Nehmen wir an, ein Angreifer schickt einem Ziel eine E-Mail und behauptet, ein Google-Mitarbeiter zu sein. In dieser E-Mail teilt der Angreifer dem Ziel mit, dass es sich bei seinem Google Workspace-Konto anmelden muss, um eine bestimmte Funktion auszuf\u00fchren. Beispielsweise kann der Zielperson mitgeteilt werden, dass sie sich anmelden muss, um ihre Identit\u00e4t zu verifizieren.<\/p>\n
Der Angreifer stellt in seiner E-Mail einen Link bereit, von dem er behauptet, dass er zur Anmeldeseite von Google Workspace f\u00fchrt. Wenn das Ziel den Betrug nicht bemerkt, kann es auf den Link klicken.<\/p>\n
Dies ist der Punkt, an dem sich Zustimmungs-Phishing von typischem Credential-Phishing unterscheidet. Im n\u00e4chsten Schritt des Angriffs verwendet der Angreifer eine b\u00f6sartige App, die von einem legitimen Anbieter gehostet wird, um auf die Daten des Opfers zuzugreifen. Wenn das Opfer auf den sch\u00e4dlichen Link klickt, wird es zu einer Berechtigungsseite weitergeleitet, auf der es aufgefordert wird, dem Anbieter bestimmten Zugriff zu gew\u00e4hren.<\/p>\n
Da das Opfer glaubt, es mit einer legitimen Seite zu tun zu haben, ist es wahrscheinlich, dass es diese Berechtigungen erteilt. Zu diesem Zeitpunkt wurde dem Angreifer jedoch Zugriff auf das Google Workspace-Konto des Opfers gew\u00e4hrt.<\/p>\n
Aber warum sollte ein Angreifer Zugriff auf das Cloud-Speicherkonto einer anderen Person haben wollen?<\/p>\n
Die Auswirkungen von Einwilligungs-Phishing<\/h3>\n
Im Cybercrime-Spiel k\u00f6nnen Daten von unsch\u00e4tzbarem Wert sein. Es gibt verschiedene Arten von Informationen, die ein Angreifer zu seinem eigenen Vorteil nutzen kann, z. B. Zahlungsinformationen. Aber es ist unwahrscheinlich, dass ein Cloud-Konto solche Daten enth\u00e4lt. Also, was ist der Sinn von Zustimmungs-Phishing?<\/p>\n
Viele Angreifer neigen dazu, Cloud-Speicherkonten von Organisationen anzugreifen, um auf Unternehmensdaten zuzugreifen. Solche Daten k\u00f6nnen in vielerlei Hinsicht n\u00fctzlich sein.<\/p>\n
Erstens ist der Angreifer m\u00f6glicherweise in der Lage , die Unternehmensdaten auf einem Dark-Web-Marktplatz zu verkaufen<\/a>. Solche illegalen Ecken des Internets sind bei Cyberkriminellen sehr beliebt, da durch den Verkauf von Daten enorme Gewinne erzielt werden k\u00f6nnen. Cyberkriminelle k\u00f6nnen auch Unternehmensdaten stehlen und ein L\u00f6segeld f\u00fcr deren R\u00fcckgabe verlangen, was sich als profitabler erweisen kann, als diese Daten einfach im Dark Web zu verkaufen. Das hei\u00dft, wenn sie das nicht auch tun \u2026<\/p>\n Einwilligungs-Phishing wird oft eher gegen Organisationen als gegen Einzelpersonen eingesetzt (deshalb ist Google Workplace ein gutes Beispiel<\/a> ; es ist ideal f\u00fcr Unternehmen). Daher ist es wichtig, dass Unternehmensleiter ihre Mitarbeiter dar\u00fcber aufkl\u00e4ren, wie Zustimmungs-Phishing funktioniert. Viele Menschen sind mit Phishing und den roten Fahnen, auf die sie achten sollten, \u00fcberhaupt nicht vertraut. Daher kann es f\u00fcr die Sicherheit des Unternehmens von unsch\u00e4tzbarem Wert sein, Mitarbeitern zu zeigen, wie sie eine m\u00f6gliche betr\u00fcgerische E-Mail identifizieren k\u00f6nnen.<\/p>\n Dar\u00fcber hinaus kann es sich lohnen, eine Liste vorautorisierter Apps zu haben, auf die ein bestimmter Mitarbeiter auf seinen Arbeitsger\u00e4ten zugreifen kann. Dadurch kann verhindert werden, dass ein Mitarbeiter einer b\u00f6sartigen App unwissentlich Berechtigungen erteilt.<\/p>\n Der Einsatz anderer Sicherheitsma\u00dfnahmen kann ebenfalls von Vorteil sein, wie z. B. Anti-Spam-Filter und Zwei-Faktor-Authentifizierung (2FA)<\/a>.<\/p>\n Zustimmungs-Phishing und Phishing im Allgemeinen k\u00f6nnen verheerende Folgen haben. Diese Art von Cyberangriff ist beunruhigend effektiv, wenn es darum geht, Opfer zu betr\u00fcgen. Es gibt jedoch M\u00f6glichkeiten, Zustimmungs-Phishing aufzugreifen und es im Keim zu ersticken. Durch Aufkl\u00e4rung und Wachsamkeit k\u00f6nnen Sie Ihre Daten effektiv sch\u00fctzen und sie vor b\u00f6swilligen Akteuren sch\u00fctzen.<\/p>\nSo verhindern Sie Einwilligungs-Phishing<\/h2>\n
![\"Was](\"https:\/\/howto.mediadoma.com\/wp-content\/uploads\/2022\/10\/post-233124-63404d9f8bc44.jpg\")
<\/a><\/p>\nSch\u00fctzen Sie Ihre Daten, indem Sie wissen, worauf Sie achten m\u00fcssen<\/h2>\n