Phishing Mail: 5 häufige Methoden erkennen und Schutzmaßnahmen treffen

Phishing in all seinen Formen, von bösartigen Nachrichten über Phishing Mail, SMShing (Text-Phishing) und Social-Post-Phishing bis hin zu Vishing (Telefonanruf-Phishing), gehört heute zum Alltag eines Unternehmens.

Phishing-E-Mails sind jedoch bei weitem die häufigste Form des Phishings.

Laut der Studie „2021 Cybersecurity Threat Trends Report“ von Cisco beginnen rund 90 % der Datenschutzverletzungen mit Phishing-E-Mails. Beunruhigenderweise geht der Bericht davon aus, dass in 86 % der Unternehmen mindestens eine Person auf einen Phishing-Link klickt. Aber natürlich genügt ein einziger Klick, um mit Ransomware infiziert zu werden oder sensible Daten preiszugeben usw.

Ein Verständnis der Taktiken, die bei einigen der häufigsten Formen von Phishing-E-Mails angewandt werden, und wie Mitarbeiter sie vermeiden können, trägt zur Verringerung des Cyberrisikos bei. Im Folgenden finden Sie fünf Beispiele für Phishing-E-Mails und wie Sie Ihre Mitarbeiter davon abhalten können, Risiken einzugehen.

Phishing Mail: Der Betrug mit gefälschten Rechnungen

Eine beliebte Masche von Phishern ist der Betrug mit gefälschten Rechnungen. Die Betrüger verschicken E-Mails mit gefälschten Rechnungen, in der Hoffnung, einen ahnungslosen Mitarbeiter zu überrumpeln. Wenn die gefälschte Rechnung bezahlt oder eine Anfrage an den Betrüger gestellt wird, werden leider wahrscheinlich Geld oder persönliche Daten gestohlen.

Die Art der in den Phishing-E-Mails enthaltenen Rechnungen variiert, aber Beispiele sind die folgenden:

Abrechnung von Sicherheitsprodukten wie Antiviren-Software

• Überfällige Rechnungen von gefälschten Lieferanten
• E-Mails zum Ablauf der Domain-Zahlung mit der Warnung, dass Ihre Website und Ihre E-Mails nicht mehr verfügbar sind, wenn Sie nicht handeln 
• Rechnungen von Fundraisern und Wohltätigkeitsorganisationen, die oft eine Anzeigenschaltung oder einen Artikel in einer Wohltätigkeitszeitschrift anbieten
• Business Email Compromise (BEC) ist eine sehr ausgeklügelte und gezielte Form des gefälschten Rechnungsbetrugs

Wie man gefälschte Rechnungen vermeidet

Rechnungsbetrügereien können sehr raffiniert sein, wobei die Betrüger es auf bestimmte Personen abgesehen haben, z. B. auf Mitarbeiter in der Kreditorenbuchhaltung oder auf Finanzvorstände. Die E-Mails sehen echt aus und enthalten oft eine dringende Nachricht mit der Aufschrift „Zahlen Sie jetzt oder Sie werden die Konsequenzen tragen“.

Nutzen Sie Phishing-Simulationen, die rollenbasiertes Training bieten, um die Arten von Nutzern anzusprechen, die am meisten durch gefälschte Rechnungen gefährdet sind. Mit rollenbasierten Cybersecurity Training können Sie Ihre simulierten Phishing-Kampagnen an die realen Herausforderungen anpassen, mit denen bestimmte Abteilungen und Mitarbeiter konfrontiert sind.

Gefälschte E-Mails an den technischen Support

Die Schaffung eines Gefühls der Dringlichkeit und der Einhaltung von Vorschriften sind zwei der manipulativen Techniken, die von Betrügern eingesetzt werden, um Mitarbeiter dazu zu bringen, auf bösartige Links zu klicken oder infizierte Anhänge herunterzuladen. Ein Beispiel für diese Verhaltensmanipulationen sind Phishing-E-Mails, die vorgeben, vom technischen Support zu kommen.

Im folgenden Beispiel werden die Mitarbeiter aufgefordert, auf ein neues Webportal umzusteigen, über das sie Zugang zu wichtigen persönlichen und Unternehmensdaten haben – einschließlich ihrer Gehaltsabrechnungen. In der Phishing Mail werden die Mitarbeiter daran erinnert, dass sie nur 24 Stunden Zeit haben, um dem nachzukommen.

