Zum Inhalt springen
RSA Cloud Security kostenlos testen

Starten Sie jetzt Ihre ID Plus Testversion

Jetzt starten
Was ist Credential Phishing?

Credential Phishing ist eine besondere Art von Phishing Cyberangriff, der darauf abzielt, Benutzer dazu zu bringen, ihre Anmeldedaten (in der Regel Benutzernamen und Kennwörter) weiterzugeben, damit der Angreifer sie stehlen und verwenden kann, um unbefugten Zugriff auf E-Mail-Konten, Geschäftssysteme und andere sichere Ressourcen zu erhalten. Diese Art des Diebstahls von Anmeldeinformationen ist eine Unterart des Phishings im Allgemeinen, bei dem im weiteren Sinne versucht wird, eine Vielzahl sensibler Informationen zu stehlen, darunter Kreditkarten- oder Bankkontodaten, Sozialversicherungsnummern und wertvolle Unternehmensinformationen wie Kundendaten oder geistiges Eigentum.

Das Phishing von Zugangsdaten ist ein wachsendes Problem, um es milde auszudrücken: Eine Studie berichtet von einem 703% Zunahme des Phishings von Zugangsdaten in der zweiten Hälfte des Jahres 2024, im Vergleich zu einem Anstieg der Phishing-Bedrohungen per E-Mail um nur 202%. (Sie wissen, dass es ein großes Problem gibt, wenn ein Anstieg um 202% als relativ gering angesehen werden kann.) Der enorme Anstieg ist auf eine Kombination von Faktoren zurückzuführen:

  • KI-gestützte Phishing-Angriffe machen es Cyberkriminellen leichter als je zuvor, überzeugende Nachrichten zu erstellen, die Benutzer dazu bringen sollen, auf gefälschte Anmeldeinformationen hereinzufallen.
  • Social Engineering, die sich als äußerst effektiv erwiesen hat, um Benutzer zum Klicken auf Links in Phishing-Nachrichten zu verleiten, spielt eine immer größere Rolle beim Phishing von Anmeldedaten.
  • Mehrkanalige Credential Phishing, d. h. die Nutzung nicht nur von E-Mails, sondern auch von SMS, sozialen Medien und Kollaborationsplattformen, erhöht die Reichweite der Angreifer.

All dies geschieht vor dem Hintergrund der Tatsache, dass der Diebstahl von Zugangsdaten seit langem ein Problem ist und auch weiterhin bleibt. geringer Aufwand, hohe Belohnung Art des Angriffs.

Die gute Nachricht? Während Phishing-Angriffe auf Anmeldeinformationen zunehmen, nehmen auch die Sicherheitsanstrengungen der Unternehmen zur Verhinderung von Phishing zu - von passwortlose Authentifizierung und Multi-Faktor-Authentifizierung (MFA) bis hin zu KI-gestützten Abwehrtools. Lesen Sie weiter, um mehr darüber zu erfahren, wie sich Credential Phishing im Laufe der Zeit entwickelt hat, welche Taktiken bei dieser Art von Angriffen am häufigsten verwendet werden und welche Tools und Strategien zur Bekämpfung von Credential Phishing zur Verfügung stehen.

Entwicklung des Phishings von Anmeldedaten

Mitte der 1990er Jahre: Die frühestes Phishing von Zugangsdaten scheint sich Mitte der 1990er Jahre ereignet zu haben, als Betrüger sich als AOL-Mitarbeiter ausgaben, um die Benutzer zur Preisgabe ihrer Anmeldedaten zu verleiten. Auch wenn es ihnen offenbar nur darum ging, die Kosten für den Internetzugang zu umgehen, so ebneten ihre Aktivitäten doch den Weg für anspruchsvollere, zerstörerische und kostspielige Betrügereien in der Zukunft.

