Wenn Datenfischer angreifen!
Die E-Mail-Nachricht ist immer noch das beliebteste Kommunikationsmedium im Geschäftsalltag. Auch bei Internetkriminellen ist die E-Mail äußerst begehrt, durch Phishing-Mails persönliche geschäftskritische Datenansammlungen zu ergattern. In den nachfolgenden Abschnitten lesen Sie unter anderem was Phishing-Attacken sind, welche Phishing-Betreffzeilen am häufigsten auftreten und wie Sie Phishing-Attacken gut abblocken können.
E-Mails, E-Mails und noch mehr E-Mails: In der Mehrheit der Betriebe trudeln heute stündlich neue Geschäftsmails, Newsletter und anderweitige Nachrichten in den E-Mail-Briefkästen der Angestellten herein. Doch leider stammen einige dieser seriös scheinenden elektronischen Briefe von Internetkriminellen, welche mit betrügerischen Informationen hierauf anstreben, geschäftskritische Daten zu erlangen, Malware zu verbreiten oder Zugangsdaten zu rauben.
Mittlerweile bewegen sich jeden Tag mehr als 3 Mrd. betrügerische elektronische Nachrichten weltweit auf Jagd nach Zugangsdaten, PINs, persönliche Daten, Finanzinformationen sowie Geschäftsgeheimnissen.
Ferner waren im Jahr 2020 laut Proofpoint drei Viertel aller Betriebe in Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien sowie Japan von Phishing-Attacken betroffen – Tendenz steigend.
Was ist ein Phishing-Angriff?
Phishing-Nachrichten zählen zu den traditionsreichsten und populärsten Betrugstricks von Internetkriminellen. Das Heimtückische an ihnen ist, dass sie allem Anschein nach von namenhaften und vertrauenserweckenden Absendern kommen, die zum Teil auf vorgängige Nachrichten-Unterhaltungen einen Zusammenhang nehmen und neuerdings sogar Schriftstücke aus früheren Konversationen etwa Rechnungen oder auch E-Mailverläufe im Attachment aufweisen. Auf diese Weise wird die Naivität, aber auch die Unachtsamkeit der Arbeitnehmer gezielt ausgebeutet, mit dem Ziel sie zum Klicken auf einen Link, zum Herunterladen eines Dateianhangs, zum Übermitteln vertraulicher Geschäftsdaten oder aber zur Überweisung eines Geldbetrags zu bewegen.
Hier ist die Kreativität von den so bezeichneten Phishern fast unbegrenzt: Ständig alarmieren das Bundesamt für Sicherheit in der EDV, kurz BSI, und die Verbraucherzentralen vor neuen Phishing-Kampagnen mit kreativ erfundenen Geschichten. Häufig nehmen die Phisher gegenwärtige Themen und Ereignisse etwa die europäische Datenschutzgrundverordnung oder die Corona-Pandemie zum Anreiz, mit dem Ziel ihren arglistigen E-Mails den Anschein von Glaubhaftigkeit zu verleihen, wie jene momentan im Lauf befindlichen Phishing-Nachrichten zeigen.
Neben Phishing-Nachrichten mit aktuellem Bezug, hat es aber auch einige Standards, die immer zu gelingen scheinen.
Gemäß KnowBe4 waren im vierten Quartal 2021 die folgenden Phishing-Betreffzeilen in Europa besonders siegreich. In diesem Zusammenhang stammen jene Ergebnisse einerseits aus simulierten sowie auf der anderen Seite aus realen Phishing-Mails:
• Einladung annehmen – Personalversammlung über Teams
• Mitarbeiterportal – Timecard nicht eingereicht
• Anlage zur Überprüfung
• Sofortige Passwortüberprüfung erforderlich
• [[Firmen_name]] Rechnung
• IT: Cloud-Anmeldung
• Spezielle Projektinformationen
• Sie haben neue Nachrichten
• Teams-Events
• Microsoft: Privat geteiltes Dokument erhalten
Doch Phishing-Mails sind nicht gleich Phishing-Mails!
