Die E-Mail-Nachricht ist nach wie vor das beliebteste Kommunikationsmedium im Geschäftsalltag. Auch bei Internetkriminellen bleibt die elektronische Post sehr begehrt, durch Phishing-Mails einzigartige geschäftskritische Daten zu bekommen. In den folgenden Abschnitten erfahren Sie auch was Phishing-Attacken sind, was für Phishing-Betreffzeilen am meisten auftreten und wie Sie Phishing-Attacken gut abblocken können.

E-Mails, E-Mails und noch mehr E-Mails: In den meisten Betrieben kommen inzwischen im Stundentakt neue Geschäftsnachrichten, Newsletter wie auch anderweitige Mitteilungen in den E-Mail-Postfächern der Mitarbeiter herein. Leider stammen einige der vertrauenswürdig wirkenden elektronischen Briefe von Internetkriminellen, welche mit betrügerischen Informationen darauf abzielen, geschäftskritische Daten zu erlangen, Schadsoftware zu verbreiten oder Zugangsdaten zu stehlen.

Inzwischen bewegen sich jeden Tag mehr als 3 Milliarden betrügerische E-Mails in aller Herren Länder auf Jagd nach Zugangsdaten, PINs, persönliche Daten, Finanzinformationen und Geschäftsgeheimnissen.

Ferner waren im Jahr 2020 laut Proofpoint drei Viertel sämtlicher Betriebe in Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan von Phishing-Attacken betroffen – Tendenz steigend.

Wenn „Phisher“ das Netz auswerfen!

Phishing-Nachrichten gehören zu den ältesten und populärsten Betrugstricks von Internetkriminellen. Das Heimtückische an ihnen ist, dass sie augenscheinlich von bekannten und vertrauenswürdigen Adressen stammen, die teilweise auf vorherige Nachrichten-Unterhaltungen Bezug herstellen plus seit Neuestem selbst Dokumente aus vergangenen Unterhaltungen etwa Rechnungen oder auch E-Mailverläufe im Attachment haben. So wird die Naivität, doch auch die Achtlosigkeit der Mitarbeiter gezielt ausgenutzt, mit dem Ziel sie zum Aufrufen von einem Link, zum Downloaden eines Dateianhangs, zum Übermitteln vertraulicher Geschäftsdaten oder sogar zur Überweisung eines Geldbetrags zu animieren.

Hier ist die Innovation von den so bezeichneten Phishern schier grenzenlos: Immer wieder alarmieren das Bundesamt für Sicherheit in der EDV, knapp BSI, und die Verbraucherzentralen vor brandneuen Phishing-Aktionen mit kreativ ausgedachten Stories. Nicht selten nehmen die Phisher aktuelle Themenbereiche und Ereignisse, etwa die europäische Datenschutzgrundverordnung bzw. die Corona-Pandemie zum Anlass, mit dem Ziel ihren arglistigen E-Mail-Nachrichten den Schein von Glaubwürdigkeit zu geben, wie jene aktuell im Umlauf befindlichen Phishing-Mails vorführen.
Neben Phishing-Mails mit gegenwärtigem Bezug, hat es jedoch auch ein paar Standards, welche generell zu funktionieren scheinen.

Gemäß KnowBe4 waren im letzten Viertel von 2021 die folgenden Phishing-Betreffzeilen in Europa besonders erfolgreich. Dabei stammen die Ergebnisse auf der einen Seite aus simulierten und auf der anderen Seite aus realen Phishing-Mails:

• Einladung annehmen – Personalversammlung über Teams
• Mitarbeiterportal – Timecard nicht eingereicht
• Anlage zur Überprüfung
• Sofortige Passwortüberprüfung erforderlich
• [[Firmen_name]] Rechnung
• IT: Cloud-Anmeldung
• Spezielle Projektinformationen
• Sie haben neue Nachrichten
• Teams-Events
• Microsoft: Privat geteiltes Dokument erhalten

Doch Phishing-Mails sind nicht gleich Phishing-Mails!

