Die E-Mail-Nachricht ist immer noch das beliebteste Kommunikationsmedium im Geschäftsalltag. Auch bei Internetkriminellen ist die E-Mail äußerst begehrt, um mittels Phishing-Mails persönliche geschäftskritische Datenansammlungen zu ergattern. In den folgenden Abschnitten erfahren Sie unter anderem was Phishing-Attacken sind, welche Phishing-Betreffzeilen am meisten vorkommen und wie Sie Phishing-Angriffe gut abblocken können.
E-Mails, E-Mails und noch mehr E-Mails: In den meisten Unternehmen kommen heute im Stundentakt neue Geschäftsnachrichten, Newsletter wie auch anderweitige Mitteilungen in den E-Mail-Briefkästen der Angestellten herein. Doch ärgerlicherweise stammen einige der seriös wirkenden elektronischen Briefe von Internetkriminellen, welche mit raffinierten Inhalten hierauf abzielen, geschäftskritische Daten abzugreifen, Schadsoftware zu verteilen bzw. Identitäten zu rauben.
Inzwischen bewegen sich jeden Tag mehr als 3 Mrd. manipulierte E-Mails in aller Herren Länder auf Jagd nach Passwörtern, PINs, private Daten, Finanzinformationen und Geschäftsgeheimnissen.
Ferner waren 2020 laut Proofpoint drei Viertel aller Betriebe in Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan von Phishing-Angriffen betroffen – und die Tendenz steigt.
Ein falscher Klick genügt!
Phishing-Nachrichten gehören zu den ältesten sowie populärsten Betrugstricks von Internetkriminellen. Das Perfide an diesen ist, dass jene allem Anschein nach von namenhaften sowie vertrauenserweckenden Absendern stammen, die zum Teil auf vorgängige Nachrichten-Unterhaltungen einen Zusammenhang herstellen plus neuerdings selbst Dokumente aus vergangenen Konversationen etwa Rechnungen oder E-Mailverläufe im Anhang haben. Auf diese Weise wird die Naivität, aber auch die Achtlosigkeit der Arbeitnehmer gezielt ausgebeutet, mit dem Ziel sie zum Aufrufen von einem Link, zum Downloaden eines Dateianhangs, zum Senden geheimer Geschäftsdaten oder sogar zur Sendung eines Geldbetrags zu animieren.
Hier ist die Kreativität von den sogenannten Phishern fast grenzenlos: Immer wieder warnen das Bundesamt für Sicherheit in der Informationstechnik, knapp BSI, sowie die Verbraucherzentralen vor brandneuen Phishing-Aktionen mit kreativ ausgedachten Geschichten. Häufig nehmen die Phisher aktuelle Themen und Ereignisse etwa die europäische Datenschutzgrundverordnung oder die Corona-Pandemie zum Anlass, mit dem Ziel ihren betrügerischen E-Mails den Schein von Glaubhaftigkeit zu geben, wie jene momentan im Lauf befindlichen Phishing-Mails zeigen.
Neben Phishing-Nachrichten mit aktuellem Bezug, gibt es aber auch einige Klassiker, die generell zu gelingen scheinen.
Gemäß KnowBe4 waren im letzten Viertel von 2021 die nachfolgenden Phishing-Betreffzeilen in Europa äußerst siegreich. Dabei kommen jene Resultate einerseits aus simulierten und auf der anderen Seite aus realen Phishing-E-Mails:
o Einladung annehmen – Personalversammlung über Teams
o Mitarbeiterportal – Timecard nicht eingereicht
o Anlage zur Überprüfung
o Sofortige Passwortüberprüfung erforderlich
o [[Firmen_name]] Rechnung
o IT: Cloud-Anmeldung
o Spezielle Projektinformationen
o Sie haben neue Nachrichten
o Teams-Events
o Microsoft: Privat geteiltes Dokument erhalten
Doch Phishing-Mails sind nicht gleich Phishing-Mails!
