Cybersicherheit wird zum neuesten Trend. Wir haben alle von den Sicherheitsverletzungen bei TalkTalk, Dropbox und Yahoo gelesen, und das bedeutet, dass sie in naher Zukunft nur noch zunehmen werden.
Als Menschen sind wir dazu verdrahtet, Fehler zu machen. Deshalb ist es nur notwendig, dass Sie Ihre Mitarbeiter darüber aufklären, worauf sie achten müssen. Sie können Ihr Unternehmen schützen, indem Sie Ihre Mitarbeiter darauf aufmerksam machen, nicht auf verdächtige E-Mail-Links zu klicken, ihre Passwörter nicht mehr auf ein Post-It zu schreiben oder sich nicht mit öffentlichen Wi-Fi-Netzwerken zu verbinden, wenn sie aus der Ferne arbeiten.
In dieser Blogserie gehen wir zurück zu den Grundlagen, also schauen wir uns an, welche Arten von Phishing-Bedrohungen es gibt. Um sich gegen einen potenziellen Phishing-Angriff zu wappnen, sollten Sie die Vorteile technischer Barrieren nutzen, aber auch die Mitarbeiter sensibilisieren. Die Sensibilisierung der Mitarbeiter hilft ihnen, die gängigen Taktiken von Cyberkriminellen in Phishing-E-Mails zu erkennen.
- Phishing
Der Spam-Filter Ihres privaten oder beruflichen E-Mail-Kontos erkennt in der Regel Junk-E-Mails, aber manchmal können sie auch in Ihren Posteingang gelangen. In diesem Fall müssen Sie in der Lage sein, eine Phishing-E-Mail zu erkennen. Die Tatsache, dass Ihr Spam-Filter Ihnen von Zeit zu Zeit hilft und Spam-E-Mails aus Ihrem Blickfeld entfernt, ist sowohl eine Hilfe als auch ein Hindernis. Der Filter hilft Ihnen, weil Sie nicht versucht sind, direkt darauf zu klicken (aus den Augen, aus dem Sinn), aber er hindert Sie daran, die Taktiken der Hacker zu erkennen, und kann Sie so daran hindern, den Unterschied zwischen einer echten E-Mail und einer Phishing-E-Mail zu erkennen.
Ein Beispiel: Eine Person kontaktiert Sie und behauptet, Sie seien der letzte lebende Nachkomme eines reichen Finanziers und hätten Anspruch auf dessen Vermögen. Der gesunde Menschenverstand sagt Ihnen, dass dies praktisch unmöglich ist. Außerdem würden Sie gerne glauben, dass Sie ein rechtsgültiges Dokument erhalten, das eine solche Nachricht bestätigt, und nicht eine E-Mail von einem Hotmail-Konto.
Wenn Sie diese Warnsignale erkennen können, ist das gut. Allgemeine Phishing-E-Mails zielen darauf ab, Sie zu überrumpeln, aber falsche Versprechungen oder mangelnde Grammatik in der E-Mail sollten Sie auf die Gefahren aufmerksam machen. Aber - die Cyberkriminellen werden immer cleverer.
Ein Ransomware-Test ist eine Lösung, mit der Sie das Verhalten Ihrer Mitarbeiter in Bezug auf Phishing-E-Mails testen können. Eine simulierte Phishing-Softwarelösung kann dem Management Berichte darüber liefern, wie Mitarbeiter auf solche E-Mails reagieren. Aus den Berichten geht hervor, welche Mitarbeiter an einem Phishing-Schulungsmodul teilnehmen müssen.
- Speer-Phishing
Dies ist eine äußerst raffinierte Methode des Phishings. Cyber-Kriminelle, die Spear-Phishing-E-Mails versenden, haben ihre Hausaufgaben gemacht; sie haben den Inhalt der E-Mail speziell auf Sie zugeschnitten. Um dies zu erreichen, haben sie Sie und Ihre Kollegen in den sozialen Medien beobachtet und nutzen diese Informationen, um die perfekte E-Mail für Sie zu erstellen, mit der sie Ihr Vertrauen gewinnen wollen.
