Im Jahr 2024 hat sich die Zahl erfolgreicher Phishing-Angriffe auf Unternehmen im Vergleich zum Vorjahr fast verdreifacht \u2013 ein besorgniserregender Trend, der Unternehmen und Sicherheitsverantwortliche gleicherma\u00dfen aufhorchen l\u00e4sst. Besonders auff\u00e4llig: Eine neue Phishing-Variante, die immer mehr an Bedeutung gewinnt \u2013 das sogenannte Suchmaschinen-Phishing. Doch was steckt hinter dieser raffinierten Angriffsmethode?<\/p>\n
In diesem Artikel werfen wir einen Blick darauf, wie Cyberkriminelle mithilfe von Suchmaschinen Vertrauen erschleichen und welche Gefahren dabei f\u00fcr Unternehmen lauern. Lesen Sie weiter, um zu erfahren, wie Sie sich vor dieser neuen Bedrohung sch\u00fctzen k\u00f6nnen!<\/p>\n
Suchmaschinen-Phishing ist eine relativ neue und besonders perfide Methode, mit der Cyberkriminelle versuchen, Internetnutzende \u00fcber Suchmaschinen wie Google, Bing oder Yahoo auf gef\u00e4lschte Websites zu locken. Die Grundidee ist \u00e4hnlich wie beim klassischen Phishing per E-Mail: Die manipulierten Websites sehen echten, vertrauensw\u00fcrdigen Seiten zum Verwechseln \u00e4hnlich.<\/p>\n
W\u00e4hrend beim E-Mail-Phishing gezielt Nachrichten an potenzielle Opfer gesendet werden, erfolgt die Manipulation beim Suchmaschinen-Phishing bereits in den Suchergebnissen. Die t\u00e4uschend echten Seiten sind oft so gestaltet, dass Nutzer pers\u00f6nliche Informationen oder Anmeldedaten eingeben, die von den Kriminellen abgefangen werden. Die aktuelle Bedrohungslage ist ernst: Fast jeder f\u00fcnfte Klick auf einen Phishing-Link erfolgt \u00fcber eine Suchmaschine. Das geht aus einer Untersuchung des Sicherheitsunternehmens Netskope hervor und zeigt deutlich, wie erfolgreich und weit verbreitet diese neue Angriffsstrategie bereits ist.<\/p>\n
Im Gegensatz zum klassischen Phishing, bei dem E-Mails als Angriffsvektor genutzt werden, liegt beim Suchmaschinen-Phishing der Fokus auf den Suchergebnissen. Cyberkriminelle wenden verschiedene Strategien an, um ihre gef\u00e4lschten Seiten prominent zu platzieren:<\/p>\n
So nutzen Cyberkriminelle Suchmaschinen f\u00fcr ihre Angriffe<\/strong><\/p>\n Suchmaschinenoptimierung (SEO) wird von Cyberkriminellen gezielt ausgenutzt, um ihre betr\u00fcgerischen Websites in den Suchergebnissen m\u00f6glichst weit oben erscheinen zu lassen. Doch nicht nur durch diese organische Suchmaschinenplatzierung versuchen Kriminelle, ihre Opfer zu erreichen. In vielen F\u00e4llen schalten sie auch bezahlte Werbeanzeigen, die wie legitime Suchergebnisse erscheinen, um eine noch gr\u00f6\u00dfere Zielgruppe anzusprechen.<\/p>\n Ziel der Cyberkriminellen ist es, das Vertrauen von Internetnutzenden zu gewinnen und sie dazu zu bringen, auf einen scheinbar vertrauensw\u00fcrdigen Link zu klicken. Wenn eine Person beispielsweise nach einer bekannten Website sucht, etwa einem beliebten Cloud-Dienst oder einer Online-Banking-Seite, wird ihr m\u00f6glicherweise ein gef\u00e4lschtes Ergebnis angezeigt \u2013 das aussieht, als sei es die echte Seite. In Wirklichkeit f\u00fchrt der Link jedoch auf eine manipulierte Website.