Anfang der 2000er Jahre: In den frühen 2000er-Jahren war das Phishing von Anmeldedaten noch relativ simpel und stützte sich oft auf einfache, massenhaft produzierte Nachrichten, um Menschen zur Weitergabe ihrer Anmeldedaten zu bewegen. Das Jahr 2003 markiert den Beginn eines Wandels in diesem Muster, als Angreifer begannen, nahezu identische Versionen legitimer Websites wie eBay und PayPal zu erstellen, um Benutzer zur Eingabe ihrer Anmeldedaten zu verleiten.

2010-2020: Spear-Phishing kam in den 2010er Jahren auf, um den Diebstahl von Anmeldeinformationen zu verändern, insbesondere auf Unternehmensebene. Es funktioniert durch die geschickte Ansprache bestimmter Personen mit gut formulierten Nachrichten, die oft vorgeben, von wichtigen Abteilungen wie der Personalabteilung, der Rechnungsabteilung oder dem IT-Support zu stammen. Kompromittierung von Geschäfts-E-Mails (BEC) ist eine Art von Social-Engineering-Angriff, bei dem Phishing in Form von extrem ausgeklügelten E-Mail-Imitationen (z. B. gefälschte Anfragen von Führungskräften) eingesetzt wird, um Empfänger zu täuschen, die glauben, sie würden mit jemandem in ihrem Unternehmen kommunizieren.

2020 - heute: Credential Phishing wird heute immer häufiger als KI-gesteuert, Dadurch können Angreifer Phishing-E-Mails generieren, die grammatikalisch einwandfrei, perfekt kontextbezogen und authentischer als je zuvor sind. Generative KI macht es auch unglaublich schnell und einfach, diese neuen, überzeugenderen Nachrichten zu erstellen; laut IBM, Mit generativer KI können Betrüger wirksame Nachrichten in nur fünf Minuten entwickeln (statt der Stunden, die es dauern kann, dies manuell zu tun).

Häufige Phishing-Taktiken für Anmeldeinformationen

Beim Anmeldedaten-Phishing gibt sich der Angreifer in der Regel als vertrauenswürdige Quelle aus (z. B. der Arbeitgeber, die Bank oder eine häufig genutzte Website) und sendet dem Benutzer eine E-Mail, eine SMS oder eine andere Art von Nachricht mit dem Ziel, ihn zu einer Aktion zu bewegen, die seine Anmeldedaten gefährdet. Innerhalb dieses allgemeinen Rahmens kann ein Angreifer eine Reihe verschiedener Taktiken anwenden, um Credential Phishing-Angriffe durchzuführen:

Irreführende E-Mails

Täuschende E-Mails sind der typische Einstiegspunkt für viele Credential-Phishing-Angriffe. Diese Art von E-Mails sind häufig erfolgreich, da sie von Quellen zu stammen scheinen, denen der Empfänger vertraut und die daher keinen Verdacht erregen. Je echter eine E-Mail-Kommunikation erscheint, desto erfolgreicher ist der Absender bei dem Versuch, dieses Vertrauen auszunutzen.

Zu den Merkmalen eines Phishing-Angriffs auf Anmeldeinformationen, bei dem betrügerische Mitteilungen verwendet werden, gehören:

  • Nachahmung: Die Mitteilung scheint von einer legitimen Quelle zu stammen, die dem Empfänger bereits bekannt ist.
  • Überredung: Die Betreffzeile und/oder die ersten Worte sollen eine Reaktion hervorrufen, z. B. Dringlichkeit, Angst oder auch nur Neugierde. Cyberkriminelle profitieren von der Dringlichkeit, da sie die Nutzer dazu bringen, schnell zu reagieren, anstatt sich die Zeit zu nehmen, zu überlegen, ob sie überhaupt handeln sollten.
  • Täuschung: In der Nachricht wird ein nicht vorhandener dringender Handlungsbedarf hervorgehoben.
  • Handlungsfähigkeit: Phishing-E-Mails enthalten in der Regel einen Link oder einen Anhang, der es einfach macht, den nächsten Schritt zu tun.
  • Mehr Täuschung: Die Aktion des Empfängers führt zu einer gefälschten Anmeldeseite, auf der die Anmeldedaten erfasst werden.