Je nach auserkorenem Zielobjekt werden gegenwärtig unterschiedliche Herangehensweisen beim Phishing mittels E-Mails genutzt. Dazu zählen:

• Spray-and-Pray-Phishing: Beim Spray-and-Pray-Phishing werden E-Mails mit dem Betreff „dringend“ versendet, um die Mitarbeiter zum Angeben persönlicher Daten zu animieren. Meist beinhalten diese Rubriken von Phishing-Mails Links zu manipulierten Anmeldeseiten, die häufig aber täuschend echt aussehen. Sofern ein Arbeitnehmer seine Informationen eintippt und abschickt, werden diese an einen Remote-Server geschickt, auf dem sie von den Phishern eingesehen werden können
• Spear-Phishing: Beim Spear-Phishing werden gezielt Unternehmen, Arbeitsgruppen oder einzelne Personen mit detailgenauen E-Mail-Nachrichten attackiert. Dazu werden im Vorfeld ganz gezielt Namen, E-Mail-Adressen und sonstige individuelle Daten von Netzwerkseiten wie LinkedIn bzw. gehackten E-Mail-Einträgen gebündelt. Auf dieser Basis werden Spear-Phishing-Mails verschickt, welche so wirken, als seien jene von einem Geschäftspartner. Oft enthalten diese E-Mails falsche Fragen oder Rechnungen von Partnern. Werden diese angehängten Dateien heruntergeladen, wird schädigende Malware eingebaut, welche beispielsweise Tätigkeiten der Arbeitnehmer ausspioniert oder sogar private Daten für noch mehr Angriffe bündelt.
• CEO-Phishing: Beim CEO-Phishing geben sich die Phisher als Geschäftsführer oder auch andere Führungsperson des Betriebs aus. Jene wechseln mehrere E-Mails mit dem anvisierten Opfer aus, mit dem Ziel eine Vertrauensbasis zu schaffen. Nach einiger Zeit wird die Zielperson nach persönlichen Daten der Arbeitnehmer gefragt oder darum gebeten, Vermögen für einen vermeintlichen neuen Vertrag bzw. einen anderweitigen eiligen Zweck auf ein festgelegtes Bankkonto einzuzahlen.
• Dynamite-Phishing: Beim Dynamite-Phishing generieren Phisher anhand von Malware, etwa Emotet, haufenweise Phishing-E-Mails auf den infizierten Computern. Die Schadsoftware greift auf die hier gespeicherten E-Mails zu und fertigt sehr authentische Phishing-E-Mails in Form des Absenders. Die E-Mails werden danach an das gesamte Adressbuch gesendet und die Schadsoftware breitet sich auf diese Weise explosionsartig weiter aus.

Wissen schützt!

Der ideale Weg, um sich vor Phishing-E-Mails zu schützen, ist außer dem Einsatz diverser, technischer Schutzmaßnahmen wie Antiphishing-Lösungen, Spamfilter und E-Mail-Firewalls, genaues Hinsehen sowie gesunde Zweifel im Kontakt mit E-Mails wie auch der Eingabe von Zugangsdaten im Internet.

Für Unternehmen empfiehlt es sich demnach, sowohl die Führungskräfte als auch ihre Mitarbeiter in regelmäßigen Zeitabständen über Phishing-Taktiken aufzuklären und sie mit simulierten Phishing-Trainings das Problem zu sensibilisieren. Bloß so könnten Phishing-Mails früh genug erkannt sowie abgewehrt werden.

Seien Sie Phishern einen Schritt voraus!

Inzwischen sind in keinster Weise kleinere noch große Unternehmen vor Phishing-Angriffen gefeit. Doch häufig genügt bereits ein aufmerksamer Rundblick ins E-Mail-Postfach, um Phishing-E-Mails zu erkennen.

Im Grunde gilt im Handling mit nicht bekannten und unerwarteten Mails:

• Tippen Sie auf keinen Fall auf Weiterleitungen.
• Öffnen Sie keinesfalls Dateianhänge.
• Reagieren Sie auf keinen Fall auf solche Mails

Haben Sie noch Fragen zum Thema? Oder sind Sie auf der Suche nach einer geeigneten Anti-Phishing-Lösung? Kontaktieren Sie uns!

Ihr Kontakt: Andre Bruns  +49 (421) 6 99 01-0

Oder senden Sie uns eine E-Mail an: info@12systems.de