Bis noch vor Kurzem war Phishing hauptsächlich auf Endverbraucher ausgerichtet und Malware galt als die größte Bedrohung für Unternehmen. Heute ist Phishing der häufigste soziale Angriff auf Unternehmen und zeichnet für mehr als 90 Prozent aller Sicherheitsverletzungen verantwortlich. Da keine Cybersicherheitslösung imstande ist, 100 Prozent aller Angriffe abzuwehren, muss Ihren Mitarbeitern durch Schulungen ein Verständnis darüber vermittelt werden, worauf sie achten müssen, um sich vor Phishing-Angriffen zu schützen.

Phishing wird immer raffinierter, und auch wenn Phisher Dutzende Techniken zur Täuschung Ihrer Mitarbeiter zum Einsatz bringen, verlassen sie sich hauptsächlich auf einige wenige Methoden. Hier finden Sie acht Dinge, die Ihre Mitarbeiter über Phishing verstehen sollten:

1. Was ist Phishing?

Phishing ist eine Art von Betrug, bei der ein Hacker versucht, persönliche Informationen oder Benutzerdaten zu sammeln, indem er vorgibt, eine legitime Marke zu sein, doch Benutzer auf eine bösartige Website schickt. Ein bekanntes Beispiel dafür ist der Office 365-Phishing-Angriff: Ein Hacker schickt eine E-Mail, die von Microsoft zu stammen scheint und den Benutzer dazu auffordert, sich in seinem Office 365-Konto anzumelden. Klickt der Benutzer auf den Link in der E-Mail, wird er auf eine gefälschte Office 365-Anmeldeseite geleitet, auf der seine Benutzerdaten gesammelt werden. Da die Marken und Logos von Microsoft sowohl in der E-Mail als auch auf der Phishing-Seite sichtbar sind, erkennt ein ungeschulter Benutzer die E-Mail nicht als Phishing-Versuch.

2. E-Mail-Adressen können gespooft sein

Vertrauen Sie nie einer E-Mail nur auf Grundlage des angeblichen Absenders. Cyberkriminelle nutzen viele Methoden, um E-Mails zu verschleiern. Sie verstehen, wie sie ihre Opfer zu der Annahme verleiten, dass ein Absender legitim ist, obwohl die E-Mail in Wirklichkeit von einer bösartigen Quelle stammt. Die häufigsten Arten des Spoofings sind Displaynamen-Spoofing und Cousin-Domains. Beim Displaynamen-Spoofing, auch „Namensverschleierung“ genannt, verwendet der Phisher einen legitimen Unternehmensnamen als E-Mail-Absender, beispielsweise microsoftsupport@microsoft.com, doch tatsächlich liegt diesem eine zufällige E-Mail-Adresse wie xyz@yahoo.com zugrunde. Das Displaynamen-Spoofing ist am effektivsten, wenn ein Benutzer die E-Mail auf einem Mobilgerät sieht, da die E-Mail-Adresse des Absenders verborgen bleibt. Phisher zählen darauf, dass die meisten Mobilnutzer den Namen des Absenders nicht erweitern, um die E-Mail-Adresse anzuzeigen.

Eine Cousin-Domain gleicht äußerlich einer legitimen E-Mail-Adresse, wurde jedoch leicht verändert. Zum Beispiel könnte der Hacker zum Spoofen einer Apple.com-E-Mail die Domain Apple.co verwenden. In anderen Fällen nutzen Hacker Erweiterungen, um Benutzer zu täuschen. Einige Beispiele sind apple-support.org, apple-logins.net und apple-securities.com. Es sind auch zunehmend lange, verwirrend Subdomains wie icloud.accounts@apple.it.support.zqa.ca zu beobachten.

3. Betreffzeilen und E-Mails enthalten oft verlockende oder drohende Sprache

Cyberkriminelle können beispielsweise „kostenlose iPhones für die ersten 100 Antwortenden“ versprechen oder drohen: „Ihre Kreditkarte wird gesperrt, wenn Sie nicht unverzüglich handeln.“ Ein Gefühl der Panik, Dringlichkeit oder Neugier zu erzeugen, ist eine gängige Taktik. Benutzer antworten in der Regel schnell auf E-Mails, die auf mögliche finanzielle Verluste hindeuten oder zu persönlichen oder finanziellen Vorteilen führen könnten.

