Cybersicherheit wird zum neuesten Trend. Wir haben alle von den Sicherheitsverletzungen bei TalkTalk, Dropbox und Yahoo gelesen, und das bedeutet, dass sie in naher Zukunft nur noch zunehmen werden.

Als Menschen sind wir dazu verdrahtet, Fehler zu machen. Daher ist es nur notwendig, dass Sie Ihre Mitarbeiter darüber aufklären, worauf sie achten müssen. Sie können Ihr Unternehmen schützen, indem Sie Ihre Mitarbeiter darauf hinweisen, nicht auf verdächtige E-Mail-Links zu klicken, ihre Passwörter nicht mehr auf ein Post-It zu schreiben oder sich nicht mit öffentlichen Wi-Fi-Netzwerken zu verbinden, wenn sie aus der Ferne arbeiten.

In dieser Blogserie gehen wir zurück zu den Grundlagen. Lassen Sie uns also einen Blick darauf werfen, welche Arten von Phishing-Bedrohungen es gibt. Um sich gegen einen potenziellen Phishing-Angriff zu wappnen, sollten Sie die Vorteile technischer Barrieren nutzen, aber auch das Bewusstsein Ihrer Mitarbeiter schärfen. Die Sensibilisierung Ihrer Mitarbeiter hilft ihnen, die üblichen Taktiken zu erkennen, die von Cyberkriminellen in Phishing-E-Mails verwendet werden.

  • Phishing

Der Spam-Filter Ihres privaten oder geschäftlichen E-Mail-Kontos erkennt in der Regel Junk-E-Mails, aber manchmal schaffen es diese auch in Ihren Posteingang. An dieser Stelle müssen Sie in der Lage sein, eine Phishing-E-Mail zu erkennen. Die Tatsache, dass Ihr Spam-Filter Ihnen von Zeit zu Zeit hilft und Spam-E-Mails aus Ihrem Blickfeld entfernt, ist sowohl eine Hilfe als auch ein Hindernis. Der Filter hilft Ihnen, weil Sie nicht versucht sind, direkt darauf zu klicken (aus den Augen, aus dem Sinn), aber er hindert Sie daran, die Taktiken der Hacker zu erkennen und kann Sie so daran hindern, den Unterschied zwischen einer echten E-Mail und einer Phishing-E-Mail zu bemerken.

Ein Beispiel: Eine Person kontaktiert Sie und behauptet, Sie seien der letzte lebende Nachkomme eines reichen Finanziers und hätten Anspruch auf dessen Vermögen. Der gesunde Menschenverstand sagt Ihnen, dass dies praktisch unmöglich ist. Außerdem würden Sie gerne glauben, dass Sie ein juristisches Dokument erhalten, das eine solche Nachricht bestätigt, und nicht eine E-Mail von einem Hotmail-Konto.

Wenn Sie diese Warnsignale erkennen können, ist das gut. Allgemeine Phishing-E-Mails zielen darauf ab, Sie zu überrumpeln, aber falsche Versprechungen oder mangelnde Grammatik in der E-Mail sollten Sie auf die Gefahren aufmerksam machen. Aber – Cyber-Kriminelle werden immer cleverer.

Ein Ransomware-Test ist eine Lösung, mit der Sie das Verhalten Ihrer Mitarbeiter in Bezug auf Phishing-E-Mails testen können. Eine simulierte Phishing-Softwarelösung kann dem Management Berichte darüber liefern, wie Mitarbeiter auf solche E-Mails reagieren. Aus den Berichten geht hervor, welche Mitarbeiter an einem Phishing-Schulungsmodul teilnehmen müssen.

  • Speer-Phishing

Dies ist eine äußerst raffinierte Methode des Phishings. Cyber-Kriminelle, die Spear-Phishing-E-Mails versenden, haben ihre Hausaufgaben gemacht; sie haben den Inhalt der E-Mail speziell auf Sie zugeschnitten. Um dies zu erreichen, haben sie Sie und Ihre Kollegen in den sozialen Medien beobachtet und nutzen diese Informationen schließlich, um die perfekte E-Mail für Sie zu erstellen, mit der sie Ihr Vertrauen gewinnen wollen.

