Phishing-Attacken: Angriffsmuster und Abwehrmaßnahmen!
Die E-Mail-Nachricht ist immer noch das meistgenutzte Kommunikationsmedium im Businessalltag. Auch bei Internetkriminellen ist die elektronische Post sehr beliebt, um mittels Phishing-Mails persönliche geschäftskritische Daten zu bekommen. In den nachfolgenden Abschnitten lesen Sie auch was Phishing-Angriffe sind, welche Phishing-Betreffzeilen am häufigsten vorkommen und wie Sie Phishing-Attacken souverän abblocken können.
E-Mails, E-Mails und noch mehr E-Mails: In den meisten Betriebe kommen inzwischen stündlich neue Geschäftsmails, Newsletter und anderweitige Nachrichten in den E-Mail-Briefkästen der Angestellten herein. Doch leider kommen einige dieser seriös scheinenden elektronischen Briefe von Internetkriminellen, die mit betrügerischen Informationen darauf anstreben, geschäftskritische Datensammlungen abzugreifen, Malware zu verteilen bzw. Zugangsdaten zu stehlen.
Inzwischen bewegen sich täglich mehr als 3 Mrd. betrügerische elektronische Nachrichten weltweit auf Jagd nach Zugangsdaten, PINs, private Daten, Finanzinformationen sowie Geschäftsgeheimnissen.
Des Weiteren waren im Jahr 2020 laut Proofpoint drei Viertel sämtlicher Betriebe in Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan von Phishing-Attacken betroffen – und die Tendenz steigt.
Was ist ein Phishing-Angriff?
Phishing-Mails gehören zu den traditionsreichsten sowie populärsten Betrugsmethoden von Internetkriminellen. Das Heimtückische an diesen ist, dass sie augenscheinlich von bekannten und vertrauenserweckenden Absendern stammen, die teilweise auf vorgängige E-Mail-Unterhaltungen Bezug herstellen plus seit Neuestem selbst Schriftstücke aus früheren Konversationen wie Abrechnungen oder E-Mailverläufe im Attachment haben. Auf diese Weise wird die Gutgläubigkeit, doch auch die Unachtsamkeit der Arbeitnehmer gezielt ausgenutzt, mit dem Ziel diese zum Klicken auf einen Link, zum Downloaden eines Dateianhangs, zum Senden geheimer Geschäftsdaten oder sogar zur Sendung eines Geldbetrags zu bewegen.
Hier ist die Kreativität von den so bezeichneten Phishern fast grenzenlos: Ständig alarmieren das Bundesamt für Sicherheit in der EDV, knapp BSI, und die Verbraucherzentralen vor brandneuen Phishing-Aktionen mit phantasievoll ausgedachten Geschichten. Nicht selten nehmen die Phisher gegenwärtige Themen und Geschehnisse beispielsweise die europäische Datenschutzgrundverordnung bzw. die Corona-Pandemie zum Anlass, mit dem Ziel ihren betrügerischen E-Mails den Anschein von Glaubwürdigkeit zu verleihen, wie jene aktuell im Umlauf vorhandenen Phishing-Mails zeigen.
Abgesehen von Phishing-Mails mit gegenwärtigem Bezug, hat es aber auch ein paar Standards, welche generell zu gelingen scheinen.
Gemäß KnowBe4 waren im vierten Quartal 2021 die folgenden Phishing-Betreffzeilen in Europa äußerst siegreich. In diesem Zusammenhang stammen jene Resultate einerseits aus simulierten und auf der anderen Seite aus echten Phishing-Mails:
o Einladung annehmen – Personalversammlung über Teams
o Mitarbeiterportal – Timecard nicht eingereicht
o Anlage zur Überprüfung
o Sofortige Passwortüberprüfung erforderlich
o [[Firmen_name]] Rechnung
o IT: Cloud-Anmeldung
o Spezielle Projektinformationen
o Sie haben neue Nachrichten
o Teams-Events
o Microsoft: Privat geteiltes Dokument erhalten
Die verschiedenen Typen von Phishing-Mails!