Gefälschte Anmeldeseiten 

Gefälschte Anmeldeseiten sind eines der am häufigsten verwendeten Tools bei Phishing-Angriffen auf Anmeldeinformationen in Unternehmen. Sie sind besonders effektiv in Organisationen, die keine phishing-resistente MFA haben.

Angriffe mit gefälschten Anmeldeseiten beginnen damit, dass der Angreifer herausfindet, welche Dienste oder Plattformen ein Unternehmen üblicherweise nutzt (z. B. Microsoft 365 oder Google Workspace) und wie die E-Mail-Formate und das Branding des Unternehmens aussehen. Von dort aus kann der Angreifer eine Phishing-E-Mail mit Anmeldedaten erstellen, die scheinbar von einer internen Abteilung oder einem bekannten Anbieter stammt und eine Betreffzeile enthält, die ein Gefühl der Dringlichkeit hervorrufen soll ("Passwort läuft ab - sofortiges Handeln erforderlich" oder "Ihre Rechnung ist fertig - sicher anzeigen") sowie einen auffälligen Link zu einer gefälschten Anmeldeseite.

Sobald ein Mitarbeiter auf den Link klickt und seine Anmeldedaten auf der vermeintlichen Anmeldeseite eingibt, werden die Daten an den Angreifer weitergeleitet, der sich damit bei Unternehmenssystemen anmelden und sich seitlich im Netzwerk bewegen kann - um Daten zu infiltrieren, Malware einzuschleusen, weitere BEC-Angriffe zu starten oder Phishing von einem kompromittierten Konto aus zu betreiben.

Multi-Channel-Taktiken

E-Mail ist nicht der einzige Weg, um Zugangsdaten zu ergaunern, und da die Benutzer immer besser wissen, wie sie sich gegen E-Mail-basiertes Zugangsdaten-Phishing wehren können, weichen die Angreifer auf andere Angriffswege aus, darunter auch auf andere:

  • Smishing (SMS-Phishing) können dazu verwendet werden, gefälschte Anmeldewarnungen, Paketverfolgungshinweise oder Aufforderungen zur Zwei-Faktor-Authentifizierung zu versenden, um Benutzer zum Klicken auf einen Link zu verleiten.
  • Vishing (Sprachphishing) Dabei handelt es sich um Anrufe, die vorgeben, vom Helpdesk oder IT-Support-Team zu kommen und die Benutzer auf eine Phishing-Website leiten.
  • Phishing von Kooperationsplattformen aus Nachrichten auf Slack, Teams, LinkedIn oder anderen Plattformen verwendet, um Benutzer dazu zu bringen, auf gefälschte Links zu klicken oder Anhänge herunterzuladen, die scheinbar arbeitsbezogene Inhalte sind.
  • QR-Code-Phishing umfasst das Versenden von Phishing-E-Mails mit QR-Codes, die auf Websites zum Sammeln von Anmeldeinformationen verweisen; durch die Verwendung von QR-Codes werden herkömmliche Link-Scanfilter umgangen.

Credential Stuffing

Credential Stuffing, bei dem Cyberkriminelle mit einer großen Anzahl gestohlener Anmeldedaten versuchen, sich auf mehreren Websites anzumelden, ist eine Taktik, die mit Credential Phishing zusammenarbeitet, um den Schaden durch Credential Phishing zu maximieren. Die beiden Methoden können zusammen in mehrschichtigen Angriffen eingesetzt werden, bei denen Anmeldedaten über Credential Phishing erbeutet und dann auf andere Ziele übertragen werden.

