Phishing ist nicht nur eine der einfachsten Formen von Cyberattacken, sondern auch eine der günstigsten und reichweitenstärksten: Jeder, der E-Mails empfangen kann, ist ein potenzielles Opfer.

Kriminelle nutzen E-Mails, um über falsche Versprechungen, Drohungen oder Täuschungen an persönliche Daten zu kommen. Das kann ein besonders günstiges Angebot sein, das auf einen gefälschten Webshop führt, eine Benachrichtigung im Namen Ihrer Bank, die auf eine gefälschte Login-Seite weiterleitet oder eine angebliche Benachrichtigung eines Lieferdienstes mit Malware im Attachment. Gezielte Phishing-Versuche, sogenannte Spear-Phishing-Attacken, nutzen persönliche Informationen wie passende Absenderdaten, vertraute Inhalte oder persönliche Details aus sozialen Medien, um ihre Opfer zu täuschen.

Die Betrugsmasche wird nach dem gleichen Prinzip auch auf Telefonanrufe (sogenanntes „Vishing“), über soziale Medien, Messaging-Dienste (auch bekannt als „Smishing“) und auf gefälschte Apps in verwandten Themenbereichen angewendet. [1]

Situationsbedingte Veränderungen im Phishing erkennbar

Der stärkere Einsatz im Home-Office hat die Phishing-Taktiken beeinflusst. Laut einer Analyse von Check Point im 4. Quartal 2020 führt Microsoft (erneut) die Liste der meistgefälschten Absender an. Auf Platz 2 der Branchenwertung folgen – ebenso wenig überraschend in Zeiten des prosperierenden Onlineversandhandels – Speditionsunternehmen wie DHL. [2] Angepasst an unseren aktuellen Alltag, versuchen die Angreifenden die beste Klick- und Erfolgsrate zu erreichen und stellen sich auch auf jene Zielgruppe ein, die von zu Hause arbeitet.

Technische und organisatorische Vorkehrungen sinnvoll

Technologieplattformen wie E-Mail Security und Antimalware-Scanner schützen vor einer Vielzahl an möglichen Gefahren und Angriffen. Sie bilden den unbedingt erforderlichen Basisschutz. Trotzdem bleibt durch dynamische Weiterentwicklung der methodischen Betrugsversuche ein Restrisiko. Regelmäßige Informationen und Sensibilisierungen über die sich stetig verändernden Gefahren sind enorm wichtig. Neben regelmäßigen internen Schulungen werden zu diesem Zwecke freie und kommerzielle Phishing-Test-Plattformen angeboten.

Nutzt Ihr Unternehmen Office 365 und hat einen entsprechenden Rahmenvertrag abgeschlossen, steht Ihnen im „Attack Simulator“ des Microsoft Defender ein integrierter Phishing-Test zur Verfügung. [3] Frei verfügbare Werkzeuge müssen meist selbst installiert und angepasst werden, während umfassende Testplattformen kostenpflichtig sind. Es muss jedoch nicht gleich eine ausgefeilte Testkampagne sein. Es hilft auch, die Benutzer*innen regelmäßig auf aktuelle Kampagnen hinzuweisen und zu Vorsicht und Rückfragen bei Unsicherheiten oder Zweifeln zu motivieren.

Vorsicht ist besser als Nachsicht

Generell gilt der Hinweis, besonders bei Nachrichten von Absendern großer Firmen wie z.B. Microsoft, Amazon, Paypal oder DHL vorsichtig zu sein. Nie sollten persönliche Daten und Anmeldeinformationen weitergegeben werden. Ebenso sollte beim Öffnen von Anhängen und dem Anklicken von Links Misstrauen geboten sein: Lieber einmal zu oft nachfragen bzw. kontrollieren, als hinterher das Nachsehen haben.

Lesenswert:

E-Mails sicherer machen: Wirksamer Schutz vor Absenderbetrug

European Cyber Security Month: E-Mails weiterhin als hohes Sicherheitsrisiko

[1] https://www.phishing.org/what-is-phishing

[2] https://blog.checkpoint.com/2021/01/14/brand-phishing-report-q4-2020/

[3] https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/attack-simulation-training?view=o365-worldwide