Phishing-Angriffe: Mitarbeiter*innen als wichtiger Schutzschild für die Sicherheit von Unternehmen

18. November 2022

Phishing-Angriffe haben in den letzten Jahren stark zugenommen und kommen sehr häufig vor. Der Grund dafür ist, dass sie für Cyberkriminelle sehr effektiv und effizient, vor allem aber profitabel sind. Phishing ist eine Form des Social Engineering, die meist über betrügerische E-Mails funktioniert. Auf diese Weise versuchen Hacker, ihre Opfer zu manipulieren und sie zu einer bestimmten Reaktion zu bewegen, um an Informationen zu gelangen oder Malware zu verbreiten. Die Cyberkriminellen probieren dabei, die E-Mail-Sicherheitsvorkehrungen von Unternehmen zu umgehen, indem sie bestimmte Mitarbeiter*innen auf persönliche Weise ansprechen.

Viele Benutzer*innen und Organisationen sind Opfer von Phishing-Angriffen geworden, bei denen ihre persönlichen Informationen, Zugangsdaten und sensiblen Daten gestohlen wurden, was zu Identitätsdiebstahl, finanziellen Schäden, Rufschädigung, Verlust von geistigem Eigentum sowie zur Unterbrechung der täglichen normalen Betriebsabläufe führte. All dies zusammengenommen stellt eine große Gefahr sowohl für die Nutzer*innen, insbesondere jedoch für Unternehmen dar: In den meisten Fällen entstehen irreversible Schäden.

Phishing  –  Angriffstypen

Es gibt verschiedene Phishing-Methoden, die Cyberkriminelle einsetzen – einige der häufigsten Angriffstypen haben wir hier für Sie zusammengefasst.

E-Mail-Phishing

Die meisten Phishing-Angriffe werden per E-Mail verschickt und sind demnach das Haupteinfallstor für Viren, Trojaner und andere Malware. Sie werden aber auch gerne genutzt, um an persönliche Daten der Empfänger*innen zu gelangen. Wird eine Phishing-Mail mit dem Zweck versendet, Schadsoftware zu verbreiten, kann diese über zwei Wege auf den Rechner gelangen: Entweder über kompromittierte Anhänge oder in der E-Mail enthaltene Links, die den Empfänger auf eine kompromittierte Website locken sollen. Die Angreifenden registrieren dazu beispielsweise eine Domain, die eine echte Organisation imitiert, und senden Tausende von generischen E-Mails, die Nutzer*innen dazu auffordern, die gefälschte Seite zu besuchen. Bei der gefälschten Domain werden häufig Zeichen ersetzt, z. B. durch die Verwendung von "r" und "n" nebeneinander, um "rn" anstelle von "m" zu erzeugen. In anderen Fällen erstellen die Cyberkriminellen eine eindeutige Domain, die den Namen der rechtmäßigen Organisation in der URL enthält.

Während Phishing-E-Mails bis vor einigen Jahren meistens dadurch auffielen, dass die Anrede unpersönlich oder der Nachrichtentext in schlechtem Deutsch verfasst war, gehen Kriminelle mittlerweile professioneller vor. Tippfehler oder seltsame Umlaute im Text sind nur noch selten ein eindeutiger Hinweis auf einen Phishing-Versuch.

Spear Phishing

Spear Phishing ist eine Methode, die auf bestimmte Personen oder Gruppen innerhalb einer Organisation abzielt. Cyberkriminelle schicken hier keine Massen-E-Mails an zufällige Personen, sondern konzentrieren sich auf spezifische Ziele – dies erfordert eine vorherige Recherche. Dazu sammeln Kriminelle etwa öffentlich zugängliche Informationen über das Unternehmen und seine Mitarbeiter*innen, bspw. über soziale Netzwerke und die Unternehmenswebseite, und ermitteln so ein mögliches Opfer oder ganze Opfergruppen. Für die Ausführung einer Spear-Phishing-Attacke dienen Angreifenden beispielsweise bereits die folgenden Informationen:

  • Name
  • Ort der Beschäftigung
  • Berufsbezeichnung
  • E-Mail-Adresse; und
  • spezifische Informationen über die Funktion des Opfers.

Mithilfe dieser Informationen können Angreifende aufwändige und schwer als solche zu identifizierende Phishing-Nachrichten versenden und die Empfänger*innen so leichter zu einer bestimmten Handlung manipulieren.

