Die 5 roten Flaggen des Phishings

Phishing gibt es schon fast so lange wie die E-Mail selbst. Der erste phishing Angriff wird gemeinhin auf Mitte der 90er Jahre zurückgeführt, als sich Angreifer als AOL-Mitarbeiter ausgaben, um Benutzer zur Preisgabe ihrer Passwörter zu verleiten. Bald darauf kamen E-Mails von wohlhabenden Prinzen, in denen sie um Kontodaten baten. Inzwischen hat sich Phishing zu einem weitaus raffinierteren und weit verbreiteten Problem entwickelt und steht im Internet Crime Report 2022 des FBI an erster Stelle der Beschwerden.[1] Und die Bedrohung wird wahrscheinlich noch zunehmen, da die Angreifer durch Innovationen wie Chatbots mit künstlicher Intelligenz (AI chatbots) Phishing-Angriffe schneller und einfacher durchführen können - und schwieriger zu erkennen sind.

Mitarbeiter werden ständig mit Phishing-E-Mails konfrontiert, die bösartige Links oder Anhänge enthalten, die darauf abzielen, Malware zu verbreiten, Netzwerkzugangsdaten zu stehlen oder auf andere Weise das Geschäft des Unternehmens zu schädigen. Sie werden auch von raffinierteren Phishing-Angriffen bedrängt, die als Business Email Compromise (BEC) bekannt sind und bei denen Führungskräfte und Marken gefälscht werden, um Geld, sensible Geschäftsinformationen und andere Wertgegenstände zu erlangen.

Tatsächlich geben 97 % der Unternehmen, die für Mimecasts State of Email Security 2023 (SOES 2023) befragt wurden, an, dass sie mit E-Mail-basierten Cyberangriffen konfrontiert sind, und drei von vier haben im letzten Jahr eine Zunahme solcher Bedrohungen festgestellt. Um diese Bedrohungen abzuwehren, müssen die Sicherheitsteams ihre Mitarbeiter über aktuelle Trends und bewährte Praktiken auf dem Laufenden halten und wachsam sein. Andernfalls riskieren die Unternehmen Datenschutzverletzungen, Ausfallzeiten und die damit verbundenen Verluste.

Nahezu alle (99 %) der im Rahmen von SOES 2023 befragten Unternehmen geben an, dass sie ihren Mitarbeitern irgendeine Form von Cyber-Sensibilisierungstraining anbieten. Wenn diese Schulungen jedoch veraltet oder unzureichend sind, können Unternehmen unvorhergesehene Schwachstellen haben, die nur darauf warten, von den neuesten E-Mail-Methoden ausgenutzt zu werden. Sicherheitsteams müssen alle ihnen zur Verfügung stehenden Mittel nutzen, von interaktiven Videos über Phishing-Simulationen bis hin zu einfachen Anleitungen. Nachfolgend finden Sie einen Leitfaden für Sicherheitsteams, den sie an ihre Mitarbeiter weitergeben können, um sie über Warnhinweise in E-Mails zu informieren. 

Erkennen Sie die roten Flaggen des Phishings 

Schulungsprogramme für das Bewusstsein für Cybersicherheit müssen vielbeschäftigten Mitarbeitern beibringen, reflexartig rote Flaggen in E-Mails zu erkennen. BEC-Angriffe können an die jeweiligen Ziele angepasst werden, so dass es für Unternehmen von entscheidender Bedeutung ist, ihre Schulungen auf die spezifischen Bedrohungen, denen sie ausgesetzt sind, abzustimmen. Dennoch können einige allgemeingültige Regeln dazu beitragen, geschäftliche E-Mail-Nutzer und die Daten ihrer Unternehmen zu schützen. Hier sind fünf Lektionen für Arbeitnehmer.

1. Sorgfältig den Inhalt lesen

Es wird erwartet, dass Phishing-Angriffe durch den Einsatz von Innovationen wie künstlicher Intelligenz und maschinellem Lernen (KI/ML) schwieriger zu erkennen sein werden, wenn man nur den Inhalt einer E-Mail betrachtet. Achten Sie auf Tipp- und Rechtschreibfehler, insbesondere bei offiziellen Titeln oder Abteilungen, da diese Fehler auf eine mangelnde Vertrautheit mit der Zielorganisation hindeuten können. Achten Sie außerdem auf einen uneinheitlichen Ton in der E-Mail. Unzusammenhängende Abschnitte können auf eine Fälschung hindeuten, die durch Anpassung nur des oberen Teils einer Vorlage aus einem Phishing-as-a-Service-Toolkit aus dem Dark Web erstellt wurde. E-Mails, die nur generische Nachrichten verwenden oder sich wiederholende Formulierungen enthalten, können auch von einer Vorlage oder einem KI-Chatbot stammen, insbesondere wenn sie keine unternehmensspezifischen Details enthalten.