Je nach auserkorenem Zielobjekt werden heute unterschiedliche Herangehensweisen beim Phishing via E-Mails genutzt. Dazu zählen:
• Spray-and-Pray-Phishing: Beim Spray-and-Pray-Phishing werden E-Mails mit der Betreffzeile „dringend“ versendet, um die Mitarbeiter zum Angeben persönlicher Informationen zu animieren. Meist beinhalten diese Art von Phishing-Nachrichten Weiterleitungen zu gefälschten Anmeldeseiten, die oft aber täuschend wahr erscheinen. Sobald ein Mitarbeiter seine Informationen eingibt plus absendet, werden jene an einen Remote-Server gesendet, auf welchem sie von den Phishern eingesehen werden können
• Spear-Phishing: Beim Spear-Phishing werden gezielt Unternehmen, Teams oder einzelne Personen mit detaillierten E-Mail-Nachrichten attackiert. Dazu werden im Vorfeld gezielt Namen, E-Mail-Adressen und andere persönliche Daten von Netzwerkseiten wie LinkedIn bzw. gehackten E-Mail-Einträgen gebündelt. Auf dieser Grundlage werden Spear-Phishing-Mails verschickt, welche so wirken, als seien sie von dem Vertragspartner. Oft enthalten diese E-Mails falsche Rückfragen oder auch Rechnungen von Partnern. Werden die angehängten Dateien heruntergeladen, wird schädigende Schadsoftware installiert, die beispielsweise Tätigkeiten der Arbeitnehmer ausspioniert oder sogar private Daten für noch mehr Angriffe bündelt.
• CEO-Phishing: Beim CEO-Phishing geben sich die Phisher als Geschäftsführer oder auch andere Führungsperson des Unternehmens aus. Sie wechseln einige E-Mails mit dem anvisierten Opfer aus, um eine Vertrauensbasis zu schaffen. Nach einer gewissen Zeit wird die Zielperson nach privaten Daten der Arbeitnehmer gefragt oder drum gebeten, Geld für einen angeblichen neuen Kontrakt bzw. einen anderen eiligen Zweck auf ein bestimmtes Bankkonto einzuzahlen.
• Dynamite-Phishing: Beim Dynamite-Phishing erstellen Phisher anhand von Malware, etwa Emotet, massenweise Phishing-E-Mails auf den infizierten PCs. Die Malware greift auf die dort gespeicherten E-Mails zu und fertigt äußerst authentische Phishing-E-Mails im Stil des Absenders. Die Mails werden danach an das gesamte Adressbuch gesendet und die Schadsoftware breitet sich auf diese Weise rasant weiterhin aus.
So durchschauen Sie Phishing-Mails!
Der beste Weg, um sich vor Phishing-Mails abzusichern, ist neben dem Einsatz diverser, elektronischer Schutzmaßnahmen wie Antiphishing-Konzepte, Spamfilter und E-Mail-Firewalls, genaues Hinschauen und eine gesunde Skepsis im Kontakt mit E-Mails und der Weitergabe von Zugangsdaten im Internet.
Für Betriebe empfiehlt es sich demnach, sowohl ihre Führungspersonen und auch die Arbeitnehmer in regelmäßigen Zeitabständen über Phishing-Taktiken zu unterrichten und sie mit simulierten Phishing-Trainings das Thema ins Bewusstsein zu rufen. Bloß so können Phishing-E-Mails frühzeitig entdeckt und abgewehrt werden.
Seien Sie Phishern einen Schritt voraus!
Heutzutage sind in keinster Weise kleinere noch riesige Unternehmen vor Phishing-Angriffen beschützt. Doch häufig reicht bereits ein aufmerksamer Blick ins E-Mail-Postfach, um Phishing-E-Mails zu entdecken.
Im Grunde gilt im Handling mit unbekannten und nicht erwarteten E-Mails:
• Tippen Sie niemals auf Weiterleitungen.
• Öffnen Sie keinesfalls Dateianhänge.
• Antworten Sie nicht auf diese Mails
Haben Sie noch Fragen zum Inhalt? Oder sind Sie auf der Suche nach einer passenden Anti-Phishing-Lösung? Sprechen Sie uns an!
Telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de