Sophos analysiert Tausende Test-Mails
Die Top Ten der Phishing-Fallen
Phishing-E-Mails, eigentlich ein Dauerbrenner der Cyberkriminalität, erleben derzeit eine kleine Renaissance, wie die Sicherheitsspezialisten von Sophos berichten. Denn mehr Menschen arbeiten und shoppen von zu Hause aus, soziale Kontakte oder auch die Arbeitssuche erfolgen verstärkt auf digitalem Weg, und Unternehmen wie auch Regierungen ändern Regularien aus aktuellem Anlass. Damit, so Sophos, bestehe derzeit ein geeignetes Umfeld für erfolgreiche Phishing-Kampagnen.
Mit Phish Threat, einem Simulator für Phishing-Angriffe, hat Sophos die zehn Top-Themen für erfolgversprechendes Phishing ermittelt. Die Top Ten lauten laut Angaben des Security-Anbieters wie folgt:
1. Neue Verhaltensregeln im Unternehmen. Ein angeblicher Brief der Personalabteilung, in dem die neuen Verhaltensregeln des Unternehmens umrissen wurden. Angesichts des weltweiten Interesses an einer größeren Vielfalt am Arbeitsplatz und der Verringerung von Belästigungen und Missverständnissen überarbeiten viele Unternehmen derzeit ihre Beschäftigungsrichtlinien.
2. Verspätete Lohnsteuerbescheinigung zum Jahresende. Durch diese E-Mail wurde die Belegschaft – scheinbar seitens des Arbeitgebers – darüber informiert, dass notwendige Steuerunterlagen nicht zum üblichen Zeitpunkt eintreffen würden.
3. Geplante Server-Wartung. Von dieser Betreffzeile glaubten viele im Sophos-Team, dass die Empfänger sie zumeist überlesen oder ignorieren würden. Zur Überraschung der IT-Experten landete diese Rubrik jedoch auf Platz 3. Eine Planbarkeit von IT-Verfügbarkeiten und Arbeitszeiten scheint deutlich an Relevanz gewonnen zu haben.
4. Zu erledigende Aufgaben. Hier kommt die Nachricht scheinbar vom Projektplanungssystem, das die Firma verwendet. Ein solche Phishing-Variante ist auch im Realen möglich, weil davon ausgegangen werden kann, dass die in Unternehmen verwendeten Tools weithin bekannt sind und Betrüger sie leicht, vielleicht sogar automatisch, herausfinden können.
5. Test eines neuen E-Mail-Systems. Wer möchte dem Unternehmen oder dem IT-Dienstleister nicht hilfreich sein, wenn es nur eines schnellen Klicks bedarf? Und schon ist man in die Falle getappt.
6. Aktualisierung der Urlaubsrichtlinien. Die Coronavirus-Pandemie hat Reiseplanungen erschwert. Die meisten Unternehmen aktualisieren ihre Urlaubsrichtlinien und Quarantäneregelungen jeweils entsprechend der weltweiten Pandemieentwicklung und den Empfehlungen der Regierung. Klar, dass hier viele Mitarbeiter geneigt sind, sofort nachzuschauen.
7. Autobeleuchtung an. Der aufmerksame Hausmeister meldet vermeintlich ein Auto, bei dem das Licht noch an ist und liefert im E-Mail-Anhang auch gleich ein Foto des betreffenden Fahrzeugs mit. Hier wird auf die Neugier der Empfänger gesetzt.
8. Paketzustellung fehlgeschlagen. Dies ist unter Phishern ein altbewährter Trick, der seit Jahren funktioniert. Heutzutage, vor allem dank der rasanten Zunahme von Hauslieferungen, ist er umso glaubwürdiger.
9. Persönliches Dokument aus der Personalabteilung. Ein angeblich „gesichertes Dokument“ des HR-Teams soll den plausiblen Grund dafür liefern, dass Mitarbeiter in Unternehmen sich davon überzeugen lassen, Passwörter einzugeben, wo sie es normalerweise nicht müssten, oder die Sicherheitseinstellungen ihres Computers anzupassen.
10. Neue Social-Media-Nachricht. LinkedIn, Xing und andere berufliche Netzwerke erfreuen sich aktuell steigender Popularität. Vor dem Hintergrund von Arbeitszeitkürzungen, Arbeitsplatzverlust und anderen beruflichen Konsequenzen, die die Corona-Pandemie mit sich bringt, ist der Erfolg mit scheinbaren Updates zu Aktivitäten im eigenen Netzwerk wenig überraschend. Betrüger machen sich die Situation zunutze.
Sophos gibt foglende Tipps zum Schutz vor Phishing:
Vor dem Klick erst kritisch prüfen: Selbst wenn eine Nachricht auf den ersten Blick unverdächtig aussieht, ist ein kritischer zweiter Blick oft entscheidend. Der Anwender sollte sich folgende Fragen stellen: Wird etwas versprochen, das bei genauer Betrachtung zu gut ist, um wahr zu sein? Gibt es Rechtschreibfehler, von denen man bezweifeln darf, dass der Absender sie machen würde? Findet sich ein Sprachstil, den das eigene Unternehmen sonst nicht pflegt? Ist von Software-Tools die Rede, die das Unternehmen gar nicht verwendet? Soll man Sicherheitseinstellungen vornehmen, vor denen die IT-Abteilung bislang gewarnt hat?
Im Zweifel den Absender fragen: Die Kontaktaufnahme sollte allerdings auf keinen Fall mit einer direkten Antwort auf die verdächtige Nachricht erfolgen. Der Anwender sollte den vermeintlichen Absender der verdächtigen Nachricht in einer separaten E-Mail fragen, ob er die betreffende Nachricht tatsächlich verfasst hat. Auch ein kurzer Anruf kann Klarheit bringen.
Achtung bei Links mit „kreativen“ Domainnamen: Viele Phishing-E-Mails enthalten Text und Bilder, die originalgetreu sind. Aber die Betrüger sind oft auf temporäre Cloud-Server oder gehackte Websites angewiesen, um ihre Phishing-Seiten zu hosten, und diese Täuschung lässt sich oft in dem Domainnamen aufdecken. Kriminelle registrieren oft „Beinahe-Namen“ eines Unternehmens, wobei sie Rechtschreibfehler, ähnlich aussehende Zeichen (zum Beispiel eine Null statt O) oder hinzugefügten Text verwenden.
Verdächtige E-Mails an das Sicherheitsteam senden: Lieber einmal zu viel die IT-Abteilung behelligen. Sobald eine verdächtige Nachricht im Postfach landet, ist sie am besten per Weiterleitung bei der IT-Security des Unternehmens aufgehoben. Das schützt auch andere, die dieselbe Nachricht vielleicht später erhalten.
Weitere Informationen finden sich unter www.sophos.de.
Lesen Sie mehr zum Thema
