Phishing-Mails – Das müssen Sie wissen!

Die E-Mail-Nachricht ist nach wie vor das meistgenutzte Kommunikationsmedium im Businessalltag. Auch bei Internetkriminellen bleibt die elektronische Post äußerst beliebt, durch Phishing-Mails persönliche geschäftskritische Daten zu bekommen. In den nachfolgenden Abschnitten erfahren Sie unter anderem, was Phishing-Attacken sind, welche Phishing-Betreffzeilen am meisten auftreten und wie Sie Phishing-Attacken souverän abwehren können.

E-Mails, E-Mails und noch mehr E-Mails: In den meisten Unternehmen kommen heute im Stundentakt neue Geschäftsmails, Newsletter wie auch andere Nachrichten in den E-Mail-Postfächern der Angestellten herein. Doch leider kommen einige der seriös scheinenden elektronischen Briefe von Internetkriminellen, welche mit raffinierten Inhalten hierauf anstreben, geschäftskritische Datensammlungen zu erlangen, Malware zu verbreiten oder Zugangsdaten zu stehlen.

Inzwischen bewegen sich jeden Tag mehr als 3 Milliarden manipulierte E-Mails in aller Herren Länder auf Jagd nach Zugangsdaten, PINs, persönliche Daten, Finanzinformationen sowie Geschäftsgeheimnissen.

Ferner waren 2020 laut Proofpoint drei Viertel aller Unternehmen in Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan von Phishing-Attacken bedroht – und die Tendenz steigt.

Ein falscher Klick genügt!

Phishing-Nachrichten zählen zu den ältesten und populärsten Betrugstricks von Internetkriminellen. Das Perfide an ihnen ist, dass sie allem Anschein nach von namenhaften sowie vertrauenserweckenden Absendern stammen, die zum Teil auf vorgängige Nachrichten-Unterhaltungen Bezug herstellen und seit Neuestem sogar Dokumente aus früheren Unterhaltungen wie Rechnungen oder E-Mailverläufe im Anhang haben. So wird die Gutgläubigkeit, doch auch die Achtlosigkeit der Mitarbeiter gezielt ausgebeutet, um diese zum Klicken auf einen Link, zum Herunterladen eines Dateianhangs, zum Senden vertraulicher Geschäftsdaten oder aber zur Sendung eines Geldbetrags zu animieren.

Hier ist die Innovation von den so bezeichneten Phishern schier unbegrenzt: Ständig warnen das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, sowie die Verbraucherzentralen vor neuen Phishing-Aktionen mit phantasievoll ausgedachten Geschichten. Häufig nutzen die Phisher aktuelle Themenbereiche und Ereignisse, beispielsweise die europäische Datenschutzgrundverordnung oder die Corona-Pandemie zum Anlass, mit dem Ziel ihren arglistigen E-Mail-Nachrichten den Anschein von Glaubhaftigkeit zu geben, wie jene momentan im Umlauf vorhandenen Phishing-Mails vorführen.
Neben Phishing-Mails mit gegenwärtigem Zusammenhang, gibt es aber auch einige Klassiker, die immer zu funktionieren scheinen.

Gemäß KnowBe4 waren im vierten Quartal 2021 die nachfolgenden Phishing-Betreffzeilen in Europa äußerst erfolgreich. Dabei stammen die Resultate einerseits aus simulierten sowie andererseits aus echten Phishing-E-Mails:

• Einladung annehmen – Personalversammlung über Teams
• Mitarbeiterportal – Timecard nicht eingereicht
• Anlage zur Überprüfung
• Sofortige Passwortüberprüfung erforderlich
• [[Firmen_name]] Rechnung
• IT: Cloud-Anmeldung
• Spezielle Projektinformationen
• Sie haben neue Nachrichten
• Teams-Events
• Microsoft: Privat geteiltes Dokument erhalten

Phishing-Mails: Phishing-Maschen im Überblick!

