Bis Ende 2021 stieg die Zahl der Ransomware-Angriffe auf einen Versuch alle 11 Sekunden an. Auch die Zahl der Datenschutzverletzungen ist weiterhin rasant: In der ersten Hälfte des Jahres 2021 wurden fast 19 Milliarden Datensätze verletzt .
Viele dieser Angriffe nutzen Phishing oder gefälschte Daten an irgendeinem Punkt des Angriffs, und Statistiken belegen dies: Phishing ist der Angriffsvektor Nummer eins, dessen Volumen bis 2021 um 161 % zunehmen wird.
Warum Phishing Ihrer Benutzer?
Phishing macht sich die menschliche Fehlbarkeit und das menschliche Verhalten zunutze, was diese Taktik heimtückisch und schwer zu bekämpfen macht. Untersuchungen haben ergeben, dass 96 % der Datenschutzverletzungen mit einer Phishing-E-Mail beginnen. Eine Phishing-E-Mail ist weniger wie eine Bombe, die hochgeht, sondern eher wie eine langsam brennende Lunte. Phishing führt zu gestohlenen Anmeldedaten, Malware-Infektionen und kann Ihr Netzwerk über viele Monate hinweg anfällig für langsamen Datendiebstahl und IT-Schäden machen.
Einem Bericht zufolge wurden 74 % der Phishing-E-Mails dazu verwendet, die Anmeldedaten zu stehlen, mit denen sich Ihre Mitarbeiter bei Ihren Unternehmensanwendungen anmelden.
Phishing funktioniert, weil es Menschen dazu verleitet, Dinge zu tun, die dem Cyberkriminellen, der die bösartige E-Mail versendet hat, zum Vorteil gereichen. So werden beim E-Mail-Phishing in der Regel Tricks angewandt, die dem Empfänger das Gefühl vermitteln, dass er Ärger am Arbeitsplatz bekommen könnte, wenn er nicht auf einen Link klickt. Bedingungen, die Angst, Ungewissheit und Zweifel hervorrufen, sowie Dringlichkeit und andere psychologische Tricks machen Phishing zur beliebtesten Methode, um einen Cyberangriff zu starten.
Die Mitarbeiter müssen diese raffinierten Phishing-Tricks kennen, damit sie dem Drang widerstehen können, auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen.
Um zu verhindern, dass Ihr Unternehmen zu einer Nummer in einer Reihe von Phishing-Statistiken wird, können Sie eine Phishing-Simulationsplattform verwenden, um Ihre Benutzer zu phishen. Einen detaillierteren Einblick in die Funktionsweise von Phishing und eine Hilfestellung für den Einstieg finden Sie im MetaCompliance Ultimate Guide to Phishing.
Was ist eine Phishing-Simulation?
Phishing-Simulationen sind Cloud-basierte Dienste, die simulierte Phishing-E-Mails generieren. Diese E-Mails spiegeln aktuelle und neue Phishing-Bedrohungen wider. Die simulierten Phishing-E-Mails werden im Rahmen einer von einem Unternehmen organisierten Kampagne an Empfänger im gesamten Unternehmen verschickt, häufig mit Unterstützung einer erfahrenen Organisation, die sich mit dem Thema Sicherheit befasst.
Anhand der simulierten Phishing-E-Mails können die Mitarbeiter dann lernen, wie sie Phishing-Taktiken erkennen können.
Wie funktioniert die Phishing-Simulation?
Phishing-Simulationstools sind Teil einer umfassenderen Sicherheitskampagne. Sie fügen sich nahtlos in eine organisierte Strategie der Aufklärung und Sensibilisierung ein, die harmonisch zur Verbesserung der E-Mail-Sicherheit und zur Verringerung von Cyberangriffen auf ein Unternehmen beiträgt.
Phishing-Simulationstools wie MetaPhish sind Cloud-basiert und können zentral über eine Verwaltungs- und Berichterstattungskonsole konfiguriert und verwaltet werden. Die Phishing-Simulation beginnt mit der Konfiguration gebrauchsfertiger Vorlagen, die einen bekannten oder neuen Phishing-Angriff widerspiegeln.
Die Vorlagen sind so gestaltet, dass sie bekannte Marken enthalten, die häufig in echten Phishing-Kampagnen verwendet werden. Zum Beispiel sind Marken wie Microsoft regelmäßig die am häufigsten verwendeten gefälschten Marken in Phishing-Kampagnen.
