die Zustimmungsbewertung kennen<\/b><\/h3>\n
Verwenden Sie E-Mail-Authentifizierungsprotokolle<\/b><\/h3>\n
Fazit<\/b><\/h2>\n