Generell gilt: Achten Sie auf alles, was ungewöhnlich ist. Wenn z. B. ein Kontakt von einer Bank die Benutzer normalerweise über eine neue sichere Nachricht informiert, ohne private Informationen anzugeben, kann eine E-Mail, die Kontonummern oder Kontostände enthält, betrügerisch sein. Selbst so etwas Einfaches wie eine Einladung zu einem virtuellen Treffen kann böswillig sein, also prüfen Sie die Einzelheiten, bevor Sie auf Links klicken. Ist das wöchentliche Treffen zur üblichen Zeit angesetzt? Wird für die Einladung die übliche Plattform für die Zusammenarbeit verwendet? Bei Abweichungen von der E-Mail-Norm lohnt es sich, mit dem Absender Kontakt aufzunehmen - persönlich oder telefonisch, nicht durch eine Antwort auf die verdächtige E-Mail. 

2. Tauchen Sie in die Details ein

Kleine, wichtige Details in einer Standard-E-Mail können von Cyber-Kriminellen übersehen werden, z. B. die Formulierung des Betreffs, Logo-Anhänge oder Signaturen. Wenn eine firmeninterne E-Mail normalerweise mit einer Signatur endet, die Angaben wie eine Telefonnummer oder einen Titel enthält, achten Sie auf Unstimmigkeiten, bevor Sie auf Links klicken oder Anhänge öffnen. Die Empfänger sollten überprüfen, ob die E-Mail auch an unbekannte oder nicht verwandte Personen oder an Konten außerhalb des Netzes gesendet wurde. Wenn die E-Mail eine Telefonnummer oder Adresse enthält, die nicht mit den üblichen Kontaktinformationen des Absenders übereinstimmt, könnte dies ein Zeichen für einen Betrüger sein. Doch selbst wenn die Kontaktinformationen übereinstimmen, bedeutet das nicht automatisch, dass die E-Mail legitim ist. Moderne Angreifer können fast jedes Konto fälschen - einschließlich SMS und Sprachanrufe -, so dass mehrere Methoden, insbesondere der direkte Kontakt, nützlich sein können, um den ursprünglichen Absender zu bestätigen.

3. Achten Sie auf verdächtige Links und Anhänge

Jeder Link oder Anhang sollte vor dem Öffnen überprüft werden, da schon ein einziger Klick einen Computer oder ein Netzwerk gefährden kann. URLs können einen Benutzer woanders hinführen oder eine leicht abweichende Schreibweise haben, selbst wenn die Seite eine fast perfekte Kopie einer Standard-Anmeldeseite ist. Das Überfahren von Links oder das Kopieren und Einfügen von URLs kann einige Gefahren vermeiden, aber im Allgemeinen ist es sicherer, die Website - wenn Sie wissen, dass es sich um eine vertrauenswürdige Website handelt - in einem Browser aufzurufen und sich separat von der E-Mail anzumelden, anstatt auf einen verdächtigen Link zu klicken. Laden Sie auch keine Anhänge herunter, ohne sie vorher zu prüfen. So kann es sich bei einem als PDF betitelten Anhang in Wirklichkeit um eine Programmdatei handeln, die beim Öffnen Malware installiert. Wenn ein Anhang etwas Ungewöhnliches aufweist, z. B. mit einer unerwarteten Erweiterung wie .exe oder .zip endet, Beim Öffnen des Anhangs können Bedrohungen wie Malware oder Makros heruntergeladen werden, die den Computer des Benutzers übernehmen und zur Verbreitung bösartiger Cyberangriffe nutzen können. Um einen Ransomware-Angriff zu verhindern, reicht es manchmal aus, den Absender der E-Mail anzurufen und sich vor dem Öffnen des Anhangs zu vergewissern, dass er ihn wirklich gesendet hat. 