Whaling / CEO-Betrug

Bei einem Whaling-Angriff, auch CEO-Betrug genannt, geben sich Cyberkriminelle als hochrangige Mitarbeiter*innen in einem Unternehmen aus, um Führungskräfte oder andere wichtige Personen direkt anzugreifen. Das Ziel eines solchen Angriffs kann sein, Geld oder vertrauliche Informationen zu stehlen oder sich Zugriff auf ihre Computersysteme zu verschaffen, um diese für weitere kriminelle Zwecke zu missbrauchen.

Diese E-Mails nutzen die Bereitschaft von Angestellten aus, den Anweisungen ihrer Führungskraft Folge zu leisten und dabei Druck und Stress zu vermeiden.  

Social-Media-Phishing / Angler Phishing

Social Media ist ein relativ neuer Angriffsvektor und bietet Kriminellen mehrere Möglichkeiten, Menschen zu täuschen. Gefälschte URLs, geklonte Websites, Posts und Tweets sowie Instant Messaging können genutzt werden, um Menschen dazu zu bringen, sensible Informationen preiszugeben oder Malware herunterzuladen.

Alternativ können Kriminelle die Daten nutzen, die Personen bereitwillig in sozialen Medien veröffentlichen, um sehr gezielte Angriffe durchzuführen.

Prävention von Phishing-Angriffen

Wie bereits erwähnt, können Phishing-Angriffe schwerwiegende Folgen haben und sowohl für Unternehmen als auch für Nutzer*innen große Verluste bedeuten. Unternehmen können das Phishing-Risiko mit technischen Mitteln wie Spam-Filtern und Firewalls zwar eindämmen – letztlich werden diese von bösartigen E-Mails jedoch regelmäßig durchdrungen. In diesen Fällen ist das Einzige, das Ihr Unternehmen vor einem Sicherheitsvorfall bewahrt, die Fähigkeit Ihrer Mitarbeiter*innen, den betrügerischen Charakter dieser E-Mails zu erkennen und angemessen zu reagieren.

Ihre Mitarbeiter*innen sind ein wichtiger Schutzschild

Ein einziger Klick auf einen bösartigen Phishing-Link eines einzelnen Mitarbeitenden kann bereits verheerende Folgen haben. Schulen Sie daher Ihr Team darin, Phishing-Betrug und -Techniken zu erkennen. Das Internet verändert sich ständig, und das gilt auch für die Methoden der Phishing-Angriffe. Die meisten Angriffe weisen jedoch immer noch einige gemeinsame Warnzeichen auf, die bei entsprechender Kenntnis und Erfahrung durch regelmäßige Schulungen Ihres Teams zum Sicherheitsbewusstsein erkannt werden können. So wird es wahrscheinlicher, dass Ihre Mitarbeiter*innen in der Lage sind, einen potenziellen Angriff zu vermeiden.

Simulierte Phishing-Angriffe sind eine wirksame Maßnahme, um das Bewusstsein Ihrer Mitarbeiter*innen für derartige Bedrohungen weiter zu schärfen und den Erfolg bereits erfolgter Trainingsmaßnahmen zu überprüfen. Im Rahmen dieser geplanten, simulierten Angriffe per E-Mail wird selbstverständlich keine Schadsoftware verbreitet oder vertrauliche Daten ausgelesen oder missbraucht. Stattdessen wird gemessen, wie viele Ihrer Mitarbeiter*innen den Phishing-Versuch nicht als solchen erkennen. So können Sie verlässlich beurteilen, inwieweit Ihre Awareness-Maßnahmen bereits Früchte tragen, und inwieweit Sie diese mit weiteren Awareness-Maßnahmen noch ausbauen sollten.

Die usd Phishing Awareness Kampagne

Sie möchten bei Ihren Mitarbeiter*innen die notwendige Awareness zum Thema Phishing schaffen?

Erfahren Sie hier mehr über die usd Phishing Awareness Kampagne

oder starten Sie direkt in die Planung Ihrer Phishing Awareness Kampagne mithilfe des usd Pentestkonfigurators:

Jetzt ausprobieren

Auch interessant:

PCI DSS v4.0: INFI Worksheet eingestellt

PCI DSS v4.0: INFI Worksheet eingestellt

Das Payment Card Industry Security Standards Council (PCI SSC) hat die Einstellung des Worksheets "Items Noted for Improvement" (INFI) verkündet. INFI, eine Vorlage zur Dokumentation von verbesserungswürdigen Bereichen, war mit PCI DSS v4.0 eingeführt worden. Ab...

mehr lesen

Kategorien

Kategorien