So kann ein Angreifer beispielsweise Anmeldedaten für ein Microsoft 365-Konto ergaunern und dann mit Hilfe von Credential Stuffing die Microsoft-Anmeldedaten auf einer Vielzahl anderer Websites oder Dienste ausprobieren, z. B. Salesforce, Google (Mail, Dokumente, Passwortmanager). Der Angreifer setzt im Grunde darauf, dass jemand dieselben Anmeldedaten auf mehreren Websites verwendet.

Passwort sprühen 

Wie Credential Stuffing wird auch Password Spraying in Verbindung mit Credential Phishing eingesetzt, um die Reichweite und den Erfolg des Phishing-Angriffs zu maximieren - insbesondere in Unternehmensumgebungen. Bei dieser Art von Schema, der Angreifer:

  1. Sammelt eine Liste von Benutzernamen durch Credential Phishing
  2. Kombiniert einen Benutzernamen mit einem leicht zu erratenden Passwort (wie password123 oder welcome123), um zu versuchen, auf mehrere Konten zuzugreifen

Der offensichtlichste Grund, warum Passwort-Spraying funktioniert, ist, dass es eine schwache Passwort-Hygiene ausnutzt; wenn die Leute keine leicht zu erratenden Passwörter verwenden würden, würde die Taktik nicht weit gehen. Außerdem ist es ohne fortschrittliche Überwachungswerkzeuge schwer, sie in großem Umfang zu erkennen.

Präzisionsvalidierung von Phishing

Präzisionsvalidierung von Phishing im Jahr 2025 aufgetaucht als eine Möglichkeit für Angreifer, sicher zu sein, dass die Anmeldedaten, die sie über Phishing stehlen, tatsächlich mit gültigen Online-Konten verbunden sind. Es verwendet eine integrierte API oder JavaScript, um die E-Mail-Adresse in Echtzeit zu bestätigen, bevor der Phishing-Versuch stattfindet. Mit Prevision-validiertem Phishing kann das Phishing von Anmeldedaten wesentlich effizienter und genauer gestaltet werden, da nur wenig Aufwand und Energie für die Verwendung falscher Anmeldedaten verschwendet wird.

Schutz vor Phishing mit Anmeldedaten 

Credential Phishing kann einer Organisation großen Schaden zufügen. Die IBM Bericht über die Kosten einer Datenpanne fand heraus, dass Phishing eine der häufigsten und teuersten Ursachen für Datenschutzverletzungen ist, die durchschnittlich $4,88 Millionen kosten und deren Eindämmung durchschnittlich 261 Tage dauert.

Aber die Prävention von Credential Phishing kann dazu beitragen, dass Credential Phishing-Versuche nicht weit kommen. RSA bietet eine breite Palette von Produkten und Dienstleistungen in wichtigen Bereichen der Credential-Phishing-Prävention.

Passwortlose Authentifizierung

Es mag offensichtlich klingen, aber es lohnt sich, darauf hinzuweisen: Cyberkriminalität, die sich auf gestohlene Zugangsdaten stützt, funktioniert nicht, wenn es keine Zugangsdaten zu stehlen gibt. Das ist es, was die passwortlose Authentifizierung so wertvoll, um das Phishing von Zugangsdaten zu verhindern.

Als Mitglied der FIDO-Allianz, RSA hat sich zum Ziel gesetzt, eine Welt mit weniger Passwörtern und weniger passwortbezogenen Sicherheitsproblemen zu schaffen. Die passwortlose Authentifizierung von RSA schützt den Zugriff dort, wo es am wichtigsten ist: an den Punkten im Identitätslebenszyklus, die besonders anfällig für Angriffe auf Basis von Anmeldeinformationen sind. RSA bietet passwortlose Authentifizierung mit einer Verfügbarkeit von 99,99%, einschließlich einer hybride Ausfallsicherung Fähigkeit, die eine Authentifizierung auch ohne Netzwerkverbindung ermöglicht, und bietet eine breite Palette an passwortlosen Optionen:

Phishing-resistente MFA

Genauso wie die passwortlose Authentifizierung die Anmeldedaten entfernt, die durch Phishing gestohlen werden sollen, entfernt die phishing-resistente MFA den Mechanismus, durch den sie gestohlen werden: Phishing.