Abhängig von auserkorenem Zielobjekt werden gegenwärtig unterschiedliche Herangehensweisen beim Phishing mittels E-Mails angewandt. Hierfür zählen:

• Spray-and-Pray-Phishing:
  Beim Spray-and-Pray-Phishing werden elektronische Nachrichten mit dem Betreff „dringend“ versendet, um die Mitarbeiter zur Eingabe privater Daten zu animieren. Meist enthalten diese Art von Phishing-Mails Links zu gefälschten Anmeldeseiten, welche oft aber sehr echt aussehen. Sobald ein Mitarbeiter seine Informationen eingibt und absendet, werden jene an einen Remote-Server gesendet, auf dem diese von den Phishern betrachtet werden können
• Spear-Phishing:
  Beim Spear-Phishing werden gezielt Betriebe, Teams oder einzelne Personen mit detaillierten E-Mail-Nachrichten angegriffen. Hierzu werden im Vorfeld gezielt Namen, E-Mail-Adressen und andere individuelle Informationen von Netzwerkseiten wie LinkedIn bzw. gehackten E-Mail-Einträgen gesammelt. Auf dieser Basis werden Spear-Phishing-Mails verschickt, die so wirken, als wären sie von einem Geschäftspartner. Häufig enthalten diese E-Mails falsche Rückfragen oder auch Rechnungen von Partnern. Werden die angehängten Dateien heruntergeladen, wird schädigende Schadsoftware eingebaut, die unter anderem Aktivitäten der Arbeitnehmer ausspioniert oder aber private Daten für weitere Angriffe bündelt.
• CEO-Phishing:
  Beim CEO-Phishing geben sich die Phisher als Geschäftsführer oder auch anderweitige Führungskraft des Betriebs aus. Sie tauschen mehrere Mails mit dem anvisierten Opfer aus, mit dem Ziel eine Vertrauensbasis zu erzeugen. Nach einer gewissen Zeit wird die Zielperson nach privaten Informationen der Mitarbeiter befragt oder drum gebeten, Geld für einen angeblichen neuen Vertrag bzw. einen anderweitigen dringenden Zweck auf ein festgelegtes Bankkonto einzuzahlen.
• Dynamite-Phishing:
  Beim Dynamite-Phishing erstellen Phisher anhand von Malware, etwa Emotet, massenweise Phishing-Mails auf ihren infizierten PCs. Die Malware greift auf die dort gespeicherten E-Mails zu und fertigt äußerst originelle Phishing-Mails im Stil des Absenders. Die Mails werden danach an das gesamte Adressbuch gesendet und die Malware breitet sich auf diese Weise rasant weiter aus.

Aufklärung ist die beste Medizin!

Der beste Weg, um sich vor Phishing-Mails zu schützen, ist außer dem Gebrauch verschiedener, technischer Schutzmaßnahmen wie Antiphishing-Lösungen, Spamfilter sowie E-Mail-Firewalls, genaues Hinschauen sowie gesunde Zweifel im Kontakt mit E-Mails wie auch der Weitergabe von Passwörtern im Netz.

Für Unternehmen rät es sich daher, sowohl ihre Führungskräfte als auch ihre Arbeitnehmer in regelmäßigen Zeitabständen über Phishing-Taktiken aufzuklären und sie mit simulierten Phishing-Trainings das Thema zu sensibilisieren. Bloß so können Phishing-Mails frühzeitig entdeckt und abgewehrt werden.

Lassen Sie sich nicht ködern!

Heutzutage sind weder kleinere noch riesige Betriebe vor Phishing-Angriffen gefeit. Doch meist genügt schon ein aufmerksamer Blick ins E-Mail-Postfach, um Phishing-E-Mails zu entdecken.

Grundsätzlich gilt im Umgang mit nicht bekannten und unerwarteten Mails:

• Klicken Sie niemals auf Links.
• Öffnen Sie keinesfalls Dateianhänge.
• Antworten Sie auf keinen Fall auf solche Mails

Sie sind Endkunde: Haben Sie noch Anliegen zum Thema? Oder suchen Sie nach einer passenden Anti-Phishing-Lösung? Sprechen Sie uns an!

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.