<\/p>\n Der K\u00f6der: T\u00e4uschend echte Websites<\/strong><\/p>\n Die Websites, die von den Kriminellen erstellt werden, sehen in der Regel t\u00e4uschend echt aus. Sie imitieren das Design und die Funktionalit\u00e4t der Originalseiten so pr\u00e4zise, dass viele Nutzende glauben, sie befinden sich auf der richtigen Plattform. Auf diesen gef\u00e4lschten Seiten werden die ahnungslosen Opfer dann aufgefordert, ihre pers\u00f6nlichen Daten einzugeben \u2013 wie Anmeldeinformationen, Kreditkartendaten oder andere sensible Informationen. Tun sie dies, landen ihre Daten schlie\u00dflich in den H\u00e4nden der Kriminellen, die sie f\u00fcr ihre eigenen Zwecke missbrauchen k\u00f6nnen.<\/p>\n Ein besonders perfides Merkmal dieser Phishing-Kampagnen ist also, dass die Opfer h\u00e4ufig nicht einmal merken, dass sie auf einer gef\u00e4lschten Seite gelandet sind. Das Vertrauen, das Nutzer in Suchmaschinen setzen, macht die Angriffe besonders erfolgreich. Sie erwarten nicht, dass sie durch die Suchmaschine auf einen betr\u00fcgerischen Link sto\u00dfen.<\/p>\n Beispiel: Phishing-Angriff auf Cloud-Dienste<\/strong><\/p>\n Ein aktuelles Beispiel f\u00fcr Suchmaschinen-Phishing ist eine gezielte Kampagne, die sich auf Cloud-Dienste konzentrierte. Nehmen wir an, eine Person sucht nach dem beliebten Cloud-Speicheranbieter \u201eDropbox\u201c, um auf seine Dateien zuzugreifen. In den Suchergebnissen erscheint ein Ergebnis ganz oben, das aussieht, als w\u00e4re es die offizielle Dropbox-Website. Der Link f\u00fchrt jedoch auf eine perfekt nachgebaute Seite, die dem Original t\u00e4uschend \u00e4hnelt. Unsere Person wird aufgefordert, sich anzumelden, um auf seine Dateien zuzugreifen. In dem Moment, in dem sie ihre Login-Daten eingibt, werden diese von den Kriminellen abgegriffen. Diese Daten k\u00f6nnten dann verwendet werden, um auf das echte Dropbox-Konto des Opfers zuzugreifen oder in andere Online-Accounts einzudringen, die mit der gleichen E-Mail-Adresse und den gleichen Zugangsdaten verkn\u00fcpft sind.<\/p>\n Noch einmal ganz deutlich: Bei diesem Angriff hat das Opfer keine E-Mail oder verd\u00e4chtige Nachricht erhalten hat. Der Phishing-Link wurde ganz einfach \u00fcber eine Suchmaschine gefunden, die normalerweise als vertrauensw\u00fcrdige Quelle wahrgenommen wird. Und das kann nun wirklich jedem von uns passieren.<\/p>\n Die Gefahr, auf eine gef\u00e4lschte Website zu sto\u00dfen, ist leider sehr real. Wer beim Suchen nach bekannten Websites wie Online-Banking-Portalen oder Cloud-Diensten auf eine gef\u00e4lschte Seite st\u00f6\u00dft, riskiert, seine sensiblen Daten in die falschen H\u00e4nde zu geben. Um sich vor diesen Angriffen zu sch\u00fctzen, sollten Sie einige einfache, aber effektive Sicherheitsma\u00dfnahmen beachten.