5 Häufige Phishing-E-Mails

Phishing – sei es per E-Mail, Textnachrichten (SMShing), soziale Medien oder Telefonanrufe (Vishing) – ist heute eine tägliche Bedrohung für Unternehmen. Unter allen Formen sind Phishing-E-Mails nach wie vor die häufigste und schädlichste Art von Cyberangriffen.

Das Verständnis der in Phishing-E-Mails verwendeten Taktiken und die Schulung der Mitarbeiter zur Erkennung von Bedrohungen sind entscheidend für die Verringerung von Cyberrisiken.

Was sind Phishing-E-Mails?

Phishing-E-Mails sind betrügerische Nachrichten, die von Cyberkriminellen verschickt werden, die sich als seriöse Organisationen ausgeben. Ihr Ziel ist es, die Empfänger dazu zu bringen, sensible Informationen preiszugeben, auf bösartige Links zu klicken oder Malware herunterzuladen.

Im ersten Quartal 2025 verzeichnete der APWG Phishing Activity Trends Report über 1 Million Phishing-Angriffe, die höchste Quartalszahl seit Ende 2023. Die Angreifer verwenden zunehmend QR-Codes in E-Mails, um die Opfer auf Phishing-Seiten umzuleiten.

Die meisten Zielsektoren:

• Angriffe auf den Finanzsektor: 30,9% (einschließlich Zahlungsverkehr, Banken und Kryptowährungen)
• SaaS/Webmail (18%)
• BEC-Angriffe auf Überweisungen: +33% gegenüber dem Vorquartal

Im Folgenden finden Sie die fünf häufigsten Phishing-E-Mail-Betrügereien und praktische Strategien, um sie zu verhindern.

1. Betrug mit gefälschten Rechnungen

Betrüger verschicken oft E-Mails mit gefälschten Rechnungen, in der Hoffnung, dass die Mitarbeiter sie bezahlen oder vertrauliche Informationen weitergeben.

Beispiele für gefälschte Rechnungen sind:

• Rechnungsstellung für Antivirus- oder Sicherheitsprodukte
• Überfällige Rechnungen von gefälschten Lieferanten
• Benachrichtigungen über das Auslaufen von Domänen, die vor der Einstellung des Dienstes warnen
• Rechnungen für Wohltätigkeitsorganisationen oder Spendenaktionen, die Anzeigenschaltungen anbieten
• Ausgefeilte Business Email Compromise (BEC)-Angriffe

So vermeiden Sie Betrug mit gefälschten Rechnungen:

• Verwenden Sie rollenbasierte Phishing-Simulationen für Mitarbeiter der Finanz- oder Kreditorenbuchhaltung.
• Schulen Sie Ihre Mitarbeiter darin, dringende, bedrohliche Formulierungen in Rechnungen zu erkennen.
• Schneiden Sie die Kampagnen so zu, dass sie die realen Herausforderungen der Abteilung widerspiegeln.

2. Gefälschte E-Mails an den technischen Support

Betrüger geben sich oft als interner technischer Support aus, um Dringlichkeit zu erzeugen und das Verhalten zu manipulieren. Diese E-Mails können eine sofortige Anmeldung oder die Zustimmung zu einem Zugriff auf persönliche Daten oder Unternehmenssysteme verlangen.

Wie Sie gefälschte E-Mails des technischen Supports vermeiden können:

• Führen Sie allgemeine Schulungen zum Thema Sicherheit für alle Mitarbeiter durch.
• Klären Sie Ihre Mitarbeiter über Manipulationstaktiken auf, einschließlich Dringlichkeit und Androhung von Disziplinarmaßnahmen.
• Verwenden Sie simulierte Phishing-Übungen, die die interne Kommunikation der Abteilung nachahmen.

3. Steuerbetrug

Steuerbezogene Phishing-E-Mails versprechen oft Erstattungen, sind aber betrügerisch. Das HMRC erklärt, dass es niemals Benachrichtigungen über Rabatte oder Rückerstattungen per E-Mail verschickt. Die Betrüger replizieren oft das HMRC-Branding und senden Links zu gefälschten Anmeldeseiten, in die manchmal Malware eingebettet ist.

Wie man Steuerbetrug vermeidet:

• Beziehen Sie Steuerbetrug in simulierte Phishing-Übungen für alle Mitarbeiter ein.
• Konzentrieren Sie sich auf zusätzliche Schulungen für die Mitarbeiter der Finanzabteilung, insbesondere während der Steuersaison.
• Stellen Sie sicher, dass Ihre Mitarbeiter wissen, dass sie niemals auf Links in unaufgeforderten Steuer-E-Mails klicken dürfen.

4. E-Mail-Konto Problem Phishing

Cyberkriminelle fälschen häufig Microsoft, Google, LinkedIn, DHL und FedEx, um dringende Nachrichten zu verschicken, die angeblich Probleme mit dem Konto betreffen. Diese E-Mails enthalten oft bösartige Links, die Anmeldedaten abfangen.

Wie Sie Phishing-E-Mails mit Kontoproblemen vermeiden können:

• Bringen Sie Ihren Mitarbeitern bei, sich vor Marken-E-Mails in Acht zu nehmen, die auf Dringlichkeit abzielen.
• Binden Sie simulierte Phishing-Übungen ein, bei denen bekannte Marken nachgeahmt werden.
• Verstärken Sie die Überprüfungsverfahren für unerwartete kontobezogene Nachrichten.

5. Betrug mit Google Docs und GSuite

Betrüger nutzen Kollaborationsplattformen wie Google Docs aus. Ein betrügerischer Kommentar, der die @-Notation verwendet, kann eine echte Benachrichtigungs-E-Mail auslösen, die einen bösartigen Link enthält.

Wie Sie GSuite-Kommentar-Betrug vermeiden können:

• Nutzen Sie Schulungen zum Sicherheitsbewusstsein, die auch Cloud-basierte Collaboration-Tools abdecken.
• Stellen Sie sicher, dass die Richtlinien festlegen, wer Unternehmensdokumente teilen und kommentieren darf.
• Halten Sie Ihre Mitarbeiter mit den neuesten Phishing-Informationen und simulierten Übungen auf dem Laufenden.

Die wichtigsten Erkenntnisse zur Phishing-Prävention

• Phishing-Angriffe werden immer raffinierter und zielen auf alle Mitarbeiter ab.
• Rollenbasiertes Training und simulierte Phishing-Übungen sind unerlässlich.
• Kontinuierliche Programme zur Förderung des Sicherheitsbewusstseins verringern das Risiko.
• Die Mitarbeiter müssen die Taktiken zur Manipulation menschlichen Verhaltens verstehen.
• Die Aufklärung über Cybersicherheit sollte regelmäßig aktualisiert werden, um den sich entwickelnden Betrügereien Rechnung zu tragen.

Phishing-Angriffe entwickeln sich ständig weiter, so dass die Sensibilisierung der Mitarbeiter und proaktives Training wichtiger sind denn je. Um die Abwehrkräfte Ihres Unternehmens zu stärken, sollten Sie die Plattform für Human Risk Management von MetaCompliance kennenlernen. Unsere Plattform bietet rollenbasiertes Sicherheitstraining, simulierte Phishing-Übungen und Echtzeitberichte, um das menschliche Risiko in Ihrem Unternehmen zu verringern. Befähigen Sie Ihre Teams, Bedrohungen zu erkennen, sensible Daten zu schützen und eine Kultur der Wachsamkeit im Bereich der Cybersicherheit zu schaffen.