Zurück
Cybersicherheitstraining & Software für Unternehmen | MetaCompliance

Produkte

Entdecken Sie unser Angebot an personalisierten Sicherheitsschulungen, die Ihr Team gegen moderne Cyberbedrohungen wappnen und schulen sollen. Von der Verwaltung von Richtlinien bis hin zu Phishing-Simulationen - unsere Plattform stattet Ihre Mitarbeiter mit dem Wissen und den Fähigkeiten aus, die zum Schutz Ihres Unternehmens erforderlich sind.

Cyber Security eLearning

eLearning zur Cybersicherheit: Entdecken Sie unsere preisgekrönte eLearning-Bibliothek, die für jede Abteilung maßgeschneidert ist

Automatisierung des Sicherheitsbewusstseins

Planen Sie Ihre jährliche Sensibilisierungskampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie Phishing-Angriffe mit preisgekrönter Phishing-Software auf der Stelle

Richtlinienmanagement

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutz-Management

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Management von Zwischenfällen

Übernehmen Sie die Kontrolle über interne Vorfälle und beheben Sie, was wichtig ist

Zurück
Industrie

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiesektor bis hin zum Gesundheitswesen - erfahren Sie, wie unsere Lösungen in verschiedenen Branchen für Furore sorgen. 


Finanzdienstleistungen

Schaffung einer ersten Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine Go-To Security Awareness Lösung für Regierungen

Unternehmen

Eine Lösung für die Schulung des Sicherheitsbewusstseins für große Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur des Sicherheitsbewusstseins - auch zu Hause

Sektor Bildung

Engagierte Sicherheitsschulung für den Bildungssektor

Beschäftigte im Gesundheitswesen

Siehe unser maßgeschneidertes Sicherheitsbewusstsein für Mitarbeiter im Gesundheitswesen

Technische Industrie

Veränderung der Sicherheitsschulung in der Technologiebranche

NIS2-Konformität

Unterstützen Sie Ihre Nis2-Compliance-Anforderungen mit Initiativen zur Sensibilisierung für Cybersicherheit

Zurück
Ressourcen

Ressourcen

Von Postern und Richtlinien bis hin zu ultimativen Leitfäden und Fallstudien - unsere kostenlosen Informationsmaterialien können dazu beitragen, das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern.

Bewusstsein für Cybersicherheit für Dummies

Eine unverzichtbare Ressource für die Schaffung einer Kultur des Cyber-Bewusstseins

Dummies Leitfaden für Cyber-Sicherheit Elearning

Der ultimative Leitfaden für die Implementierung von effektivem Cyber Security Elearning

Ultimativer Leitfaden für Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Aufklärungsposter

Laden Sie diese kostenlosen Poster herunter, um die Wachsamkeit der Mitarbeiter zu erhöhen

Anti-Phishing-Politik

Schaffung einer sicherheitsbewussten Kultur und Förderung des Bewusstseins für Cybersicherheitsbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cybersicherheit von A-Z

Ein Glossar der wichtigsten Begriffe zur Cybersicherheit

Reifegradmodell für das Verhalten im Bereich Cybersicherheit

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Zeugs

Laden Sie unsere kostenlosen Awareness-Assets herunter, um das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern

Zurück
MetaCompliance | Cybersicherheitstraining & Software für Mitarbeiter

Über

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung auf dem Markt für Cybersicherheit und Compliance und bietet eine innovative Lösung für die Sensibilisierung der Mitarbeiter für die Informationssicherheit und die Automatisierung des Vorfallsmanagements. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cybersicherheit, Datenschutz und Compliance zu erfüllen.

Warum uns wählen

Erfahren Sie, warum Metacompliance der vertrauenswürdige Partner für Security Awareness Training ist

Spezialisten für Mitarbeiterengagement

Wir machen es einfacher, Mitarbeiter einzubinden und eine Kultur des Cyber-Bewusstseins zu schaffen

Automatisierung des Sicherheitsbewusstseins

Einfaches Automatisieren von Sicherheitsschulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

5 gängige Phishing-E-Mails

Phishing-E-Mail

über den Autor

Diesen Beitrag teilen

Phishing in all seinen Formen, von bösartigen E-Mails über SMShing (Text-Phishing) und Social-Post-Phishing bis hin zu Vishing (Telefonanruf-Phishing), gehört heute zum Alltag eines Unternehmens.