Die RSA iShield Key 2 Serie von Authentifikatoren wurde speziell für den Schutz vor anmeldungsbasierten Angriffen entwickelt und bietet Phishing-resistente, hardwarebasierte MFA sowie ein nach FIPS 140-3 Level 3 zertifiziertes kryptografisches Modul und AAL3-Hardware-Authentifizierung. Zu den Vorteilen der RSA iShield-Serie gehören:

  • Einhaltung der neuesten Bundesstandards für kryptografische Sicherheit
  • Identitätssicherheitsfunktionen, die die Zero-Trust-Architektur fördern
  • FIDO2-Zertifizierung für eine sichere und reibungslose passwortlose Reise
  • Flexible Bereitstellung und Verwaltung von Passkeys

Einmalige Anmeldung bei Identitätsanbietern

Die Verwendung des zentralisierten Authentifizierungsdienstes eines Identitätsanbieters für die Anmeldung bei mehreren Websites und Diensten bedeutet, dass sich die potenziellen Einstiegspunkte für Angreifer von Hunderten auf einen einzigen reduzieren - und ein einziger Einstiegspunkt ist viel einfacher zu sichern und zu überwachen als Dutzende von verschiedenen Anmeldungen.

RSA Meine Seite ist die in der Cloud gehostete SSO-Lösung, die es Benutzern ermöglicht, den Zugriff auf wichtige Anwendungen und andere Ressourcen schnell und sicher über ein einziges, bequemes Portal zu verwalten:

  • Schneller Benutzerzugriff auf mehrere Anwendungen mit einem einzigen Satz von Anmeldedaten
  • Bequeme Selbstregistrierung von Authentifikatoren und Selbstverwaltung von Anmeldedaten
  • Geringerer Aufwand und minimierte Kosten für Helpdesk-Mitarbeiter und IT-Administratoren
  • Kürzere Wartezeiten, wenn ein berechtigter Bedarf an Helpdesk-Unterstützung besteht

Passwörter

Mit Passkeys können sich Benutzer bei Websites und Anwendungen anmelden, ohne jemals ein Passwort eingeben zu müssen. Das macht den Anmeldevorgang sowohl sicherer (keine Passwörter, die gestohlen werden können) als auch bequemer (man muss sich keine Passwörter merken). Passwörter sind weitaus sicherer als Passwörter, da sie nie wiederverwendet werden, wie es bei Passwörtern der Fall ist, und weil sie resistent gegen Phishing sind (da sie jede Möglichkeit ausschließen, dass jemand dazu verleitet wird, sich auf einer gefälschten Website anzumelden).

Passkeys in der RSA Authenticator App bieten eine passwortlose, phishing-sichere Authentifizierung, die direkt auf die mobilen Geräte der Benutzer übertragen wird. Diese Passkey-Fähigkeit:

  • Unterstützt Zero Trust durch die Bekämpfung von Social Engineering und Credential Phishing
  • Hilft Organisationen bei der Einhaltung gesetzlicher Anforderungen für Phishing-resistente MFA
  • Leichte Integration in jede bestehende IT-Umgebung
  • Ist gerätegebunden, verlässt also nie das Gerät und gewährleistet so die höchstmögliche Sicherheit

Null Vertrauen 

Zero Trust bekämpft Phishing weil es ein Umfeld schafft, in dem Organisationen stets die Vertrauenswürdigkeit derjenigen überprüfen, die versuchen, auf die Ressourcen einer Organisation zuzugreifen. Organisationen, die nach dem Grundsätze von Zero Trust machen es böswilligen Akteuren, die Zugangsdaten ergaunern wollen, sehr viel schwerer, einen Weg hinein zu finden oder sich seitlich über diese Zugangsdaten hinaus zu bewegen und ihre Privilegien zu erhöhen.

