Die E-Mail ist immer noch das meistgenutzte Kommunikationsmedium im Businessalltag. Auch bei Internetkriminellen ist die elektronische Post äußerst beliebt, um mittels Phishing-Mails einzigartige geschäftskritische Daten zu ergattern. In den nachfolgenden Abschnitten erfahren Sie auch was Phishing-Angriffe sind, welche Phishing-Betreffzeilen am meisten vorkommen und auch wie Sie Phishing-Attacken souverän abwehren können.
E-Mails, E-Mails und noch mehr E-Mails: In der Mehrheit der Unternehmen kommen inzwischen stündlich neue Geschäftsmails, Newsletter und andere Nachrichten in den E-Mail-Briefkästen der Mitarbeiter herein. Doch leider stammen manche dieser vertrauenswürdig scheinenden E-Mails von Internetkriminellen, die mit betrügerischen Inhalten darauf anstreben, geschäftskritische Daten abzugreifen, Schadsoftware zu verbreiten bzw. Zugangsdaten zu rauben.
Inzwischen bewegen sich jeden Tag mehr als 3 Mrd. manipulierte E-Mails in aller Herren Länder auf Jagd nach Zugangsdaten, PINs, private Daten, Finanzinformationen und Geschäftsgeheimnissen.
Des Weiteren waren im Jahr 2020 laut Proofpoint drei Viertel aller Unternehmen (Studie von Proofpoint) in Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan von Phishing-Angriffen betroffen – und die Tendenz steigt.
Was ist ein Phishing-Angriff?
Phishing-Mails gehören zu den traditionsreichsten sowie beliebtesten Betrugstricks von Internetkriminellen. Das Perfide an diesen ist, dass sie allem Anschein nach von bekannten und vertrauenswürdigen Absendern kommen, die teilweise auf vorherige E-Mail-Unterhaltungen einen Zusammenhang nehmen und seit Neuestem selbst Schriftstücke aus früheren Unterhaltungen wie Rechnungen oder E-Mailverläufe im Anhang haben. So wird die Naivität, doch auch die Achtlosigkeit der Arbeitnehmer bewusst ausgenutzt, mit dem Ziel diese zum Klicken auf einen Link, zum Downloaden eines Dateianhangs, zum Übermitteln vertraulicher Geschäftsdaten oder aber zur Sendung eines Geldbetrags zu bewegen.
Hier ist die Innovation von den so bezeichneten Phishern fast unbegrenzt: Immer wieder warnen das Bundesamt für Sicherheit in der EDV, kurz BSI, und die Verbraucherzentralen vor neuen Phishing-Aktionen mit phantasievoll ausgedachten Stories. Häufig nutzen die Phisher gegenwärtige Themenbereiche sowie Ereignisse etwa die europäische Datenschutzgrundverordnung bzw. die Corona-Pandemie zum Anlass, mit dem Ziel ihren arglistigen E-Mail-Nachrichten den Schein von Glaubwürdigkeit zu geben, wie die aktuell im Lauf vorhandenen Phishing-Mails zeigen.
Neben Phishing-Mails mit aktuellem Bezug, hat es aber auch ein paar Klassiker, welche immer zu funktionieren scheinen.
Gemäß KnowBe4 waren im vierten Quartal 2021 die folgenden Phishing-Betreffzeilen in Europa äußerst siegreich. In diesem Zusammenhang stammen jene Resultate auf der einen Seite aus simulierten sowie andererseits aus echten Phishing-Mails:
- Einladung annehmen – Personalversammlung über Teams
- Mitarbeiterportal – Timecard nicht eingereicht
- Anlage zur Überprüfung
- Sofortige Passwortüberprüfung erforderlich
- [[Firmen_name]] Rechnung
- IT: Cloud-Anmeldung
- Spezielle Projektinformationen
- Sie haben neue Nachrichten
- Teams-Events
- Microsoft: Privat geteiltes Dokument erhalten
Welche Arten von Phishing-Mails gibt es?
