Überspringen zu Hauptinhalt
Telefon: +49 (0) 221 6502 440     E-Mail: info@cyberdyne.de
Phishing-Mails Erkennen

PhishingMails erkennen – Awareness schaffen für die kriminelle Bedrohung

Phishing Mails zu erkennen ist nicht immer einfach, aber dennoch sehr wichtig. Weltweit nehmen die Angriffe mit Hilfe von Phishing-Mails immer weiter zu und sind damit ein Sicherheitsrisiko für viele Unternehmen. Wie diese Methode funktioniert, wie Kriminelle darüber an vertrauliche Daten gelangen und wie Phishing Simulationen für mehr Awareness sorgen können, erkläre ich in diesem Beitrag. 

Was ist Phishing? 

Stellen Sie sich vor, Sie bekommen eine Einladung zu einer Videokonferenz. Nichts Ungewöhnliches, schließlich fehlen Ihnen noch die Daten zum Meeting später am Tag. Sie klicken auf den enthaltenen Link um den Termin zu bestätigen.  

Vielleicht ist die Mail echt. Vielleicht handelt es sich aber auch um eine Phishing-Mail. Dann haben Sie gerade einem Hacker ein Tor zu Ihrem Unternehmen geöffnet. Während Sie diese Zeilen lesen, hat sich eine Malware bereits in Ihrem Rechner niedergelassen und beginnt damit Daten auszulesen. Sie wurden Opfer einer Phishing-Kampagne. 

Wie funktionieren Phishing Mails? 

Das Wort Phishing ist eine Zusammensetzung aus “Passwort” und “Fishing”. Und bedeutet auch genau das: Das Fischen nach Passwörtern (und Daten) fremder Nutzer. Die Schreibweise mit “PH” ist dem Hacker-Jargon entnommen.  

Generell geht es beim Phishing darum, mit Hilfe gefälschter E-Mails Unternehmen und Einzelpersonen zu schaden. Der Empfänger klickt auf einen Link und löst eine Aktion aus, die entsprechende Daten freigibt. Oft merkt der Nutzer erst zu spät, dass es sich um einen falschen Link oder eine falsche Absenderadresse handelt. 

Mehr Infos, wie das Phishing funktioniert habe ich Ihnen in diesem Video zusammengefasst:

Phishing-Mails sind ein großes Problem

Phishing ist eines der am häufigsten verwendeten Mittel, um Daten zu stehlen. Und diese Methode ist erfolgreich: 30 Prozent aller Phishing-Nachrichten werden von den Empfängern geöffnet. Zwölf Prozent klicken sogar auf die enthaltenen Links und werden damit Opfer eines Cyberangriffs.

Die Folgen: 60% der angegriffenen Unternehmen verlieren Daten, 50 Prozent sind infiziert mit Ransomware und genauso viele klagen über kompromittierte Zugangsdaten. Die Angreifer sind in der Regel auf der Suche nach persönlichen (Namen und Adressen), internen (Produkt- und Verkaufsplanungen), medizinischen (Versicherungsansprüche, Behandlungen) sowie finanziellen Daten (Kontonummer, Kreditkarteninformationen).

Wie gehen die Angreifer vor?

Es gibt verschiedene Arten von Phishing. Lange Zeit streuten die Angreifer, sogenannte Social Engineer ihre Phishing Mails breit und hofften, dass jemand auf die gefälschten Links hereinfällt. Mittlerweile sind die Methoden perfider und ausgefeilter – dies macht es teilweise auch schwerer Phishing Mails zu erkennen.

Es werden vermehrt gezielt Menschen angeschrieben, um an Daten eines spezifischen Unternehmens zu gelangen. Spear Phishing wird diese Taktik genannt. Dabei versuchen die Social Engineer schon im Vorfeld einiges über die Opfer herauszufinden, damit die Nachrichten persönlicher sind. Dabei bedienen sich die Betrüger öffentlich zugänglicher Daten, wie Social Media-Profilen oder Informationen auf der Unternehmens-Website.

Und dies ist eine funktionierende Methode: Bei rund 95 Prozent aller erfolgreicher Attacken auf Unternehmensnetzwerke wurde in der Anfangsphase auf Spear Phishing gesetzt.

Wie können Sie Phishing-Mails erkennen?

Ihre Firewall wird schadhafte Maile rausfiltern, bevor sie überhaupt in Ihrer Inbox erscheint. Microsoft Exchange unterstützt Sie bei unsicheren Links, indem der Zugang blockiert wird. Dennoch kann es dazu kommen, dass eine Phishing-Mail direkt zu Ihnen gelangt.