E-Mails, die einen aggressiven Ton aufweisen oder vorgeben, dass sofortige Maßnahmen ergriffen werden müssen, um negative Folgen zu vermeiden, sollten als potenzieller Betrugsversuch angesehen werden. Diese Methode kommt oft zum Einsatz, damit aus Angst vertrauliche Informationen preisgegeben werden. Zwei Beispiele hierfür sind Phishing-E-Mails, die Benutzern mitteilen, dass ihre wichtigen Konten gesperrt sind oder dass eine Rechnung bezahlt werden muss, damit Dienstleistungen nicht unterbrochen werden.

Bei manchen Spear-Phishing-Angriffen werden personalisierte E-Mails von angeblichen Kollegen so konzipiert, dass sie dem Opfer Angst vor möglichen Folgen auf der Arbeit einflößen. Ein klassisches Beispiel dafür ist eine dringende E-Mail vom CEO, der Geschenkkarten oder eine Überweisung verlangt. Solch eine Aufforderung von einer Führungskraft zu erhalten, setzt den Mitarbeiter unter Druck und veranlasst ihn eher dazu, schnell zu antworten – ohne dies zu durchdenken. Ein weiteres Beispiel ist die Überweisungs-Spear-Phishing-E-Mail, die zum Ziel hat, einen HR-Mitarbeiter unter Druck zu setzen, damit Überweisungsinformationen geändert werden.

4. Angriffe werden zielgerichteter – und persönlicher

In der Vergangenheit erfolgten viele Phishing-Angriffe in Form von Massennachrichten an eine große Anzahl von Benutzern auf einmal, was mit unpersönlichen Begrüßungen einherging. In den E-Mails wurde der Benutzer häufig mit allgemeinen Titeln wie „Kunde“, „Mitarbeiter“ oder „Patient“ angeredet. Ihre Mitarbeiter sollten vor diesen Begriffen auf der Hut sein, denn professionelle Organisationen verwenden gewöhnlich den Namen des Benutzers in E-Mails, doch selbst eine personalisierte Anrede ist kein sicheres Anzeichen dafür, dass die E-Mail legitim ist. Die heutigen Phisher geben den Namen des Opfers in der Betreffzeile an und füllen die E-Mail-Adresse des Opfers auf der Phishing-Webseite im Voraus aus.

5. Phishing-E-Mails werden immer besser

Mitarbeiter müssen ihre E-Mails sorgfältig lesen und nicht nur überfliegen. Viele Phishing- und Spear-Phishing-Angriffe stammen aus anderen Ländern, und obwohl dies mit offenkundigen Grammatik- und Stilfehlern einhergehen kann, werden Phisher immer raffinierter. Sie verfügen über die Ressourcen, um saubere E-Mails in ihrer Zielsprache zu verfassen und machen weniger Fehler. Mitarbeiter sollten E-Mails sorgfältig lesen, um sowohl offenkundige als auch subtile Grammatikfehler zu erkennen, die andeuten könnten, dass der Absender nicht seriös ist. In einer kürzlich von Vade Secure entdeckten Office 365-Phishing-Seite wurde nur eine Abweichung zwischen der echten Office 365-Seite und der Phishing-Seite festgestellt: ein zusätzliches Leerzeichen zwischen den Worten „und“ und „Cookies“ im Link „Datenschutz und Cookies“ in der Fußzeile der Phishing-E-Mail.

6. Der Anschein eines Links trügt bisweilen

Jede Phishing-E-Mail enthält einen Link, doch Phishing-Links wirken täuschend echt. Während der Linktext vorgibt, Sie „zu Ihrem Office 365-Konto“ zu führen, leitet die URL den Benutzer auf eine Phishing-Seite weiter, die so konzipiert ist, dass sie wie eine Microsoft-Seite aussieht. Stellen Sie sicher, dass Ihre Mitarbeiter den Mauszeiger über alle Links bewegen, bevor sie darauf klicken, um die wahre Zielseite des Links als Pop-up angezeigt zu bekommen. Wenn dies nicht die erwartete Website ist, handelt es sich wahrscheinlich um einen Phishing-Angriff.

Am wichtigsten ist, dass der Kern der URL korrekt ist. Achten Sie besonders auf URLs, die mit alternativen Domainnamen statt .com oder .org enden. Zudem verwenden Phisher Kurz-URL-Dienste, wie beispielsweise Bitly, um E-Mail-Filter zu umgehen und Benutzer zu täuschen, also seien Sie vor gekürzten URLs auf der Hut. IsItPhishing.AI kann feststellen, ob eine URL legitim ist oder ob es sich um einen Phishing-Link handelt. Wenn Sie oder Ihre Mitarbeiter Zweifel an der Legitimität einer Website haben, kann IsItPhishing dies für Sie prüfen.

