Sie haben Fragen?
Fast täglich werden tausende Postfächer mit neuen Phishing-Kampagnen geflutet. Vorbei ist die Zeit, in der man Phishing-Mails an mangelnder Rechtschreibung erkennen konnte. Stattdessen setzen Angreifer auf immer ausgefeiltere Maschen wie Whaling, Outlook-Harvesting & Co.
Der neueste Trend: Smishing. Dabei kommt die fast schon totgeglaubte SMS für moderne Phishing-Angriffe zum Einsatz – und zwar sehr erfolgreich. Verschickt wird beispielsweise ein vermeintlicher Sendungsverfolgungslink im Namen der Post. Beim Klick auf den Link wird der Download von Schadsoftware gestartet, bspw. Programme, die lokale Daten ausspähen und selbstständig weitere Phishing-Nachrichten vom infizierten Gerät aus an weitere Kontakte versenden.
Emotet war sogar noch fortschrittlicher unterwegs: Die Schadsoftware war bspw. in der Lage, via Outlook-Harvesting authentische Spam-Mails von kompromittierten Rechnern aus an die Kontakte des Opfers zu verschicken. Das Schadprogramm las dabei ganze E-Mail-Verläufe aus und generierte automatisiert Mails, die zu bestehenden Konversationen und Kontexten passten.
Umso schwerer war es für die Empfänger, die Phishing-Mails als solche zu entlarven, schließlich stammen sie von echten, durchaus vertrauten Absendern.
Deutlich mehr Aufwand betreiben die Kriminellen dagegen beim Spear-Phishing. Statt zur Eingabe von Amazon- oder Webmail-Zugangsdaten, über die Milliarden von Menschen weltweit verfügen, verleiten sie bspw. zur Eingabe von Zugangsdaten für das Intranet eines Unternehmens – ein konkreter Bezug, der sich an einen deutlich engeren Empfängerkreis richtet. Die Mail stammt dann etwa angeblich vom IT-Administrator des eigenen Unternehmens.
Zweifel an solch ausgefeilten Phishing-Mails kommen höchstens noch auf, wenn interne Zugangsdaten auf externen Webseiten eingegeben werden sollen. Beim leisesten Verdacht oder Ungereimtheiten empfiehlt es sich bei unerwarteten E-Mails, die Handlungsaufforderungen enthalten, deshalb immer, den Absender via Rückruf an eine in der Datenbank gespeicherte Nummer zu verifizieren.
Wer glaubt, Spear-Phishing sei eher eine Randerscheinung, irrt. Bereits 2019 hat eine Umfrage unter 500 mittelständischen Unternehmen ergeben, dass ein Drittel der Befragten bereits Erfahrungen mit Spear-Phishing-Mails gesammelt hatte. Seither haben die Betrüger neue Methoden entwickelt, bzw. unterschiedliche Angriffstechnologien miteinander kombiniert, wodurch letztlich immer mehr Ziele mit Spear-Phishing-Angriffen ins Visier genommen werden können.
Eine besonders gezielte Form des E-Mail-Betrugs, bei der häufig auch weitere Kommunikationskanäle zum Einsatz kommen, ist der sogenannte CEO Fraud. Hier geben sich die Betrüger als Vorgesetzte aus und verleiten zahlungsberechtigte Mitarbeitende zur Überweisung zum Teil schwindelerregender Summen.
Dabei geben sich die Betrüger mitunter richtig viel Mühe, fälschen Absenderadressen, hacken E-Mail-Accounts oder ganze Netzwerke und verschaffen sich weitreichendes Insiderwissen, um ihr Ziel zu erreichen.
Das wohl bekannteste Beispiel dieser Methode ist das des Automobilzulieferers Leoni. 2016 hatten Betrüger eine Mitarbeiterin dazu gebracht, Geld zu überweisen. Angeblich kam die Anweisung von oberster Stelle. Dazu wurden zahlreiche Dokumente gefälscht und Identitäten fingiert, sodass sich die Mitarbeiterin letztlich zur Überweisung gezwungen sah. Der Schaden: 40 Millionen Euro.
Beim Whaling, der Walfang-Methode, richten sich die Betrüger wiederum gezielt an Führungskräfte wie CEO oder CFO. Sie versuchen, an sensible Geschäfts- und Bankdaten zu gelangen oder geben sich als Kunde aus, um Geld auf falsche Konten überweisen zu lassen. Oft wird hier in einem ersten Telefonat Vertrauen aufgebaut, um dann im zweiten Schritt das Opfer dazu zu bringen, in einer Folgemail – entgegen aller Richtlinien – einen Dateianhang zu öffnen oder einem Link zu folgen. Da auch dieses Phänomen bereits seinen Namen hat, wird klar, dass auch die oberen Geschäftsebenen immer häufiger zum Ziel werden.
Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), hat vergangenen Donnerstag bei der Vorstellung des Lageberichts zur IT-Sicherheit 2021 neben Sicherheitslücken in IT-Systemen und der zunehmenden Vernetzung vor allem die steigende Professionalisierung der Cyberkriminellen als eines der drei großen Problemfelder ausgemacht. Unternehmen stehen dabei vor der Herausforderung, ihre Mitarbeitenden nachhaltig für potenzielle Gefahren aus dem Netz zu sensibilisieren. Dabei sollten sie auch erfahren, woran sie ausgefeilte Attacken erkennen und wie sie im Verdachtsfall richtig reagieren.
Mit dem 8com Awareness-Portal machen Sie sich und Ihre Mitarbeiter fit im Umgang mit betrügerischen E-Mails. Das interaktive Schulungsportal enthält alle wichtigen Themen aus den Bereichen Cyber & Information Security. Hier finden Sie abwechslungsreiche Videos, kompakte E-Learning-Kurse und nützliche Hintergrundinformationen, mit denen Sie und Ihre Mitarbeiter sich selbstständig und bei freier Zeiteinteilung informieren und weiterbilden können. Eine Schulung mit dem 8com Awareness-Portal eignet sich zudem auch als Schulungsnachweis gemäß ISO 27001.
Gerne stellen wir Ihnen einen kostenlosen Testzugang zur Verfügung.
Wer Mitarbeitende Hautnah-Erfahrungen sammeln lassen möchte, ohne dabei Schäden zu provozieren, sollte eine Phishing-Simulation in Erwägung ziehen. Bei unserem Social-E-Mail-Audit versenden wir Phishing-Mails an die Mitarbeitenden Ihres Unternehmens und messen deren Klickverhalten. Anonymisiert und ohne jemanden bloßzustellen wird dabei der vorhandene Sensibilisierungsgrad gemessen und der notwendige Schulungsbedarf offengelegt. Sprechen Sie uns gerne unverbindlich an und erfahren Sie mehr über das Social-E-Mail-Audit.
Bild (c) ivabalk / Pixabay