Eine Phishing-Simulationsvorlage enthält die Phishing-E-Mail und alle zugehörigen gefälschten Zielseiten, die erforderlich sind, um einen Benutzer durch den Phishing-Lebenszyklus zu führen. Wenn ein Mitarbeiter eine simulierte Phishing-E-Mail erhält, die einen bösartigen Link enthält, und der Mitarbeiter dann auf den Link klickt, wird er zu dieser zugehörigen Zielseite weitergeleitet.
Wichtig ist, dass die Phishing-Simulationswerkzeuge in hohem Maße konfigurierbar sind. Die Phishing-Vorlagen sollten so angepasst werden können, dass sie genau der Umgebung der verschiedenen Branchen entsprechen.
Einige Phishing-Simulationstools, wie MetaPhish, werden mit fachkundiger Hilfe von Dritten angeboten, um sicherzustellen, dass das Design der Vorlagen echten Phishing-Kampagnen entspricht. Dadurch wird sichergestellt, dass sie einem echten Phishing so nahe wie möglich kommen. Auf diese Weise werden die Ergebnisse der simulierten Phishing-Übung genauer.
Phishing-Simulationen als Lernerfahrung
Es ist eine Sache, Ihre Benutzer zu phishen, aber sicherzustellen, dass sie aus dieser Erfahrung lernen, kann kompliziert sein. Daher müssen Phishing-Simulationstools aktives Lernen ermöglichen. Wenn ein Mitarbeiter auf die Tricks der simulierten Phishing-E-Mail hereinfällt, muss das Ereignis in etwas Positives umgewandelt werden.
Beim Point-of-Need-Learning wird der Benutzer aus dem Phishing-Lebenszyklus herausgeholt, um ihm zu verdeutlichen, wo er Fehler gemacht hat und wo seine Schwachstellen liegen. Dies geschieht in der Regel zu einem bestimmten Zeitpunkt, z. B. wenn ein Mitarbeiter auf einen Phishing-Link klickt oder seine Anmeldedaten für eine Phishing-Website eingibt.
Sobald ein Phishing-Betrug auftritt, wird dem Mitarbeiter eine Warnmeldung, eine Infografik oder eine Umfrage auf dem Bildschirm angezeigt, die ihm erklärt, was passiert ist, was passieren könnte, wenn es sich um eine echte Phishing-E-Mail handelt, und wie er sicherstellen kann, dass er nicht wieder auf diesen Trick hereinfällt.
Erfassen der Ergebnisse der Phishing-Simulation
Metriken sind ein wichtiger Aspekt der Sicherheitsschulung und der Phishing-Simulation. Die Messung des Erfolgs eines Sicherheitstrainingsprogramms ermöglicht es einer Organisation, die Bereitstellung des Materials fein abzustimmen, um die Ergebnisse zu verbessern.
Phishing-Simulationsplattformen wie MetaPhish bieten ein Reporting-Dashboard, das die Datenergebnisse von Phishing-Simulationen anzeigt: zum Beispiel, wie viele Ihrer Mitarbeiter auf einen Link in einer simulierten Phishing-E-Mail geklickt haben.
Die erstellten Berichte können bis auf die Ebene des Geräts, das für den Zugriff auf die Phishing-E-Mail verwendet wurde, granularisiert werden, was eine weitere Fokussierung bei der Erstellung von Folgekampagnen zur Phishing-Simulation ermöglicht. Einzelne Abteilungen oder Benutzergruppen können auch einen Schulungsschwerpunkt haben, so dass Ihr Unternehmen bestimmte Bereiche des Unternehmens, die mit sensiblen oder finanziellen Daten arbeiten, wie die Kreditorenbuchhaltung oder die Personalabteilung, genauer unter die Lupe nehmen kann.
Die Phishing-Simulation ist eine praktische Methode, um Ihre Mitarbeiter über die Gefahren von Phishing und die raffinierten Social-Engineering-Taktiken von Cyberkriminellen aufzuklären. Die Technik zur Schulung des Sicherheitsbewusstseins der Mitarbeiter wird auch von Informationssicherheitsstandards wie der ISO 27001 anerkannt.
Durch den Einsatz einer Cloud-basierten Phishing-Simulationsplattform haben Sie die Möglichkeit, Cyberkriminelle mit ihren eigenen Waffen zu schlagen und zu gewinnen.