Die E-Mail enthält einen Link zu einer bösartigen Website. Wenn der Mitarbeiter auf diesen Link klickt und zur Website navigiert, wird er aufgefordert, seine bestehenden Anmeldeinformationen und persönlichen Daten einzugeben. Wenn sie dies tun, werden diese Daten gestohlen, und die Betrüger verwenden die Anmeldedaten, um sich bei dem eigentlichen Portal anzumelden.

Wie man gefälschte E-Mails des technischen Supports vermeidet

Alle Mitarbeiter sind durch diese Art von allgemeinen spekulativen Phishing-E-Mails gefährdet. Allgemeine Sicherheitsschulungen sollten dazu dienen, alle Mitarbeiter in allen Abteilungen darüber aufzuklären, wie sie sich online schützen können.

Die Aufklärung darüber, wie Cyberkriminelle das menschliche Verhalten manipulieren, ist entscheidend für die Schulung von Mitarbeitern über die Taktiken, die Betrüger bei der Erstellung von Phishing-E-Mails anwenden. Wirksame Schulungsprogramme für das Sicherheitsbewusstsein setzen auf bedarfsorientiertes Lernen, bei dem Gelegenheiten genutzt werden, um schlechtes Sicherheitsverhalten umzulernen.

Allgemeine Sicherheitsschulungen sollten zusammen mit simulierten Phishing-Übungen durchgeführt werden, die sich speziell mit dieser Art von Phishing-Bedrohung befassen. Dabei handelt es sich um E-Mails, die den Anschein erwecken, als kämen sie von internen Abteilungen, und die Taktiken wie Dringlichkeit und Androhung von Disziplinarmaßnahmen anwenden, wenn nicht darauf reagiert wird. 

Steuerbetrug in einer Phishing Mail

Steuerbetrügereien häufen sich oft während der Steuersaison, aber sie können jederzeit auftreten. Oft wird in diesen E-Mails eine Steuerrückerstattung angeboten. Die HMRC weist jedoch auf ihrer Website ausdrücklich darauf hin: „Das HMRC versendet niemals Benachrichtigungen über Steuererstattungen oder -rückzahlungen per E-Mail..“

Steuerbetrüger-E-Mails sehen in der Regel realistisch aus und sind oft gut gestaltet. Die Betrüger verwenden das HMRC-Logo und das entsprechende Branding, um die Phishing-E-Mails legitim aussehen zu lassen. In der Regel ist ein Link zur HMRC-Gateway-Anmeldeseite enthalten. Bei der Webseite, zu der der Link führt, handelt es sich um eine gefälschte Website, die dazu dient, Daten zu sammeln und sie an die Betrüger hinter dem Betrug zu senden. Manchmal enthalten diese Websites auch Schadsoftware, so dass jeder, der diese Website aufruft, ein infiziertes Gerät erhalten könnte.

Wie man Steuerbetrug vermeidet

Steuerbetrügereien können ungezielt sein, d. h. sie können an jeden in einem Unternehmen geschickt werden. Die effektivsten Steuerbetrügereien werden jedoch an bestimmte Mitarbeiter in Finanzabteilungen geschickt. Daher ist es zwar wichtig, Steuerbetrügereien in Ihre simulierten Phishing-Übungen für alle einzubeziehen, aber Sie sollten sich auch darauf konzentrieren, alle Mitarbeiter der Finanzabteilung darüber aufzuklären. Im Vorfeld der Steuersaison sollten Sie Ihre Schulungen verdoppeln, um sicherzustellen, dass die Mitarbeiter, insbesondere die der Finanzabteilung, auf den wahrscheinlichen Ansturm dieser Phishing-E-Mails vorbereitet sind.

„E-Mail-Konto-Problem“ Phishing Mail

Nehmen wir an, ein Mitarbeiter erhält eine dringend klingende E-Mail, in der er darüber informiert wird, dass sein E-Mail-Konto demnächst gesperrt wird oder dass es dringend aktualisiert werden muss. In diesem Fall fühlen sie sich vielleicht gezwungen, auf den Link zu klicken, um das „Problem“ zu beheben. Bei dieser E-Mail könnte es sich jedoch um einen Phishing-Betrug handeln, der zu gestohlenen Anmeldedaten führt.