Phishing-E-Mails sind jedoch bei weitem die häufigste Form des Phishings.

Laut der Studie "2021 Cybersecurity Threat Trends Report" von Cisco beginnen rund 90 % der Datenschutzverletzungen mit Phishing-E-Mails. Beunruhigenderweise geht der Bericht davon aus, dass in 86 % der Unternehmen mindestens eine Person auf einen Phishing-Link klickt. Aber natürlich genügt ein einziger Klick, um mit Ransomware infiziert zu werden oder sensible Daten preiszugeben usw.

Ein Verständnis der Taktiken, die bei einigen der häufigsten Formen von Phishing-E-Mails angewandt werden, und wie Mitarbeiter sie vermeiden können, trägt zur Verringerung des Cyberrisikos bei. Im Folgenden finden Sie fünf Beispiele für Phishing-E-Mails und wie Sie Ihre Mitarbeiter davon abhalten können, Risiken einzugehen.

Der Betrug mit gefälschten Rechnungen

Eine beliebte Masche von Phishern ist der Betrug mit gefälschten Rechnungen. Die Betrüger verschicken E-Mails mit gefälschten Rechnungen, in der Hoffnung, einen ahnungslosen Mitarbeiter zu überrumpeln. Wenn die gefälschte Rechnung bezahlt oder eine Anfrage an den Betrüger gestellt wird, werden leider wahrscheinlich Geld oder persönliche Daten gestohlen.

Die Art der in den Phishing-E-Mails enthaltenen Rechnungen variiert, aber Beispiele sind die folgenden:

Abrechnung von Sicherheitsprodukten wie Antiviren-Software

  • Überfällige Rechnungen von gefälschten Lieferanten
  • E-Mails zum Ablauf der Domain-Zahlung mit der Warnung, dass Ihre Website und Ihre E-Mails nicht mehr verfügbar sind, wenn Sie nicht handeln 
  • Rechnungen von Fundraisern und Wohltätigkeitsorganisationen, die oft eine Anzeigenschaltung oder einen Artikel in einer Wohltätigkeitszeitschrift anbieten
  • Business Email Compromise (BEC) ist eine sehr ausgeklügelte und gezielte Form des gefälschten Rechnungsbetrugs

Wie man gefälschte Rechnungen vermeidet

Rechnungsbetrügereien können sehr raffiniert sein, wobei die Betrüger es auf bestimmte Personen abgesehen haben, z. B. auf Mitarbeiter in der Kreditorenbuchhaltung oder auf Finanzvorstände. Die E-Mails sehen echt aus und enthalten oft eine dringende Nachricht mit der Aufschrift "Zahlen Sie jetzt oder Sie werden die Konsequenzen tragen".

Nutzen Sie Phishing-Simulationen, die rollenbasiertes Training bieten, um die Arten von Nutzern anzusprechen, die am meisten durch gefälschte Rechnungen gefährdet sind. Mit rollenbasierten Phishing-Simulatoren können Sie Ihre simulierten Phishing-Kampagnen an die realen Herausforderungen anpassen, mit denen bestimmte Abteilungen und Mitarbeiter konfrontiert sind.

Beispiel 1

Gefälschte E-Mails an den technischen Support

Die Schaffung eines Gefühls der Dringlichkeit und der Einhaltung von Vorschriften sind zwei der manipulativen Techniken, die von Betrügern eingesetzt werden, um Mitarbeiter dazu zu bringen, auf bösartige Links zu klicken oder infizierte Anhänge herunterzuladen. Ein Beispiel für diese Verhaltensmanipulationen sind Phishing-E-Mails, die vorgeben, vom technischen Support zu kommen.

Im folgenden Beispiel werden die Mitarbeiter aufgefordert, auf ein neues Webportal umzusteigen, über das sie Zugang zu wichtigen persönlichen und Unternehmensdaten haben - einschließlich ihrer Gehaltsabrechnungen. In der E-Mail werden die Mitarbeiter daran erinnert, dass sie nur 24 Stunden Zeit haben, um dem nachzukommen.

