Die Gefahr aus dem E-Mail-Postfach!
Die E-Mail-Nachricht ist nach wie vor das beliebteste Kommunikationsmedium im Geschäftsalltag. Auch bei Internetkriminellen bleibt die E-Mail sehr begehrt, um mittels Phishing-Mails persönliche geschäftskritische Daten zu ergattern. In den folgenden Abschnitten erfahren Sie unter anderem was Phishing-Angriffe sind, welche Phishing-Betreffzeilen am meisten auftreten und wie Sie Phishing-Angriffe souverän abblocken können.
E-Mails, E-Mails und noch mehr E-Mails: In den meisten Unternehmen kommen inzwischen im Stundentakt neue Geschäftsnachrichten, Newsletter wie auch anderweitige Mitteilungen in den E-Mail-Briefkästen der Angestellten herein. Jedoch leider stammen einige der vertrauenswürdig scheinenden E-Mails von Internetkriminellen, die mit raffinierten Inhalten darauf abzielen, geschäftskritische Datensammlungen zu erlangen, Schadsoftware zu verbreiten bzw. Zugangsdaten zu stehlen.
Mittlerweile bewegen sich täglich mindestens 3 Milliarden manipulierte E-Mails in aller Herren Länder auf Jagd nach Zugangsdaten, PINs, persönliche Daten, Finanzinformationen und Geschäftsgeheimnissen.
Des Weiteren waren im Jahr 2020 laut Proofpoint drei Viertel sämtlicher Unternehmen in Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien sowie Japan von Phishing-Angriffen bedroht – Tendenz steigend.
Wenn „Phisher“ das Netz auswerfen!
Phishing-Mails zählen zu den traditionsreichsten sowie beliebtesten Betrugstricks von Internetkriminellen. Das Heimtückische an ihnen ist, dass sie allem Anschein nach von bekannten und vertrauenswürdigen Absendern stammen, welche zum Teil auf vorherige Nachrichten-Unterhaltungen einen Zusammenhang nehmen plus seit Neuestem selbst Dokumente aus vergangenen Unterhaltungen wie Rechnungen oder E-Mailverläufe im Attachment aufweisen. Auf diese Weise wird die Naivität, doch auch die Unachtsamkeit der Arbeitnehmer gezielt ausgebeutet, um diese zum Aufrufen von einem Link, zum Herunterladen eines Dateianhangs, zum Übermitteln geheimer Geschäftsdaten oder sogar zur Überweisung eines Geldbetrags zu bewegen.
Hier ist die Kreativität von den so bezeichneten Phishern fast grenzenlos: Ständig warnen das Bundesamt für Sicherheit in der Informationstechnik, knapp BSI, und die Verbraucherzentralen vor neuen Phishing-Aktionen mit phantasievoll ausgedachten Stories. Nicht selten nutzen die Phisher aktuelle Themenbereiche sowie Geschehnisse, beispielsweise die Europäische Datenschutzgrundverordnung oder die Corona-Pandemie zum Anlass, um ihren betrügerischen E-Mails den Anschein von Glaubwürdigkeit zu verleihen, wie jene momentan im Lauf befindlichen Phishing-Mails zeigen.
Abgesehen von Phishing-Nachrichten mit gegenwärtigem Bezug, gibt es aber ebenso ein paar Standards, die generell zu gelingen scheinen.
Gemäß KnowBe4 waren im letzten Viertel von 2021 die nachfolgenden Phishing-Betreffzeilen in Europa äußerst erfolgreich. In diesem Zusammenhang kommen jene Ergebnisse auf der einen Seite aus simulierten sowie andererseits aus realen Phishing-Mails:
o Einladung annehmen – Personalversammlung über Teams
o Mitarbeiterportal – Timecard nicht eingereicht
o Anlage zur Überprüfung
o Sofortige Passwortüberprüfung erforderlich
o [[Firmen_name]] Rechnung
o IT: Cloud-Anmeldung
o Spezielle Projektinformationen
o Sie haben neue Nachrichten
o Teams-Events
o Microsoft: Privat geteiltes Dokument erhalten
Welche Arten von Phishing-Mails gibt es?