RSA unterstützt Zero Trust durch die Bereitstellung der Komponenten des Identitäts- und Zugriffsmanagements (IAM), die für die Arbeit innerhalb des NIST Zero Trust Frameworks grundlegend sind. Diese umfassen:

  • MFA
  • Identitätsmanagement und -verwaltung (IGA)
  • Risikobasierte Analytik
  • Rollenbasierter Zugang
  • Attributbasierter Zugang

AI

Während KI ein Segen für Cyberkriminelle ist, die Credential-Phishing-Angriffe durchführen, ist sie auch äußerst wertvoll für diejenigen auf der anderen Seite, die gegen Credential-Phishing kämpfen. Nach Angaben der 2025 RSA ID IQ Bericht, 78% der befragten Unternehmen gaben an, dass sie unmittelbar planen, Automatisierung, maschinelles Lernen oder eine andere Form der KI in ihrem Cybersicherheits-Stack zu implementieren.

RSA hat KI-gesteuerte Funktionen für das Authentifizierungs- und Zugriffsmanagement entwickelt, die Unternehmen dabei helfen, Phishing-Angriffe auf Anmeldeinformationen zu erkennen, darauf zu reagieren und zu verhindern:

  • RSA Risiko AI setzt Verhaltensanalysen und maschinelles Lernen ein, um Phishing-basierte Account-Takeover-Versuche zu erkennen, so dass IT-Teams dagegen vorgehen können, bevor sie Schaden anrichten.

RSA Governance & Lebenszyklus nutzt KI, um Anomalien in Zugriffsanfragen zu erkennen, und liefert Administratoren die Informationen, die sie benötigen, um zu verhindern, dass ein potenziell riskanter Zugriff gewährt wird.

Die Zukunft des Phishings von Zugangsdaten

Credential Phishing wird in Zukunft wahrscheinlich KI, Deepfake-Technologie und fortgeschrittenes Social Engineering beinhalten, so ein Experte. aktueller Bericht. Das ist nicht überraschend, wenn man bedenkt, wie erfolgreich Cyberkriminelle mit diesen und anderen fortschrittlichen und neuen technologiebasierten Taktiken sind.

Die gute Nachricht ist jedoch, dass sie es zunehmend mit Organisationen zu tun bekommen werden, die sich ebenfalls der Anwendung von KI und anderen Technologien zur Abwehr von Angriffen verschrieben haben.

Potenzielle Opfer von Credential Phishing wehren sich heute, indem sie phishing-resistente MFA- und passwortlose Lösungen einsetzen, auf Zero Trust hinarbeiten, KI mit KI bekämpfen und andere Maßnahmen ergreifen, um sich zu schützen. Die 2025 RSA ID IQ Bericht ergab, dass 80% der Befragten glauben, dass KI Unternehmen in den nächsten fünf Jahren bei der Cybersicherheit helfen wird - während nur ein Fünftel der Meinung ist, dass KI in dieser Zeit mehr dazu beitragen wird, Bedrohungsakteure zu aktivieren.

Wie RSA helfen kann, Credential Phishing zu verhindern

Wenn Ihr Unternehmen weiterhin gegen Credential Phishing kämpft, können Sie sich auf RSA verlassen, das Ihnen mit Funktionen wie passwortlose Authentifizierung (einschließlich Passkeys) und Phishing-resistente MFA mit Hilfe von KI, die alle in einer auf Sicherheit ausgerichteten Benutzerumgebung mit SSO eingesetzt werden und in ein umfassendes Engagement für die Zero-Trust-Prinzipien integriert sind, die für die Cyberverteidigung heute und in Zukunft von entscheidender Bedeutung sein werden.

Sie könnten auch interessiert sein an...

Demo anfordern

Demo anfordern