Je nach anvisiertem Zielobjekt werden gegenwärtig verschiedene Herangehensweisen beim Phishing mittels E-Mails genutzt. Dazu zählen:
- Spray-and-Pray-Phishing: Beim Spray-and-Pray-Phishing werden elektronische Nachrichten mit dem Betreff „dringend“ versendet, um die Arbeitnehmer zur Eingabe privater Daten zu animieren. In der Regel enthalten diese Art von Phishing-Nachrichten Weiterleitungen zu gefälschten Anmeldeseiten, welche oft aber sehr wahr erscheinen. Sofern ein Arbeitnehmer seine Daten eingibt und abschickt, werden jene an einen Remote-Server gesendet, auf dem sie von den Phishern betrachtet werden können
- Spear-Phishing: Beim Spear-Phishing werden gewollt Unternehmen, Teams oder Einzelpersonen mit detailgenauen E-Mail-Nachrichten angegriffen. Dazu werden im Voraus gezielt Namen, E-Mail-Adressen sowie sonstige individuelle Daten von Netzwerkseiten wie LinkedIn oder gehackten E-Mail-Einträgen gebündelt. Auf dieser Basis werden Spear-Phishing-Nachrichten verschickt, welche so wirken, als wären sie von dem Geschäftspartner. Häufig umfassen die E-Mails manipulierte Fragen oder Rechnungen von Geschäftspartnern. Werden diese angehängten Dateien heruntergeladen, wird schädigende Malware installiert, die unter anderem Tätigkeiten der Mitarbeiter ausspioniert oder aber private Daten für noch mehr Angriffe sammelt.
- CEO-Phishing: Beim CEO-Phishing geben sich die Phisher als Geschäftsführer oder auch andere Führungsperson des Betriebs aus. Sie wechseln einige E-Mails mit dem anvisierten Opfer aus, mit dem Ziel eine Vertrauensbasis zu schaffen. Nach einiger Zeit wird die Zielperson nach persönlichen Daten der Arbeitnehmer befragt oder darum gebeten, Geld für einen vermeintlichen neuen Vertrag oder einen anderweitigen dringenden Zweck auf ein festgelegtes Konto zu überweisen.
- Dynamite-Phishing: Beim Dynamite-Phishing generieren Phisher mithilfe von Malware, etwa Emotet, haufenweise Phishing-Mails auf ihren infizierten PCs. Die Malware greift auf die hier gespeicherten Mails zu und fertigt sehr authentische Phishing-Mails in Form des Absenders. Die E-Mails werden dann an das gesamte Adressbuch geschickt und diese Schadsoftware breitet sich auf diese Weise explosionsartig weiter aus.
Wie kann man sich vor E-Mail-Betrug schützen?
Der beste Weg, um sich persönlich vor Phishing-Mails zu schützen, ist außer dem Einsatz diverser, elektronischer Schutzmaßnahmen beispielsweise Antiphishing-Konzepte, Spamfilter sowie E-Mail-Firewalls, exaktes Hinschauen sowie gesunde Zweifel im Umgang mit E-Mails und der Weitergabe von Zugangsdaten im Internet.
Für Betriebe empfiehlt es sich daher, sowohl die Führungspersonen als auch die Mitarbeiter in regelmäßigen Zeitabständen über Phishing-Taktiken aufzuklären sowie sie mithilfe von simulierten Phishing-Übungen das Thema zu sensibilisieren. Nur so können Phishing-E-Mails frühzeitig erkannt und abgewehrt werden.
Lassen Sie sich nicht ködern!
Heutzutage sind in keinster Weise kleine noch riesige Betriebe vor Phishing-Angriffen beschützt. Doch meist genügt schon ein aufmerksamer Rundblick ins E-Mail-Postfach, um Phishing-E-Mails zu erkennen.
Im Grunde gilt im Handling mit unbekannten und unerwarteten E-Mails:
- Klicken Sie auf keinen Fall auf Links.
- Öffnen Sie keinesfalls Dateianhänge.
- Reagieren Sie nicht auf diese Mails
Haben Sie noch Fragen zum Inhalt? Oder sind Sie auf der Suche nach einer geeigneten Anti-Phishing-Methode? Sprechen Sie uns an!