7. Phishing-Links können als Anhang versendet werden

Alle Phishing-E-Mails enthalten einen Link, aber er befindet sich nicht immer in der E-Mail. Um einer Erkennung durch E-Mail-Sicherheitsfilter zu entgehen, können Hacker einen Phishing-Link in einem Anhang, beispielsweise einer PDF- oder Word-Datei, statt im Text der E-Mail einfügen. Und da Sandboxing-Technologie Anhänge auf Malware und nicht auf Links scannt, erscheint die E-Mail sauber. Die E-Mail selbst gibt vor, von einem legitimen Unternehmen, Anbieter oder Kollegen zu stammen, und fordert Sie dazu auf, den Anhang zu öffnen und auf den Link zu klicken, um Informationen zu prüfen oder zu aktualisieren.

8. Hacker verwenden echte Bilder und Logos von Marken in Phishing-E-Mails

Phishing-Seite
Die echte Office 365-Seite

Logos und Markenzeichen einer Marke sind keine Garantie dafür, dass eine E-Mail echt ist. Diese Bilder sind öffentlich zugänglich und können aus dem Internet heruntergeladen oder einfach reproduziert werden. Selbst Antivirus-Abzeichen können in E-Mails eingefügt werden, um Opfer zu überzeugen, dass die E-Mail von einer legitimen Quelle stammt. Während die meisten E-Mail-Filter eine bekannte Phishing-URL erkennen können, sind sie nicht in der Lage, gefälschte Bilder zu erkennen, es sei den, sie verfügen über Fähigkeiten im Bereich maschinelles Lernen und Computer-Vision.

Ein Mitarbeiter hat eine Phishing-E-Mail erhalten – was nun?

Die Folgen eines Phishing-Angriffs zu bewältigen, ist nicht nur zeitaufwendig, sondern auch kostspielig. Ein unvorsichtiger Klick kann potenziell Ihr gesamtes Netzwerk zu kompromittieren, daher ist es wichtig, dass alle als Team zusammenarbeiten, um das Unternehmen zu schützen. Stellen Sie sicher, dass ein System zum Melden von Phishing-Angriffen vorhanden ist und dass alle Ihre Mitarbeiter verstehen, wie wichtig es ist, einen Angriff tatsächlich zu melden. Die gefährdende E-Mail zu löschen, ist keine Lösung – die IT-Abteilung muss wissen, dass Ihr Unternehmen das Ziel von Angriffen ist. Veranlassen Sie Ihre Mitarbeiter durch Schulungen dazu, unverzüglich Ihre IT-Abteilung zu kontaktieren, sodass diese die entsprechenden Maßnahmen ergreifen und eine Feedback-Schleife zur Verbesserung des E-Mail-Filters erstellen kann.

Während strukturierte jährliche oder halbjährliche Schulungen zu empfehlen sind, sollten Mitarbeiter auch spontanes Training erhalten, wenn ein Angriff erfolgt ist. Wenn ein Mitarbeiter auf einen Phishing-Link klickt, sollte er sofort Feedback und zusätzliches Training erhalten. Sehen Sie gemeinsam die E-Mail durch, zeigen Sie die übersehenen Warnsignale und Kennzeichen auf, und stellen Sie zusätzliches Schulungsmaterial zur Verfügung, um einer zukünftigen Wiederholung eines Phishing-Angriffs vorzubeugen.

Benutzern von Vade Secure wird zum Zeitpunkt des Klicks ein Warnbanner angezeigt, wenn eine URL als Phishing identifiziert wurde. Klickt der Benutzer auf einen Phishing-Link, erhält die IT-Abteilung eine Benachrichtigung sowie einen Link zu Phishing-Schulungsmaterial. Dies macht sofort auf den Fehler aufmerksam und stellt eine Verbindung zwischen dem Vorfall und der Schulung her. Falls Spear-Phishing vermutet wird, erhält der Benutzer ein Warnbanner in der E-Mail mit dem Rat, vorsichtig vorzugehen.

Haben Sie Interesse daran, auf Ihr Unternehmen zugeschnittenes Schulungsmaterial zur Sensibilisierung gegen Phishing zu erhalten? Kontaktieren Sie uns, und wir freuen uns darauf, es für Sie zu erstellen.