Überspringen zu Hauptinhalt
Rufen Sie uns an: +49 6131 144 56 25

Phishing-Mails sind alte Bekannte und nach wie vor wirksam! 

Die Masche ist alt, die Variationen der Phishing-Mails, die millionenfach versendet werden, umso aktueller.

Phishing-Mails gehören leider zum IT-Alltag! 

Unternehmen müssen sich immer mehr gegen die Massen von Fake-Mails, wie Phishing-Attacken schützen. Für die Betriebe und den Anwendern wird es zunehmend schwieriger, zwischen wahr und falsch zu unterscheiden. Angreifer nutzen in jüngster Zeit polymorphe Schadsoftware, um immer erfolgreicher beim Umschiffen von Antivirussoftware und Sicherheitskomponenten zu sein. Hierbei handelt es sich um Schadsoftware, die sich ständig verändert und dadurch schwieriger für das eingesetzte Sicherheitssystem erkennbar ist. 

Beispiel

Das nachfolgende Beispiel aus einem Forum, wo Anne Linden (Name geändert), wegen einer empfangenen Phishing-Mail, doch schwer verunsichert war und um Hilfe ersuchte, gibt es hundertfach.  

Anne Linden schrieb: 

„Hilfe, ich habe die Mail einer Online-Bank erhalten, wo es um ein Konto geht, was ich dort eröffnet haben soll. Seltsam ist auch, dass ich über meine Firmen E-Mail-Adresse angeschrieben wurde. Man bat mich sehr dringend auf eine Schaltfläche zu klicken. Ohne meine Reaktion würde es zu einer Untersuchung kommen, die man mir in Rechnung stellen würde. Das blöde ist, ich habe auf die Schaltfläche geklickt und eine Webseite ging auf. Dort wurde mir angezeigt, dass der Zeitraum überschritten sei! Es scheint zum Glück nichts weiter passiert zu sein. Muss ich doch jemandem Bescheid geben? Das ist alles sehr seltsam und weiß gerade nicht weiter!“ 

So viele Fragen, gepaart mit einem Fehlverhalten von Anne Linden, was zeigt wie ein normaler Nutzer ohne helfendes Wissen aus einem IT Sicherheitstraining, schnell überfordert sein kann.  

  • Anne hätte die Mail, nach ihrem ersten Argwohn, näher untersuchen sollen.
  • Die Schaltfläche mit dem Link dahinter, hätte sie dann vielleicht nicht mehr angeklickt! 
  • Mit dem Aufruf der Webseite hat sie sich sehr wahrscheinlich Schadcode auf ihren Laptop installiert. 
  • Je nach Schadcode kann dieser sich ggf. in ihrem Unternehmen weiter ausbreiten. 
  • Ransomware Attacken, die in einer Verschlüsselung der kompletten Firmendaten ihre Vollendung finden könnten, wird so Tür und Tor geöffnet. 
  • Bis zu ihrem Hilferuf in einem Forum, kam sie offenbar nicht auf die Idee Ihre IT-Abteilung zu informieren! 

Hier zeigt sich eine Kette von fatalen Fehlentscheidungen, die sehr einfach verhindert werden könnten.  

Schutzeinrichtungen, die bei optimalem Wirkungsgrad 99,99 Prozent der Bedrohungen erkennen können, reichen als Schutz nicht mehr aus.

Die schiere Anzahl, in Kombination mit sich ständig veränderndem Schadcode führt zum vermeintlichen Erfolg der Cybersecurity Angriffe. Eine kleine Rechnung zur Effektivität von Phishing-Mails: 

Wir nehmen an, es werden 3 Million Phishing Mails an ein Unternehmen verschickt. Bei einer Erkennungsrate der Sicherheitssysteme von 99,9 %, erreichen 300 Phishing Mails die Anwender. Es klicken ca. 10% der Anwender, das wären dann 30 Personen auf Links in diesen Mails und setzen so den Prozess der Infektion, Infiltrierung bzw. dass was auch immer an Schadcode hinter dem Link liegt, in Gang. 

Die Anwender sind wesentlicher Schlüssel für mehr Sicherheit!

Geschulte und damit sensibilisierte Mitarbeiter helfen die letzte Lücke und Einfallstore für Phishing- Angriffe zu schließen. Natürlich wird man nie einen 100% Schutz erreichen, aber ein waches Auge für mögliche Bedrohungen ist wichtig. 

Haben Sie Bedenken, ein Phishing-Mail erhalten zu haben?  

Nutzen Sie unsere einfache und wirksame Checkliste zur Überprüfung, ob es sich um eine Phishing-E-Mail handeln könnte. Trifft bereits eines der folgenden Merkmale zu, ist bereits vorsicht geboten: 

  • Achten Sie auf E-Mails mit gefälschtem Absender 
  • Betreffzeilen ohne Hintergrund, wenn man z.B. keinen PayPal Account besitzt 
  • Weitere Beispiel für mögliche Betreffzeilen, bei denen man aufmerksam sein sollte: 
  • „Ihre Bestellung ist unterwegs“ oder „Ihr Account wird gesperrt“  
  • „Achtung Ihr Konto ist in Gefahr!“ Oder „Ändern Sie umgehend Ihr Passwort! 
  • PayPal: Ihre Daten müssen vervollständigt werden  
  • Sie haben eine neue verschlüsselte Nachricht  
  • FedEx/DHL: Wir haben Sie nicht angetroffen  
  • Rechnung/Mahnung Scan, oder Rechnungsanschrift korrigiert  
  • Ihre Rechnung […] 
  • Sie werden unpersönlich angesprochen.  
  • Ihr Dienstleister kennt Ihren Namen und nutzt diesen auch in Anschreiben. 
  • Man versucht Druck auf Sie auszuüben 
  • In der Mail steht ein schlecht formulierter Text. 
  • Umlaute im Text fehlen bzw. sind durch andere Zeichen ersetzt.  
  • Sie werden dazu aufgefordert, Links und Anhänge der Phishing-Mails zu öffnen. 

Können IT-Sicherheitstrainings helfen? 

Im Fall von Anne Linden, wäre eine Checkliste schon hilfreich gewesen. Mit einem IT-Sicherheitstraining dazu hätte sie die Phishing-Mail sofort gelöscht.  Wir erleben in unseren Sicherheitsschulungen immer wieder Teilnehmer, die große Unsicherheiten zeigen, zu erkennen, ob Mails real oder gefälscht sind. Schulungen sind essenziell und sollten Teil der Sorgfaltspflicht für Datenschutz und IT-Sicherheit in Unternehmen sein. 

Was können wir für Sie tun?

  • IT-Sicherheitsschulungen mit Praxisbeispielen 
  • Für die Anwender der Firmen – Phishing-Power-Training 
  • Analog zu Ihren Anforderungen an Inhalt und Zeitrahmen 
  • Oder, wenn die Zeit knapp ist: kurze intensive IT-Sicherheitsschulungen 
  • Für Firmen – Phishing-Power-Kampagne 
  • Phishing Mals an die Mitarbeiter bzw. Personenkreis über einen Zeitraum 
  • Anschließende Auswertung und Analyse der Phishing-Kampagne 
  • Schulung des betroffenen Personenkreises, basierend auf den Ergebnissen 

Fragen Sie uns. Wir sind helfen Ihnen gerne! 

Bildnachweis für diesen Beitrag © Oulaphone-stock.adobe.com