Es ist ein später Freitagabend im Büro, als in Ihrem Posteingang eine Nachricht des Geschäftsführers mit der Überschrift "Dringende Versetzung so schnell wie möglich erforderlich" auftaucht.
Das ist ein Szenario, mit dem viele Menschen in der modernen digitalen Welt zunehmend vertraut werden. Leider sind die Auswirkungen von Phishing-Angriffen im gesamten Vereinigten Königreich und weltweit zu spüren, wobei 2016 ein massiver Anstieg von 65 % zu verzeichnen war. Viele Unternehmen sehen sich daher mit dem wachsenden Druck konfrontiert, ihre Mitarbeiter angemessen zu schützen und über diese Bedrohungen aufzuklären. Was macht also eine Phishing-E-Mail aus? Im Folgenden finden Sie einige Tipps aus der Perspektive eines Hackers: "MataHacky's Guide", wie Sie Phishing-Mails erkennen und zurückschlagen können!
#1 Es ist in Ordnung, es allgemein zu halten...aber wenn du ein echter Profi bist, dann nimm Spear Phish!
Wenn Sie damit beginnen, mehrere Personen auf einmal anzusprechen, ist es in Ordnung, die Namensgebung allgemein zu halten, da wir nur nach einem Interessenten suchen, der anbeißt. Sehr geehrte Kundin, sehr geehrter Kunde" zum Beispiel reicht als Einstieg aus und wird von ahnungslosen Menschen, die viel unterwegs sind, oft übersehen. Viele von ihnen werden nicht einmal hinterfragen, dass die E-Mail nicht personalisiert ist und dass Sie sie nicht mit ihrem Namen ansprechen. Es ist jedoch wichtig zu wissen, dass mit zunehmender Sensibilisierung immer mehr Menschen diese Verallgemeinerung als Bedrohungsdetektor betrachten werden. Dies führt uns zu dem Punkt, an dem das eigentliche Geld liegt und das Spiel an Fahrt aufnimmt: Speer-Phishing! Im Grunde genommen geht es darum, die Zielperson zu recherchieren, ihren Namen, ihren Arbeitsplatz und sogar den Namen ihres Chefs herauszufinden, um einen überzeugenden personalisierten Phish zu erstellen!
#2 Schaffen Sie ein Gefühl der Dringlichkeit!
Das ist der Schlüssel. Sie müssen dem Publikum Angst einjagen. Sonst sehen sie sich die anderen Fehler in Ihrer E-Mail, wie z. B. Rechtschreibfehler, genauer an und werden misstrauisch. Wie ein Pferd aus der Falle müssen Sie sofort einsteigen. Beginnen Sie mit der E-Mail-Betreffzeile "Dringend - verdächtige Aktivitäten auf Ihrem X-Konto", um die Aufmerksamkeit des Empfängers zu wecken. Behalten Sie diesen Dringlichkeitsgrad während der gesamten E-Mail bei, und schon haben Sie einen Treffer gelandet. Panik ist der Schlüssel zu einem guten Phish. Denken Sie an die wertvollsten Dinge, z. B. Details, die finanziellen Schaden anrichten oder den Ruf schädigen können, und bringen Sie sie in eine gefährliche Situation.
#3 Achten Sie auf Ihre Rechtschreibung und Grammatik
Wenn Sie die anderen Punkte beachten, die ich aufgelistet habe, können Sie sich den einen oder anderen Rechtschreib- oder Grammatikfehler erlauben... Sie müssen jedoch die Anzahl der Rechtschreibfehler in Ihrem Text im Auge behalten. Ein oder zwei werden wahrscheinlich unbemerkt bleiben, aber der superscharfe Phish Spotter wird sich nicht täuschen lassen, also versuchen Sie, diese Fehler so gut wie möglich zu korrigieren. Schließlich wird kein wirklich professionelles Unternehmen Rechtschreibfehler in den E-Mails haben, die es an seine Kunden verschickt.
Andererseits helfen Ihnen Rechtschreibfehler dabei, die perfekte Trottelliste zu erstellen. Ich meine, wenn sie auf eine Phishing-E-Mail voller Rechtschreibfehler hereinfallen, worauf könnten sie dann noch hereinfallen? Sie könnten sogar die Kontaktdaten dieser Opfer an Ihre Hacker-Freunde weitergeben, damit diese sie ebenfalls ins Visier nehmen können!
#4 Erstellen Sie eine wirklich überzeugende gefälschte E-Mail-Adresse und Links!
Um sicherzustellen, dass diese Dummköpfe den Köder schlucken und auf den von Ihnen bereitgestellten Link klicken, müssen Sie dafür sorgen, dass die E-Mail-Adresse, von der aus Sie arbeiten, echt aussieht. Ein einziger Buchstabe, der von der echten Adresse abweicht, reicht in der Regel aus, um sie dazu zu verleiten, auf den Link zu klicken. Auch hier mangelt es den Leuten oft an Aufmerksamkeit für Details, so dass viele diese kleinen Fehler übersehen, wenn sie eine E-Mail von "[email protected]" erhalten. Wenden Sie die gleiche Idee auch auf Ihre Links an! Sorgen Sie dafür, dass sie so echt wie möglich aussehen, und Sie können mit einem kleinen fehlenden oder hinzugefügten Zeichen hier oder da auskommen. Spoofing ist eine Kunst, wenn Sie also ein Meister sein wollen, sollten Sie besser anfangen zu üben!
Denken Sie daran, dass 91 % der Phishing-Angriffe auf Unternehmen gefälschte Namen enthalten, 30 % werden geöffnet und 12 % der Opfer klicken auf den Link oder den Anhang, so dass Ihre Chancen auf schnelles Geld gut stehen, wenn Sie sich an meine Regeln halten. Viel Glück!
Der durchschnittliche Angestellte wird täglich mit mindestens einer riskanten E-Mail konfrontiert, und es wird prognostiziert, dass die E-Mail bis 2020 die Hauptzielmethode für die meisten Angriffe bleiben wird. In den letzten zwei Jahren haben betrügerische Links, die an geschäftliche E-Mail-Konten gesendet wurden, Unternehmen mehr als zwei Milliarden Dollar gekostet, und 30 % der Kunden haben nach einer Sicherheitsverletzung ihr Unternehmen gewechselt.
Können Sie es sich leisten, dass Ihr Unternehmen oder sogar Ihr persönliches Konto Opfer eines solchen Angriffs wird? Dann könnte Sie unser eLearning-Kurs "Essential Phishing Awareness" interessieren, in dem Sie lernen, wie Sie einen Phishing-Angriff richtig erkennen und was zu tun ist, wenn Sie einen solchen erkennen. Dieser Kurs kann auch mit unserer Phishing-Simulationssoftware "MetaPhish" ergänzt werden, um die Sensibilität Ihrer Mitarbeiter für betrügerische E-Mails zu erhöhen.
Das größte Cyber-Sicherheitsrisiko, mit dem Ihr Unternehmen täglich konfrontiert ist, ist die Selbstzufriedenheit der Mitarbeiter, und jetzt ist der richtige Zeitpunkt, dies zu ändern. Sprechen Sie noch heute mit uns, wenn Sie mehr darüber erfahren möchten, wie Sie Ihr Unternehmen vor einem Phishing-Angriff schützen können.