Die E-Mail, die Sie erhalten, scheint von einer Person oder einem Unternehmen zu stammen. Wenn Sie dann noch die persönlichen Informationen, die sie gesammelt haben, dazugeben, ist das ein Rezept für eine Katastrophe. Im Gegensatz zu einer normalen Phishing-E-Mail ist eine Spear-Phishing-E-Mail persönlich an Sie gerichtet und enthält Informationen, die Sie ansprechen.

Was wäre, wenn Sie eine von Ihrem IT-Support-Team unterzeichnete E-Mail erhalten würden, in der Ihnen mitgeteilt wird, dass Ihr E-Mail-Konto keinen Speicherplatz mehr hat? Diese Art von E-Mail scheint ein wenig plausibler zu sein. E-Mail-Signaturen können offiziell aussehen: Das ist schön und gut, aber einige Dinge, auf die Sie im Text der E-Mail achten sollten, sind Rechtschreibung und Grammatik, an wen die E-Mail adressiert ist (werden Sie mit Ihrem Namen angesprochen oder einfach nur als „Benutzer“ bezeichnet) und alle angegebenen Links.

  • Walfang

Diese Form des Phishing-Angriffs zielt direkt auf leitende Angestellte und das Management ab, aber das Ziel ist immer noch dasselbe: Informationen zu erlangen.

Der Cyberkriminelle tarnt sich als zuverlässige oder vertrauenswürdige Quelle, ähnlich wie beim Spear-Phishing. Ein Whaling-Angriff zielt jedoch darauf ab, leitende Mitarbeiter auszutricksen, da diese eher Zugang zu wichtigen Finanzdaten des Unternehmens haben und möglicherweise sogar in der Lage sind, finanzielle Transaktionen oder Zahlungen zu autorisieren.

Nehmen wir an, Sie sind der Senior Finance Manager und erhalten eine E-Mail von Ihrem Kollegen, in der es um einige Rechnungen geht, die zur sofortigen Zahlung freigegeben werden müssen. Sie haben der E-Mail auch einen Zip-Ordner beigefügt. Sie geraten automatisch in Panik und Ihr Gehirn schaltet auf Hochtouren und denkt : „Habe ich vergessen, diese Rechnungen zu genehmigen? Ich bin mir sicher, dass ich das nicht getan habe – ich habe alle Rechnungen am Montag bearbeitet“. In diesem Fall würden Sie automatisch auf den Zip-Ordner im Anhang klicken und die Rechnungen überprüfen, um Ihrem Gedächtnis auf die Sprünge zu helfen.

An dieser Stelle müssen Sie STOPPEN. Anstatt auf den Anhang zu klicken, überprüfen Sie Ihre eigenen Unterlagen, um festzustellen, ob die Zahlung genehmigt wurde. Sparen Sie sich ein paar zusätzliche Sekunden (und den Ruf Ihres Unternehmens), indem Sie Ihre Unterlagen überprüfen, bevor Sie auf herunterladbare Inhalte aus einer E-Mail zugreifen.

Wenn Sie den besagten Zip-Ordner heruntergeladen haben, enthält er wahrscheinlich eine verdächtige Datei, die gefährliche Malware auf Ihrem Computer oder Laptop ausführt. Dieses Programm könnte sogar auf Ihr Netzwerk zugreifen und potenziell irreparable Schäden verursachen.

Fazit

Ganz einfach: Phishing-Angriffe können ein Unternehmen mit nur einem Mausklick zerstören. Es genügt, dass eine Person auf einen Link klickt oder einen Anhang herunterlädt, und schon sind der Ruf und die Vermögenswerte Ihres Unternehmens in Gefahr. Um die Bedrohung durch Phishing zu bekämpfen, müssen Unternehmen in die Ausbildung ihrer Mitarbeiter investieren, damit diese wissen, worauf sie achten müssen.

Wir von MetaCompliance bieten Phishing-Simulationssoftware und eLearning-Inhalte an, die letztlich die Sensibilität eines Unternehmens für betrügerische E-Mails erhöhen werden.

Wussten Sie, dass es nur eine Minute und zwanzig Sekunden dauert, bis jemand eine Phishing-E-Mail öffnet? Nehmen Sie sich stattdessen diese Zeit, um nachzudenken, bevor Sie klicken.