Einige Cybersicherheitssysteme filtern oder blockieren die meisten verdächtigen E-Mails und können das Risiko bösartiger Links durch Techniken wie URL-Scanning verringern. 80 % der im Rahmen von SOES 2023 befragten Unternehmen berichten von Angriffen, die sich von einem Benutzer auf andere Mitarbeiter ausbreiten, und jede blockierte E-Mail kann einem Unternehmen große Kopfschmerzen ersparen. Und mit der Verbesserung von KI und maschinellen Lernmodellen werden diese Systeme wahrscheinlich noch effektiver werden.

4. Über das Timing nachdenken

E-Mails, die nach den üblichen Geschäftszeiten eingehen, können auf eine erhöhte Wahrscheinlichkeit von Betrug hindeuten, z. B. eine E-Mail von einem Vorgesetzten, die um 3 Uhr nachts gesendet wird. Für Unternehmen mit einer gemischten/entfernten Belegschaft oder mit internationalen Niederlassungen ist es vielleicht alltäglicher, E-Mails über Nacht zu erhalten, aber es lohnt sich, die Zeitzone des Absenders zu überprüfen oder nach anderen Warnsignalen Ausschau zu halten, bevor man einer Anfrage nachkommt. Überprüfen Sie auch, ob der Zeitpunkt der E-Mail im Verhältnis zu ihrem Inhalt angemessen ist. Wenn E-Mails zur Gehaltsabrechnung beispielsweise immer am Freitagnachmittag verschickt werden, könnte eine Anfrage zur Gehaltsabrechnung am Mittwochmorgen ein rotes Tuch sein. Oder ein externes Beispiel: Der Erhalt einer Lieferantenquittung Monate nach der Auslieferung einer Bestellung könnte auf eine Lücke im Cybersicherheitssystem des Verkäufers hindeuten, die versucht, auf die Kunden überzugreifen.

Ein weiteres gängiges Timing-Thema in betrügerischen E-Mails ist die erzwungene Dringlichkeit, z. B. die Aufforderung zu einer sofortigen Antwort, bevor der Benutzer die Möglichkeit hat, darüber nachzudenken, was er tut. Phishing-E-Mails enthalten oft Betreffzeilen wie "dringender Handlungsbedarf" oder drohen mit "Kontokündigung", wenn der Empfänger nicht sofort persönliche Daten wie Kontonummer oder Zugangsdaten angibt. Eine solche Dringlichkeit sollte fast immer als rotes Tuch betrachtet werden, und die Nutzer sollten vorsichtig sein, bevor sie auf Links klicken oder Authentifizierungsdaten eingeben. 

5. Vertrauen Sie auf Ihre Instinkte

Eine der wichtigsten Fähigkeiten, die ein E-Mail-Nutzer erlernen kann, ist eine einfache: Wenn etwas nicht stimmt, sollte er seinem Instinkt vertrauen. Wenn eine E-Mail seltsam aussieht, sollten Sie auf Nummer sicher gehen und nach weiteren Warnsignalen suchen, das IT-Team kontaktieren, den Absender extern bestätigen lassen, bevor Sie fortfahren - oder alles zusammen. Viele Unternehmen haben Verfahren zur Meldung verdächtiger E-Mails eingerichtet. Diese Verfahren sind häufig auf die spezifischen Bedrohungen zugeschnitten, denen ein Unternehmen ausgesetzt ist, und können im Kampf gegen die Cyberkriminalität wirksamer sein als allgemeine Vorschriften. Darüber hinaus können IT-Teams markierte E-Mails nutzen, um mehr über potenzielle Angriffe zu erfahren und in Zukunft effektivere Verfahren und Schulungsprogramme für die Cybersicherheit zu erstellen.

Rote Flaggen bei Phishing-E-Mails - Die Quintessenz

E-Mail ist eine der größten Schwachstellen für die Cybersicherheit in Unternehmen, und Phishing ist nach wie vor die häufigste Cyberkriminalität, die dem FBI gemeldet wird. Sicherheitsteams können ihre Mitarbeiter jedoch proaktiv darin schulen, rote Flaggen zu erkennen und das Risiko einer Kompromittierung von Geschäfts-E-Mails zu minimieren. Durch sorgfältiges Lesen von E-Mails, Vorsicht bei Links oder Anhängen und Überprüfung von Details wie Zeitplan und Standardverfahren können Mitarbeiter vermeiden, auf gängige Phishing-E-Mail-Betrügereien hereinzufallen und wachsam bleiben, um die Daten ihres Unternehmens zu schützen und zu sichern. Erfahren Sie mehr über Mimecasts Cybersecurity Awareness Training.

[1] "Internet Crime Report 2022," FBI