Die E-Mail, die Sie erhalten, scheint von einer Person oder einem Unternehmen zu stammen. Wenn Sie dann noch die persönlichen Informationen, die sie gesammelt haben, dazugeben, ist das ein Rezept für eine Katastrophe. Im Vergleich zu einer normalen Phishing-E-Mail ist eine Spear-Phishing-E-Mail persönlich an Sie gerichtet und enthält Informationen, die Sie ansprechen.
Was wäre, wenn Sie eine von Ihrem IT-Support-Team unterzeichnete E-Mail erhielten, in der Ihnen mitgeteilt wird, dass der Speicherplatz in Ihrem E-Mail-Konto knapp wird? Diese Art von E-Mail scheint ein wenig plausibler zu sein. E-Mail-Signaturen können offiziell aussehen: Das ist schön und gut, aber einige Dinge, auf die Sie im Text der E-Mail achten sollten, sind Rechtschreibung und Grammatik, an wen die E-Mail adressiert ist (werden Sie namentlich genannt oder einfach "Benutzer"?) und alle angegebenen Links.
- Walfang
Diese Form des Phishing-Angriffs zielt direkt auf leitende Mitarbeiter und Führungskräfte ab, aber das Ziel ist immer noch dasselbe: Informationen zu erlangen.
Der Cyberkriminelle gibt sich als zuverlässige oder vertrauenswürdige Quelle aus, ähnlich wie beim Spear-Phishing. Ein Whaling-Angriff zielt jedoch darauf ab, leitende Mitarbeiter auszutricksen, da diese eher Zugang zu wichtigen Finanzdaten des Unternehmens haben und möglicherweise sogar in der Lage sind, finanzielle Transaktionen oder Zahlungen zu genehmigen.
Nehmen wir an, Sie sind der Senior Finance Manager und erhalten eine E-Mail von Ihrem Kollegen, in der es um einige Rechnungen geht, die zur sofortigen Zahlung freigegeben werden müssen. Der E-Mail ist auch ein Zip-Ordner beigefügt. Sie geraten automatisch in Panik und Ihr Gehirn schaltet auf Hochtouren und denkt : "Habe ich vergessen, diese Rechnungen zu genehmigen? Ich bin mir sicher, dass ich das nicht getan habe - ich habe alle Rechnungen am Montag bearbeitet. In diesem Fall würden Sie automatisch auf den Zip-Ordner im Anhang klicken und die Rechnungen überprüfen, um Ihrem Gedächtnis auf die Sprünge zu helfen.
An dieser Stelle müssen Sie STOPPEN. Anstatt auf den Anhang zu klicken, sollten Sie in Ihren eigenen Unterlagen nachsehen, ob die Zahlung genehmigt wurde. Sparen Sie sich ein paar zusätzliche Sekunden (und den Ruf Ihres Unternehmens), indem Sie Ihre Unterlagen überprüfen, bevor Sie auf herunterladbare Inhalte aus einer E-Mail zugreifen.
Wenn Sie den besagten Zip-Ordner heruntergeladen haben, enthält er wahrscheinlich eine verdächtige Datei, die gefährliche Malware auf Ihrem Computer oder Laptop ausführt. Dieses Programm könnte sogar auf Ihr Netzwerk zugreifen und potenziell irreparable Schäden verursachen.
Schlussfolgerung
Ganz einfach: Phishing-Angriffe können ein Unternehmen mit nur einem Mausklick zerstören. Es genügt, dass eine Person auf einen Link klickt oder einen Anhang herunterlädt, und schon sind der Ruf und die Vermögenswerte Ihres Unternehmens in Gefahr. Um die Bedrohung durch Phishing zu bekämpfen, müssen die Unternehmen in die Schulung ihrer Mitarbeiter investieren, damit diese wissen, worauf sie achten müssen.
Wir von MetaCompliance bieten Phishing-Simulationssoftware und eLearning-Inhalte an, die letztlich die Sensibilität eines Unternehmens für betrügerische E-Mails erhöhen.
Wussten Sie, dass es nur eine Minute und zwanzig Sekunden dauert, bis jemand eine Phishing-E-Mail öffnet? Nehmen Sie sich stattdessen die Zeit, um nachzudenken, bevor Sie klicken.