<\/p>\n Skeptisch bleiben<\/strong><\/p>\n Wie bei vielen anderen Bedrohungen im Internet gilt auch beim Suchmaschinen-Phishing: Bleiben Sie skeptisch. Es ist wichtig, nicht sofort auf den ersten Link in den Suchergebnissen zu klicken, auch wenn er scheinbar vertrauensw\u00fcrdig erscheint. Cyberkriminelle versuchen, durch gezielte SEO-Methoden ihre gef\u00e4lschten Seiten an die Spitze der Suchergebnisse zu bringen. Hinterfragen Sie immer, ob die Seite, auf die Sie zugreifen m\u00f6chten, wirklich die ist, die Sie erwarten. Wenn Sie sich unsicher sind, besuchen Sie die Website direkt, indem Sie die URL manuell in die Adresszeile Ihres Browsers eingeben.<\/p>\n URL einer Website pr\u00fcfen<\/strong><\/p>\n Ein besonders effektiver Schutzmechanismus ist die regelm\u00e4\u00dfige \u00dcberpr\u00fcfung der URL. Wenn Sie in einer Suchmaschine nach einer Website suchen, wird in den Suchergebnissen immer die vollst\u00e4ndige Adresse (URL) der Seite angezeigt. Achten Sie darauf, dass die URL korrekt und authentisch aussieht. Bei bekannten Websites wie Google, Dropbox oder Amazon k\u00f6nnen Sie an kleinsten Abweichungen erkennen, ob eine Seite gef\u00e4lscht ist. Ein h\u00e4ufiges Merkmal betr\u00fcgerischer Seiten ist, dass sie die Adresse nur minimal ver\u00e4ndern \u2013 etwa durch das Ersetzen eines Buchstabens oder durch zus\u00e4tzliche Zeichen. Achten Sie darauf, dass keine seltsamen Zus\u00e4tze wie \u201e-login\u201c oder \u201e-secure\u201c erscheinen, die die URL unn\u00f6tig verl\u00e4ngern.<\/p>\n Seiten speichern<\/strong><\/p>\n Eine weitere pr\u00e4ventive Ma\u00dfnahme ist das Speichern der URLs von Websites, denen Sie vertrauen. Wenn Sie regelm\u00e4\u00dfig auf bestimmte Websites zugreifen, k\u00f6nnen Sie diese in Ihren Browser-Lesezeichen speichern oder auf Ihrem Desktop einen Verkn\u00fcpfungspfad anlegen. So umgehen Sie das Risiko, \u00fcber Suchmaschinen auf eine gef\u00e4lschte Seite zu gelangen. Besonders wichtig ist dies bei Seiten, auf denen Sie sich regelm\u00e4\u00dfig einloggen oder Zahlungen vornehmen. Durch das direkte Aufrufen der gespeicherten Links vermeiden Sie, versehentlich auf betr\u00fcgerische Seiten zu sto\u00dfen.<\/p>\n Virenscanner und Anti-Malware-Software<\/strong><\/p>\n Trotz aller Vorsichtsma\u00dfnahmen kann es passieren, dass Sie oder jemand aus Ihrem Umfeld Opfer eines Phishing-Angriffs wird. Gerade bei h\u00e4ufig genutzten Tools wie Suchmaschinen ist das Risiko, auf betr\u00fcgerische Seiten zu geraten, hoch. In solchen F\u00e4llen sind Virenscanner und Anti-Malware-Software ein unverzichtbares Sicherheitsinstrument. Diese Programme k\u00f6nnen nicht nur Phishing-Websites erkennen, sondern auch andere schadhafte Software, die durch solche Seiten auf Ihr Ger\u00e4t gelangen k\u00f6nnte. Stellen Sie sicher, dass Ihr Ger\u00e4t mit einer zuverl\u00e4ssigen Sicherheitssoftware ausgestattet ist und dass diese regelm\u00e4\u00dfig aktualisiert wird, um neuen Bedrohungen vorzubeugen.<\/p>\n Zwei-Faktor-Authentifizierung verwenden<\/strong><\/p>\nSo sch\u00fctzen Sie sich vor Suchmaschinen-Phishing<\/h2>\n