Je nach anvisiertem Zielobjekt werden heute verschiedene Herangehensweisen beim Phishing mittels E-Mails genutzt. Hierfür zählen:
• Spray-and-Pray-Phishing: Beim Spray-and-Pray-Phishing werden E-Mails mit dem Betreff „dringend“ verschickt, mit dem Ziel die Mitarbeiter zur Eingabe privater Informationen zu bewegen. In der Regel enthalten diese Rubriken von Phishing-Mails Links zu gefälschten Anmeldeseiten, welche häufig aber täuschend echt aussehen. Sofern ein Mitarbeiter seine Daten eintippt plus absendet, werden diese an einen Remote-Server gesendet, auf dem sie von den Phishern betrachtet werden können
• Spear-Phishing: Beim Spear-Phishing werden gezielt Betriebe, Teams oder auch einzelne Personen mit detailgenauen E-Mail-Nachrichten angegriffen. Hierzu werden im Vorfeld gezielt Namen, E-Mail-Adressen und andere persönliche Informationen von Netzwerkseiten wie LinkedIn bzw. gehackten E-Mail-Einträgen gesammelt. Auf dieser Basis werden Spear-Phishing-Nachrichten verschickt, welche so wirken, als wären jene von dem Vertragspartner. Oft umfassen diese E-Mails falsche Rückfragen oder Rechnungen von Partnern. Werden diese angehängten Dokumente heruntergeladen, wird schädigende Malware eingebaut, die beispielsweise Tätigkeiten der Arbeitnehmer ausspioniert oder aber private Informationen für noch mehr Angriffe sammelt.
• CEO-Phishing: Beim CEO-Phishing geben sich die Phisher als Geschäftsführer oder auch anderweitige Führungsperson des Unternehmens aus. Jene tauschen mehrere Mails mit dem potenziellen Opfer aus, mit dem Ziel eine Vertrauensbasis zu schaffen. Nach einiger Zeit wird die Zielperson nach privaten Daten der Mitarbeiter befragt oder drum gebeten, Geld für einen vermeintlichen neuen Kontrakt oder einen anderweitigen dringenden Zweck auf ein festgelegtes Bankkonto zu überweisen.
• Dynamite-Phishing: Beim Dynamite-Phishing erstellen Phisher anhand von Malware, etwa Emotet, haufenweise Phishing-Mails auf den infizierten Computern. Die Malware greift auf die dort gespeicherten E-Mails zu und erstellt sehr originelle Phishing-Mails im Stil des Absenders. Die E-Mails werden danach an das ganze Adressbuch geschickt und diese Malware breitet sich auf diese Weise explosionsartig weiter aus.
Best Practices zur Verhinderung von Phishing-Angriffen!
Der ideale Weg, um sich persönlich vor Phishing-Mails abzusichern, ist außer dem Gebrauch diverser, elektronischer Schutzmaßnahmen wie Antiphishing-Lösungen, Spamfilter und E-Mail-Firewalls, genaues Hinsehen sowie gesunde Zweifel im Umgang mit E-Mails und der Weitergabe von Passwörtern im Internet.
Für Betriebe rät es sich daher, sowohl ihre Führungspersonen und auch die Arbeitnehmer in routinemäßigen Abständen über Phishing-Taktiken zu unterrichten und diese mit simulierten Phishing-Übungen das Thema ins Bewusstsein zu rufen. Nur so könnten Phishing-E-Mails frühzeitig entdeckt und abgewehrt werden.
Achtsamkeit ist das oberste Gebot!
Heutzutage sind in keinster Weise kleinere noch große Unternehmen vor Phishing-Attacken beschützt. Doch häufig reicht schon ein aufmerksamer Rundblick ins E-Mail-Postfach, um Phishing-Mails zu entdecken.
Grundsätzlich gilt im Umgang mit nicht bekannten sowie unerwarteten Mails:
• Tippen Sie niemals auf Links.
• Öffnen Sie keinesfalls Dateianhänge.
• Antworten Sie auf keinen Fall auf solche Mails
Haben Sie noch Fragen zum Thema? Unsere IT-Awareness Lösung bietet eine gute Möglichkeit, um sich vor Phishing zu schützen.
Sie erreichen unsere Spezialisten telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de