Verschiedene Faktoren können darauf hindeuten, dass es sich bei einer Mail um einen Phishing-Versuch handelt:

Faktor I: Eine gefälschte Absenderadresse

Um Phishing-Mails zu erkennen, sollten Sie zunächst wissen, dass die Mails suggerieren, dass sie von „offizieller“ Stelle kommen. Dies sind laut Verbraucherschutzzentrale vor allem Banken wie Sparkasse, Volksbank, ING oder DKB. Aber auch die Namen von Amazon, Paypal oder Facebook werden genutzt.

Die Social Engineer versuchen die Mails täuschend echt aussehen zu lassen. Dementsprechend ist auch das Design übernommen. In der Absenderadresse erkennen Sie aber, dass es nicht das echte Unternehmen ist. Beispielsweise enthält eine Mail nur „amazn“ (anstatt „amazon“) innerhalb der Domain. Diese kleinen Buchstabendreher oder –auslasser werden beim schnellen Lesen viel zu oft übersehen.

Faktor II: Schlechtes Deutsch

Da die Phisher nicht unbedingt aus Deutschland kommen, nutzen sie Übersetzungsprogramme, um die entsprechenden Mails zu schreiben. Die Ergebnisse werden immer besser. Dennoch bleiben oft merkwürdige Satzkonstruktionen. Dieser Faktor wird zwar seltener, ist aber immer wieder zu erkennen, wie in diesem Beispiel:

Faktor III: Die Links in der E-Mail

Generell gilt bei Links in E-Mails von unbekannten Absendern besondere Vorsicht. Auch hier nutzen Kriminelle wieder eine URL, die dem kopierten Unternehmen ähnlich sieht. Bevor Sie auf einen Link in einer Mail von Unbekannten klicken, empfehlen wir generell, zu überprüfen, ob er auch auf die richtige Adresse verweist.

Wenn der Link nicht sichtbar ist, können Sie mit Hilfe des Mouse-over-Effekts das entsprechende Ziel sehen. Oftmals sieht die URL zwar der echten Adresse ähnlich, wurde aber um unübliche Zusätze erweitert, wie 189z-sparkasse.com oder ab-bank.kundenservice.de.

Das Thema unsichere Links, habe ich Ihnen in unserer Serie „IT-Sicherheit in 100 Sekunden“ schon einmal zusammengefasst:

Faktor IV: Anhänge als Phishing-Träger

Auch mit den Anhängen können Sie Phishing-Mails erkennen. Achten Sie hier auf den Namen der entsprechenden Datei. Hier handelt es sich meistens um eine unspezifische Zeichenfolge. Die Datei selbst suggeriert sie sei ein Bild oder eine PDF-Datei zu sein.

Wenn Sie ein solches Dokument öffnen, werden Sie entweder auf eine gefälschte Website geleitet und dort zur Dateneingabe genötigt oder sie laden automatisch Malware herunter, die Ihrem System schadet.

Faktor V: Dringender Handlungsbedarf/Drohungen

In vielen Phishing-Mails finden Sie dringende Handlungsaufforderungen oder sogar Drohungen. Sie sollen möglichst schnell Daten auf einer Website eingeben. Dies können Passwörter, PIN, TAN oder auch persönliche Daten sein.

Die Mail soll durch Ihre Formulierung beim Empfänger Stress auslösen – ein beliebtes Mittel, um Menschen dazu zu bewegen, schnell Entscheidungen zu treffen.

Kriminelle nutzen diese Eigenschaft aus und bauen einen entsprechenden Druck auf. Der Empfänger fühlt sich genötigt, der Aufforderung zu folgen und gibt die entsprechenden Daten ein. Die Phishing-Mail war damit erfolgreich.

Faktor VI: Formatierung und Anrede in der betrügerischen E-Mail

Phishing Mails erkennen Sie auch daran, dass die Anrede häufig unpersönlich ist. Die Mails starten in diesem Fall mit „Sehr geehrte Damen und Herren…“ Ihre Bank oder auch Amazon sprechen Sie in Mails immer mit Namen an.

Daneben sind falsch aufgelöste Umlaute ein gutes Zeichen dafür, dass die Mail nicht von Ihrer Bank (mit Sitz in Deutschland) handelt.

Diese sechs Faktoren können darauf hindeuten, dass es sich um eine Phishing-Mail handelt. Es sind aber nur sehr offensichtliche Faktoren, die teilweise von geübten Phishern umgangen werden. So wird beim Spear-Phishing auch die Anrede persönlich gestaltet. Hier gilt es generell vorsichtig zu sein bei unbekannten Absendern. Sie sollten sich und Ihre Mitarbeiter zu diesem wichtigen Thema schulen.