Das folgende Beispiel für eine Phishing Mail zeigt, wie die Marke Microsoft genutzt wird, um der Behauptung, das E-Mail-Konto des Benutzers sei gefährdet, mehr Gewicht zu verleihen. Der Link in der E-Mail ist bösartig und führt zu einer Website, die wie eine Anmeldeseite für Microsoft Office 365 aussieht.

Microsoft ist häufig unter den fünf am häufigsten gefälschten Marken, die in Phishing-Nachrichten verwendet werden. Laut Cisco sind die fünf meistgefälschten Marken im ersten Quartal 2022 folgende:

1. LinkedIn (in Verbindung mit 52 % aller Phishing-Angriffe weltweit)
2. DHL (14%)
3. Google (7%)
4. Microsoft (6%)
5. FedEx (6%)

So vermeiden Sie das Microsoft E-Mail-Problem Phishing-E-Mails

Betrüger nutzen häufig Microsoft und andere bekannte Marken, um Mitarbeitern ein falsches Gefühl der Sicherheit zu vermitteln. Markentreue und Vertrauen werden ausgenutzt, um sicherzustellen, dass die Opfer auf die E-Mail-Nachricht eingehen und auf den bösartigen Link klicken. Durch simulierte Phishing-Übungen können die Mitarbeiter lernen, sich vor Marken-E-Mails in Acht zu nehmen, die Verhaltensmanipulationen wie Dringlichkeit beinhalten.

Google Docs-Betrug

Unternehmen nutzen Google Docs regelmäßig, um Dokumente und Ideen zu erfassen und mit Kollegen zusammenzuarbeiten. Im Jahr 2020 hatten über 6 Millionen Unternehmen den Dienst Google GSuite abonniert. Diese vielen Nutzer machen Google zu einem begehrten Angebot für Betrüger.

Wie innovativ Hacker sein können, zeigt ein neuartiger Phishing-Angriff, bei dem GSuite verwendet wird, um ein Ziel zu ködern. Bei diesem Betrug erstellt ein Betrüger ein Google-Dokument und kommentiert es dann mit der @-Notation, um einen bestimmten Nutzer anzusprechen. Dies veranlasst Google, eine Benachrichtigung über den Kommentar an den Posteingang der Zielperson zu senden. Die E-Mail von Google ist zwar echt, enthält aber einen eingebetteten Kommentar. Dieser Kommentar enthält in der Regel bösartige Links, die, wenn sie angeklickt werden, den Mitarbeiter auf eine bösartige Website führen.

Google hat vor kurzem die Kommentare aktualisiert, damit die Nutzer sehen können, wer den Kommentar hinterlassen hat. Allerdings aktualisieren Betrüger ständig ihre Taktiken, und ein neuer GSuite-Betrug könnte bald erscheinen.

Wie man GSuite Comment (und ähnliche) Betrügereien vermeidet

Raffiniert getarnte Phishing-E-Mails können sich an legitime E-Mails und ähnliche Dienste anhängen, wie im Fall des GSuite-Kommentarbetrugs. Diese raffinierten Betrügereien machen es den Mitarbeitern schwer, einen Betrug zu erkennen.

Sicherheitsschulungen sollten die Unternehmensrichtlinien widerspiegeln, einschließlich der Verwendung von Cloud-basierten Dokumentenspeichern und der Frage, wer an Unternehmensdokumenten mitarbeiten darf und wer nicht. Stellen Sie bei der Durchführung von Sicherheitsschulungen sicher, dass Sie über die aktuellsten Informationen zu Betrugsfällen verfügen und dass die Inhalte die neuesten Betrugsversuche widerspiegeln.

Nutzen Sie Security Awareness Training und eine simulierte Phishing-Plattform, die hervorragende Unterstützung bei der Erstellung von Schulungsprogrammen bietet, die rollenbasiert sind und mehrere Sprachen sowie Unterstützung für Barrierefreiheit bieten.

Außerdem muss man sich darüber im Klaren sein, dass Betrüger regelmäßig ihre Taktik ändern, um nicht entdeckt zu werden. Daher ist es wichtig, das ganze Jahr über regelmäßige Schulungen zur Cyber Security Awareness durchzuführen.