Die E-Mail enthält einen Link zu einer bösartigen Website. Wenn der Mitarbeiter auf diesen Link klickt und zur Website navigiert, wird er aufgefordert, seine bestehenden Anmeldeinformationen und persönlichen Daten einzugeben. Wenn sie dies tun, werden diese Daten gestohlen, und die Betrüger verwenden die Anmeldedaten, um sich bei dem eigentlichen Portal anzumelden.

Wie man gefälschte E-Mails des technischen Supports vermeidet

Alle Mitarbeiter sind durch diese Art von allgemeinen spekulativen Phishing-E-Mails gefährdet. Allgemeine Sicherheitsschulungen sollten dazu dienen, alle Mitarbeiter in allen Abteilungen darüber aufzuklären, wie sie sich online schützen können.

Die Aufklärung darüber, wie Cyberkriminelle das menschliche Verhalten manipulieren, ist entscheidend für die Schulung von Mitarbeitern über die Taktiken, die Betrüger bei der Erstellung von Phishing-E-Mails anwenden. Wirksame Schulungsprogramme für das Sicherheitsbewusstsein setzen auf bedarfsorientiertes Lernen, bei dem Gelegenheiten genutzt werden, um schlechtes Sicherheitsverhalten umzulernen.

Allgemeine Sicherheitsschulungen sollten zusammen mit simulierten Phishing-Übungen durchgeführt werden, die sich speziell mit dieser Art von Phishing-Bedrohung befassen. Dabei handelt es sich um E-Mails, die den Anschein erwecken, als kämen sie von internen Abteilungen, und die Taktiken wie Dringlichkeit und Androhung von Disziplinarmaßnahmen anwenden, wenn nicht darauf reagiert wird. 

Beispiel 2

Steuerbetrug

Steuerbetrügereien häufen sich oft während der Steuersaison, aber sie können jederzeit auftreten. Oft wird in diesen E-Mails eine Steuerrückerstattung angeboten. Die HMRC weist jedoch auf ihrer Website ausdrücklich darauf hin: "Das HMRC versendet niemals Benachrichtigungen über Steuererstattungen oder -rückzahlungen per E-Mail.."

Steuerbetrüger-E-Mails sehen in der Regel realistisch aus und sind oft gut gestaltet. Die Betrüger verwenden das HMRC-Logo und das entsprechende Branding, um die Phishing-E-Mails legitim aussehen zu lassen. In der Regel ist ein Link zur HMRC-Gateway-Anmeldeseite enthalten. Bei der Webseite, zu der der Link führt, handelt es sich um eine gefälschte Website, die dazu dient, Daten zu sammeln und sie an die Betrüger hinter dem Betrug zu senden. Manchmal enthalten diese Websites auch Schadsoftware, so dass jeder, der diese Website aufruft, ein infiziertes Gerät erhalten könnte.

Wie man Steuerbetrug vermeidet

Steuerbetrügereien können ungezielt sein, d. h. sie können an jeden in einem Unternehmen geschickt werden. Die effektivsten Steuerbetrügereien werden jedoch an bestimmte Mitarbeiter in Finanzabteilungen geschickt. Daher ist es zwar wichtig, Steuerbetrügereien in Ihre simulierten Phishing-Übungen für alle einzubeziehen, aber Sie sollten sich auch darauf konzentrieren, alle Mitarbeiter der Finanzabteilung darüber aufzuklären. Im Vorfeld der Steuersaison sollten Sie Ihre Schulungen verdoppeln, um sicherzustellen, dass die Mitarbeiter, insbesondere die der Finanzabteilung, auf den wahrscheinlichen Ansturm dieser Phishing-E-Mails vorbereitet sind.

E-Mail-Konto Problem Phishing-E-Mail

Nehmen wir an, ein Mitarbeiter erhält eine dringend klingende E-Mail, in der er darüber informiert wird, dass sein E-Mail-Konto demnächst gesperrt wird oder dass es dringend aktualisiert werden muss. In diesem Fall fühlen sie sich vielleicht gezwungen, auf den Link zu klicken, um das "Problem" zu beheben. Bei dieser E-Mail könnte es sich jedoch um einen Phishing-Betrug handeln, der zu gestohlenen Anmeldedaten führt.

