Phishing gibt es schon seit es E-Mails gibt. Es ist eine allgegenwärtige Cyberbedrohung und eine der Gefährlichsten. Es wird geschätzt, dass jede 99. E-Mail ein Phishing-Angriff ist, und dass 30% der Phishing-E-Mails es schaffen, Standardschutzmaßnahmen zu umgehen. Darüber hinaus kommen über 92% der Malware auf der Welt per E-Mail an.

Neben Malware können Phishing-E-Mails auch der Weg in Betrügereien sein, wie dem BEC-Business Email Compromise – eine Angriffsart, die nach Angaben des Financial Crimes Enforcement Network (FinCEN) jeden Monat 301 Millionen Dollar generiert. Im vergangenen Jahr wurde das Thema „Rechnung“ in 60% der effektivsten Phishing-Kampagnen verwendet. Im Jahr 2019 scheint jedoch eine andere Taktik effektiver zu sein.

Cybersecurity als Anreiz

KnowBe4, ein Unternehmen spezialisiert auf Security Awareness Training, hat eine Studie durchgeführt, um die effektivsten Phishing-E-Mail-Themen zu ermitteln. Die erfolgreichsten Themen waren diejenigen, die mit Cybersecurity zu tun hatten oder die die Opfer glauben ließen, sie hätten eine Datenpanne erlitten.

Für die Studie versandte das Unternehmen Tausende von simulierten Phishing-E-Mails mit verschiedenen Betreffzeilen und beobachtete, auf welche von ihnen geklickt wurde. Sie beobachteten auch den Betreff echter Phishing-Mails, die Benutzer an ihre IT-Abteilungen gemeldet hatten.

Die Ergebnisse waren aufschlussreich. Am erfolgreichsten waren Phishing-E-Mails mit dem Betreff „Password Check Required Immediately“: 43% der Nutzer sind in diese Falle geraten. Ironischerweise zeigt der Erfolg dieses Themas, dass die Bemühungen zur Sensibilisierung der Benutzer für Cybersicherheit bis zu einem gewissen Grad voranschreiten – die Benutzer beginnen zu verstehen, wie wichtig der Schutz ihrer Passwörter ist.

Andere Themen, die es schafften, die Empfänger zum Öffnen von E-Mails zu bewegen, waren „Ein Zustellversuch wurde unternommen“ und „Deaktivierung von [[E-Mail]] in Bearbeitung“, was 9% der Benutzer täuschte.

Eine weitere Taktik ist die Verwendung von Themen im Zusammenhang mit der Unternehmensrichtlinie: „Neue organisatorische Veränderungen“, „Aktualisierte Sozialleistungen“, „Mitarbeitergespräch 2018“ und „Überarbeitete Urlaubs- und Krankheitszeitenpolitik“ gehörten zu den Betreffen, die am häufigsten geöffnet wurden.

Stu Sjouwerman, CEO von KnowBe4, sagt: „Da die Bedrohungen der Cybersecurity fortbestehen, werden immer mehr End User sicherheitsbewusst. „Sie haben ein persönliches Interesse daran, ihr Online-Leben zu schützen, so dass eine Nachricht, die im Zusammenhang mit ihrem Passwort dringend klingt, jemanden zum Klicken verleiten kann.  Die Bösewichte sind immer auf der Suche nach cleveren Wegen, um End User zu täuschen, also müssen Benutzer wachsam bleiben.“

Verteidigen Sie sich gegen Phishing

Angesichts der Menge an E-Mails, die Benutzer täglich erhalten, sowohl legitime als auch Phishing-Versuche, ist der Schutz vor solchen Bedrohungen ein Muss. Das Wichtigste ist, die Mitarbeiter so sensibel wie möglich auf die Gefahren dieser Art von Angriffen hinzuweisen und gefälschte Nachrichten zu erkennen. Viele von ihnen enthalten die Namen von echten Unternehmen, die Anbieter für das Unternehmen sein könnten, oder sogar das Branding des Unternehmens anpassen. Sie enthalten aber in der Regel auch einige verdächtige Elemente:

  • Ein vom Absender verwendeter Domainname, der nicht vollständig mit der Domain des Unternehmens übereinstimmt, das die Rechnung sendet.
  • Eine andere Sprache als die, die normalerweise von dem Unternehmen zur Kommunikation mit den Anbietern verwendet wird.
  • Schwere Rechtschreib- oder Grammatikfehler.

Neben der Vorsicht bei möglichen Phishing-E-Mails ist es wichtig, einen erweiterten Schutz zu haben, um Bedrohungen zu blockieren, die in den Posteingangsfächern der Mitarbeiter landen.

Phishing ist eine der traditionellen Cyberbedrohungen, die immer noch wächst – und es ist sehr wahrscheinlich, dass sie jedes Jahr weiterwachsen wird. Außerdem ist es der Einstiegspunkt für eine Litanei von Cyberangriffen und Malware. Schützen Sie Ihre Systeme mit Panda Security.