Je nach auserkorenem Zielobjekt werden heute unterschiedliche Herangehensweisen beim Phishing mittels E-Mails angewandt. Hierfür gehören:
• Spray-and-Pray-Phishing: Beim Spray-and-Pray-Phishing werden E-Mails mit der Betreffzeile „dringend“ verschickt, mit dem Ziel die Arbeitnehmer zur Eingabe persönlicher Daten zu animieren. In der Regel beinhalten diese Rubriken von Phishing-Nachrichten Weiterleitungen zu gefälschten Anmeldeseiten, welche häufig aber täuschend echt erscheinen. Sofern ein Mitarbeiter seine Informationen eintippt plus absendet, werden jene an einen Remote-Webserver gesendet, auf dem sie von den Phishern eingesehen werden können
• Spear-Phishing: Beim Spear-Phishing werden gezielt Unternehmen, Teams oder auch Einzelpersonen mit detailgenauen E-Mail-Nachrichten angegriffen. Hierzu werden im Vorfeld gezielt Namen, E-Mail-Adressen sowie andere persönliche Daten von Netzwerkseiten wie LinkedIn bzw. gehackten E-Mail-Einträgen gebündelt. Auf dieser Basis werden Spear-Phishing-Mails verschickt, die so scheinen, als wären sie von dem Geschäftspartner. Häufig umfassen diese E-Mails falsche Rückfragen oder Rechnungen von Partnern. Werden die angehängten Dokumente heruntergeladen, wird schädliche Schadsoftware installiert, die beispielsweise Tätigkeiten der Arbeitnehmer ausspioniert oder sogar persönliche Daten für noch mehr Angriffe sammelt.
• CEO-Phishing: Beim CEO-Phishing geben sich die Phisher als Geschäftsführer oder anderweitige Führungskraft des Betriebs aus. Jene tauschen mehrere Mails mit dem potenziellen Opfer aus, um eine Vertrauensbasis zu schaffen. Nach einer gewissen Zeit wird die Zielperson nach privaten Daten der Arbeitnehmer befragt oder darum gebeten, Geld für einen vermeintlichen neuen Kontrakt bzw. einen anderen dringenden Vorsatz auf ein bestimmtes Bankkonto zu überweisen.
• Dynamite-Phishing: Beim Dynamite-Phishing generieren Phisher anhand von Malware, etwa Emotet, massenweise Phishing-Mails auf den infizierten PCs. Die Schadsoftware greift auf die dort gespeicherten Mails zu und erstellt sehr originelle Phishing-Mails in Form des Absenders. Die Mails werden danach an das ganze Adressbuch gesendet und diese Schadsoftware breitet sich auf diese Weise explosionsartig weiterhin aus.
Aufklärung ist die beste Medizin!
Der beste Weg, um sich persönlich vor Phishing-E-Mails zu schützen, ist außer dem Einsatz verschiedener, technischer Schutzmaßnahmen beispielsweise Antiphishing-Lösungen, Spamfilter sowie E-Mail-Firewalls, genaues Hinsehen sowie eine gesunde Skepsis im Kontakt mit E-Mails wie auch der Eingabe von Passwörtern im Internet.
Für Betriebe rät es sich demnach, sowohl ihre Führungspersonen und auch ihre Arbeitnehmer in regelmäßigen Zeitabständen über Phishing-Taktiken aufzuklären sowie sie mithilfe von simulierten Phishing-Trainings das Problem zu sensibilisieren. Nur so könnten Phishing-E-Mails früh genug entdeckt sowie abgewehrt werden.
Lassen Sie sich nicht ködern!
Heutzutage sind weder kleinere noch riesige Unternehmen vor Phishing-Attacken beschützt. Doch meist reicht schon ein aufmerksamer Rundblick ins E-Mail-Postfach, um Phishing-E-Mails zu erkennen.
Grundsätzlich heißt es im Handling mit nicht bekannten sowie nicht erwarteten E-Mails:
• Klicken Sie auf keinen Fall auf Links.
• Öffnen Sie keinesfalls Dateianhänge.
• Reagieren Sie auf keinen Fall auf diese Mails
Haben Sie noch Fragen zum Inhalt? Oder sind Sie auf der Suche nach einer passenden Anti-Phishing-Lösung? Kontaktieren Sie uns!