Das folgende Beispiel für eine Phishing-E-Mail zeigt, wie die Marke Microsoft genutzt wird, um der Behauptung, das E-Mail-Konto des Benutzers sei gefährdet, mehr Gewicht zu verleihen. Der Link in der E-Mail ist bösartig und führt zu einer Website, die wie eine Anmeldeseite für Microsoft Office 365 aussieht.

Microsoft ist häufig unter den fünf am häufigsten gefälschten Marken, die in Phishing-Nachrichten verwendet werden. Laut Cisco sind die fünf meistgefälschten Marken im ersten Quartal 2022 folgende:

  1. LinkedIn (in Verbindung mit 52 % aller Phishing-Angriffe weltweit)
  2. DHL (14%)
  3. Google (7%)
  4. Microsoft (6%)
  5. FedEx (6%)

So vermeiden Sie das Microsoft E-Mail-Problem Phishing-E-Mails

Betrüger nutzen häufig Microsoft und andere bekannte Marken, um Mitarbeitern ein falsches Gefühl der Sicherheit zu vermitteln. Markentreue und Vertrauen werden ausgenutzt, um sicherzustellen, dass die Opfer auf die E-Mail-Nachricht eingehen und auf den bösartigen Link klicken. Durch simulierte Phishing-Übungen können die Mitarbeiter lernen, sich vor Marken-E-Mails in Acht zu nehmen, die Verhaltensmanipulationen wie Dringlichkeit beinhalten.

Beispiel 3

Google Docs-Betrug

Unternehmen nutzen Google Docs regelmäßig, um Dokumente und Ideen zu erfassen und mit Kollegen zusammenzuarbeiten. Im Jahr 2020 hatten über 6 Millionen Unternehmen den Dienst Google GSuite abonniert. Diese vielen Nutzer machen Google zu einem begehrten Angebot für Betrüger.

Wie innovativ Hacker sein können, zeigt ein neuartiger Phishing-Angriff, bei dem GSuite verwendet wird, um ein Ziel zu ködern. Bei diesem Betrug erstellt ein Betrüger ein Google-Dokument und kommentiert es dann mit der @-Notation, um einen bestimmten Nutzer anzusprechen. Dies veranlasst Google, eine Benachrichtigung über den Kommentar an den Posteingang der Zielperson zu senden. Die E-Mail von Google ist zwar echt, enthält aber einen eingebetteten Kommentar. Dieser Kommentar enthält in der Regel bösartige Links, die, wenn sie angeklickt werden, den Mitarbeiter auf eine bösartige Website führen.

Google hat vor kurzem die Kommentare aktualisiert, damit die Nutzer sehen können, wer den Kommentar hinterlassen hat. Allerdings aktualisieren Betrüger ständig ihre Taktiken, und ein neuer GSuite-Betrug könnte bald erscheinen.

Wie man GSuite Comment (und ähnliche) Betrügereien vermeidet

Raffiniert getarnte Phishing-E-Mails können sich an legitime E-Mails und ähnliche Dienste anhängen, wie im Fall des GSuite-Kommentarbetrugs. Diese raffinierten Betrügereien machen es den Mitarbeitern schwer, einen Betrug zu erkennen.

Sicherheitsschulungen sollten die Unternehmensrichtlinien widerspiegeln, einschließlich der Verwendung von Cloud-basierten Dokumentenspeichern und der Frage, wer an Unternehmensdokumenten mitarbeiten darf und wer nicht. Stellen Sie bei der Durchführung von Sicherheitsschulungen sicher, dass Sie über die aktuellsten Informationen zu Betrugsfällen verfügen und dass die Inhalte die neuesten Betrugsversuche widerspiegeln.

Nutzen Sie Security Awareness Training und eine simulierte Phishing-Plattform, die hervorragende Unterstützung bei der Erstellung von Schulungsprogrammen bietet, die rollenbasiert sind und mehrere Sprachen sowie Unterstützung für Barrierefreiheit bieten.

Außerdem muss man sich darüber im Klaren sein, dass Betrüger regelmäßig ihre Taktik ändern, um nicht entdeckt zu werden. Daher ist es wichtig, das ganze Jahr über regelmäßige Schulungen zum Thema Sicherheit durchzuführen.

Risiko von Ransomware

Andere Artikel zu Cyber Security Awareness Training, die Sie interessieren könnten