Abhängig von auserkorenem Zielobjekt werden heute verschiedene Herangehensweisen beim Phishing via E-Mails angewandt. Dazu zählen:
• Spray-and-Pray-Phishing:
Beim Spray-and-Pray-Phishing werden E-Mails mit dem Betreff „dringend“ verschickt, mit dem Ziel die Arbeitnehmer zur Eingabe persönlicher Informationen zu animieren. In der Regel beinhalten diese Rubriken von Phishing-Nachrichten Links zu gefälschten Anmeldeseiten, die häufig aber sehr echt erscheinen. Sobald ein Mitarbeiter seine Daten eingibt plus abschickt, werden diese an einen Remote-Server gesendet, auf dem diese von den Phishern betrachtet werden können
• Spear-Phishing:
Beim Spear-Phishing werden gewollt Unternehmen, Arbeitsgruppen oder auch Einzelpersonen mit detaillierten E-Mail-Nachrichten angegriffen. Dazu werden im Vorfeld gezielt Namen, E-Mail-Adressen und andere persönliche Daten von Netzwerkseiten wie LinkedIn bzw. gehackten E-Mail-Einträgen gebündelt. Auf dieser Grundlage werden Spear-Phishing-Mails verschickt, welche so wirken, als wären sie von einem Geschäftspartner. Häufig enthalten diese E-Mails manipulierte Fragen oder auch Rechnungen von Geschäftspartnern. Werden diese angehängten Dateien heruntergeladen, wird schädigende Malware eingebaut, welche unter anderem Tätigkeiten der Mitarbeiter ausspioniert oder sogar persönliche Daten für weitere Angriffe bündelt.
• CEO-Phishing:
Beim CEO-Phishing geben sich die Phisher als Geschäftsführer oder auch andere Führungskraft des Betriebs aus. Jene wechseln mehrere E-Mails mit dem anvisierten Opfer aus, mit dem Ziel eine Vertrauensbasis zu schaffen. Nach einiger Zeit wird die Zielperson nach privaten Daten der Arbeitnehmer befragt oder darum gebeten, Vermögen für einen vermeintlichen brandneuen Vertrag oder einen anderweitigen dringenden Zweck auf ein bestimmtes Konto zu überweisen.
• Dynamite-Phishing:
Beim Dynamite-Phishing generieren Phisher mithilfe von Malware, etwa Emotet, massenweise Phishing-Mails auf ihren infizierten Computern. Die Malware greift auf jene dort gespeicherten E-Mails zu und fertigt äußerst authentische Phishing-Mails in Form des Absenders. Die E-Mails werden dann an das ganze Adressbuch geschickt und diese Schadsoftware breitet sich so rasant weiterhin aus.
Best Practices zur Verhinderung von Phishing-Angriffen!
Der ideale Weg, um sich persönlich vor Phishing-E-Mails zu schützen, ist neben dem Einsatz diverser, technischer Schutzmaßnahmen beispielsweise Antiphishing-Lösungen, Spamfilter und E-Mail-Firewalls, genaues Hinsehen sowie eine gute Skepsis im Umgang mit E-Mails und der Eingabe von Zugangsdaten im Netz.
Für Unternehmen empfiehlt es sich daher, sowohl ihre Führungspersonen und auch die Mitarbeiter in routinemäßigen Zeitabständen über Phishing-Taktiken aufzuklären sowie diese mit simulierten Phishing-Übungen dieses Problem zu sensibilisieren. Nur so können Phishing-Mails frühzeitig entdeckt und abgewehrt werden.
Achtsamkeit ist das oberste Gebot!
Inzwischen sind weder kleinere noch große Unternehmen vor Phishing-Angriffen beschützt. Doch meist reicht bereits ein aufmerksamer Blick ins E-Mail-Postfach, um Phishing-E-Mails zu erkennen.
Grundsätzlich heißt es im Handling mit unbekannten und unerwarteten E-Mails:
• Tippen Sie niemals auf Weiterleitungen.
• Öffnen Sie niemals Dateianhänge.
• Reagieren Sie auf keinen Fall auf diese Mails
Haben Sie noch Fragen zum Thema? Oder suchen Sie nach einer passenden Anti-Phishing-Methode? Kontaktieren Sie uns!