Phishing Awareness-Kampagnen um Phishing-Mails zu erkennen

Mit Hilfe von Awareness-Kampagnen können Sie bei Ihren Mitarbeitern die Aufmerksamkeit bei diesem Thema stärken. Warum dies wichtig ist, zeigen diese Fakten zum Thema Phishing:

  • Der Mensch ist trotz großer Technikunterstützung das schwächste Glied in Ihrer Sicherheitskette.
  • Fast alle erfolgreichen Angriffe auf Unternehmen werden durch Phishing-Kampagnen eingeleitet.
  • Zwei Drittel aller Malware gelangt durch Phishing-Kampagnen auf die Rechner der Angestellten
  • Die durchschnittlichen Kosten einer Phishing-Operation belaufen sich auf 120.000 Euro für das angegriffene Unternehmen
  • Fast die Hälfte aller Unternehmen wird nahezu täglich angegriffen.

Genau deshalb sind simulierte Phishing Kampagnen sinnvoll, um Mitarbeiter auf Angriffe vorzubereiten.

Wie funktionieren Phishing Simulationen?

Bei einer Phishing-Simulation liegt das Hauptaugenmerk auf der Sensibilisierung von Ihnen und Ihren Mitarbeitern. Dazu werden gezielt Phishing-Mails an Ihre Belegschaft versendet. Diese Mails sollen natürlich nicht Ihrem Unternehmen schaden. Deshalb werden selbstverständlich auch keine Daten abgezogen oder Malware installiert. Vielmehr erhält der Empfänger eine Nachricht darüber, dass er auf eine Phishing-Mail reingefallen ist und dies im Ernstfall Folgen für das Unternehmen hätte.

Sie können zwei Szenarios simulieren. Zum einen kann eine solche Kampagne als Feststellung des Ist-Zustands genutzt werden, also wie häufig die Mitarbeiter Phishing-Mails erkennen. Zum anderen dient es als Schock-Erlebnis, zur Abschreckung. Menschen, die auf eine Phishing-Mail hereingefallen sind, nehmen im Nachgang eher Informationen zu dem Thema an.

Herausforderungen der fiktiven Angriffe

Für die Feststellung des Ist-Zustandes sollte es in Ihrem Unternehmen bereits Richtlinien geben, wie mit einer Phishing-Mail umzugehen ist. Im besten Fall der IT-Abteilung melden und nicht anklicken. Löschen Mitarbeiter die Mails direkt, dann kann in der Simulation nicht erfasst werden, ob sie diese überhaupt als Phishing-Mail erkannt haben – Ein nicht-klicken ist dafür nicht ausreichend.

Für beide Szenarien müssen arbeitsrechtliche Punkte beachtet werden. So dürfen Ihre Angestellten keine Nachtteile haben, sollten sie den Test nicht bestehen. Daher muss die Auswertung anonymisiert werden, so dass sichergestellt ist, dass die entsprechenden Mitarbeiter bloßgestellt werden oder sonstige Konsequenzen spüren.

Auch müssen Sie sich die Frage stellen, wie offen Sie mit dem Themaumgehen wollen: Alle Mitarbeiter vorab informieren oder lieber erst nach dem Test? Hier sollte gegebenenfalls auch der Betriebsrat mit einbezogen werden. Für eine möglichst große Geheimhaltung spricht dabei, dass die Mitarbeiter viel sensibler reagieren, wenn sie wissen, dass Phishing-Mails zu erwarten sind. Für die Feststellung des Ist-Zustandes würde dies allerdings zu verfälschten Ergebnissen führen.

Unterstützung bei Phishing Simulationen

Wir bei CYBERDYNE unterstützen Sie bei der Durchführung solcher Simulationen. Zeil dabei ist immer eine größere Awareness für das Thema Phishing in Ihrem Unternehmen.

Wenn Sie Interesse an einer solchen Kampagne haben, sprechen Sie uns einfach an und wir gucken gemeinsam, wie wir das bei Ihnen realisieren können.

Quellen:

Infoquellen (alphabetisch):

Bildnachweis: Alexey Malkin / 123rf.com

Ralph Friederichs

1994 gründete er die heutige CYBERDYNE IT GmbH und ist seit dem alleiniger Gesellschafter und Geschäftsführer des Unternehmens. Ralph Friederichs ist Experte und Berater für Cloud Computing, Digitalisierung und Managed IT Services. In seiner Freizeit beschäftigt er sich mit Online Marketing und ist mit dem Mountainbike unterwegs.

Dieser Beitrag hat 0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

An den Anfang scrollen