Es ist ein später Freitagabend im Büro, als in Ihrem Posteingang eine Nachricht vom CEO mit der Überschrift „Dringende Versetzung so schnell wie möglich erforderlich! 

Das ist ein Szenario, mit dem viele Menschen in der modernen digitalen Welt zunehmend vertraut werden. Leider sind die Auswirkungen von Phishing-Angriffen in ganz Großbritannien und weltweit zu spüren.  2016 wurde ein massiver Anstieg von 65% verzeichnet. Viele Unternehmen sehen sich daher mit dem wachsenden Druck konfrontiert, ihre Mitarbeiter angemessen zu schützen und über diese Bedrohungen aufzuklären. Was macht also eine Phishing-E-Mail aus? Nachfolgend finden Sie einige  Tipps aus der Perspektive eines Hackers ‚MataHacky’s Guide‘, wie man den Phish erkennt und zurückbeißt!

#1 Es ist in Ordnung, es zu verallgemeinern… aber wenn Sie ein echter Profi sind, sollten Sie Spear Phish!

Wenn Sie damit beginnen, mehrere Personen auf einmal anzusprechen, ist es in Ordnung, den Namen allgemein zu halten, da wir nur nach einem Interessenten suchen, der anbeißt. Zum Beispiel,  Sehr geehrte Kundin, sehr geehrter Kunde“ reicht als Einleitung aus und wird von ahnungslosen Menschen, die viel unterwegs sind, oft übersehen. Viele von ihnen werden nicht einmal hinterfragen, dass die E-Mail nicht personalisiert ist und dass Sie sie nicht mit ihrem Namen ansprechen. Es ist jedoch wichtig zu wissen, dass mit zunehmender Sensibilisierung mehr und mehr Menschen diese Verallgemeinerung als Bedrohungsdetektor betrachten werden. Dies führt uns zu dem Punkt, an dem das wahre Geld liegt und das Spiel seinen Lauf nimmt.  Speer-Phishing! Im Grunde geht es darum, die Zielperson zu recherchieren, ihren Namen, ihren Arbeitsplatz und sogar den Namen ihres Chefs herauszufinden, um einen überzeugenden personalisierten Phish zu erstellen!

#2 Schaffen Sie ein Gefühl der Dringlichkeit!

Das ist der Schlüssel. Sie müssen dem Publikum Angst einflößen. Andernfalls werden sie die anderen Fehler in Ihrer E-Mail, wie z. B. Rechtschreibfehler, genauer unter die Lupe nehmen und misstrauisch werden. Wie ein Pferd aus der Falle müssen Sie sofort einsteigen. Beginnen Sie mit dem Betreff der E-Mail  Dringend – verdächtige Aktivitäten auf Ihrem X-Konto“ ist in der Regel ein guter Einstieg, um die Aufmerksamkeit des Empfängers zu gewinnen. Wenn Sie diese Dringlichkeit in der gesamten E-Mail beibehalten, haben Sie schon einen Treffer gelandet. Panik ist der Schlüssel zu einem guten Phish. Denken Sie an die wertvollsten Dinge, wie z.B. Details, die finanziellen Schaden anrichten oder den Ruf schädigen könnten, und bringen Sie diese in eine gefährliche Situation.

#3 Achten Sie auf Ihre Rechtschreibung und Grammatik

Wenn Sie die anderen Punkte beachten, die ich aufgelistet habe, können Sie sich zwar den einen oder anderen Rechtschreib- oder Grammatikfehler erlauben… aber Sie müssen die Anzahl der Rechtschreibfehler in Ihrem Text im Auge behalten. Ein oder zwei werden wahrscheinlich unbemerkt bleiben, aber der superscharfe Phish Spotter wird sich nicht täuschen lassen, also versuchen Sie, diese so gut wie möglich aufzufrischen. Schließlich wird kein wirklich professionelles Unternehmen Rechtschreibfehler in den E-Mails haben, die es an seine Kunden verschickt.

Andererseits helfen Ihnen Rechtschreibfehler dabei, die perfekte Trottelliste zu erstellen. Ich meine, wenn sie auf eine Phishing-E-Mail voller Rechtschreibfehler hereinfallen, worauf sollten sie sonst hereinfallen? Sie könnten sogar die Kontaktdaten dieser Trottel an Ihre Hackerfreunde weitergeben, damit diese sie ebenfalls ins Visier nehmen können!

#4 Erstellen Sie eine wirklich überzeugende gefälschte E-Mail Adresse und Links!

Um sicherzustellen, dass diese Dummköpfe den Köder schlucken und auf den von Ihnen bereitgestellten Link klicken, müssen Sie dafür sorgen, dass die E-Mail-Adresse, von der aus Sie arbeiten, echt aussieht. Ein einziger Buchstabe, der von der echten Adresse abweicht, reicht in der Regel aus, um die Leute zum Klicken auf den Link zu verleiten. Auch hier fehlt den Leuten oft die Aufmerksamkeit für Details, so dass viele diese kleinen Fehler übersehen, wenn sie eine E-Mail von ‚[email protected]‘ sehen. Wenden Sie die gleiche Idee auch auf Ihre Links an! Sorgen Sie dafür, dass sie so echt wie möglich aussehen, und es reicht schon, wenn hier und da ein kleines Zeichen fehlt oder hinzugefügt wird. Spoofing ist eine Kunst. Wenn Sie ein Meister sein wollen, sollten Sie üben!

Denken Sie daran, dass 91% der Phishing-Angriffe auf Unternehmen enthalten gefälschte Anzeigenamen, 30% werden geöffnet und 12% der Trottel werden auf den Link oder den Anhang klicken. Ihre Chancen auf schnelles Geld stehen also gut, wenn Sie sich an meine Regeln halten. Viel Glück!

Der durchschnittliche Angestellte ist täglich mit mindestens einer riskanten E-Mail konfrontiert, und es wird prognostiziert, dass E-Mails bis zum Jahr 2020 die Hauptzielmethode für die meisten Angriffe bleiben werden. In den letzten zwei Jahren haben betrügerische Links, die an geschäftliche E-Mail-Konten gesendet wurden, Unternehmen über  zwei Milliarden Dollar mit 30 % der Kunden, die nach einer Sicherheitsverletzung ihr Geschäft woanders hin verlagern.

Können Sie es sich leisten, dass Ihr Unternehmen oder sogar Ihr persönliches Konto durch einen dieser Angriffe geschädigt wird? Wenn die Antwort nein lautet, dann könnte Sie unser eLearning-Kurs Essential Phishing Awareness interessieren, in dem Sie lernen, wie Sie einen Phish richtig erkennen und was zu tun ist, wenn Sie einen Phish entdecken. Dieser Kurs kann auch mit unserer Phishing-Simulationssoftware ‚MetaPhish‘ ergänzt werden, um die Sensibilität Ihrer Mitarbeiter für betrügerische E-Mails zu erhöhen.

Das größte Cyber-Sicherheitsrisiko, mit dem Ihr Unternehmen täglich konfrontiert ist, ist die Selbstzufriedenheit der Mitarbeiter, und jetzt ist der richtige Zeitpunkt, dies zu ändern. Sprechen Sie noch heute mit uns, um mehr darüber zu erfahren, wie Sie Ihr Unternehmen vor einem Phishing-Angriff schützen können.