Unternehmen

Phishing-Mails: E-Mail-Angriffe erkennen und abwehren!

16.05.2022 - Die E-Mail ist immer noch das meistgenutzte Kommunikationsmedium im Geschäftsalltag. Auch bei Internetkriminellen ist die elektronische Post sehr begehrt, um durch Phishing-Mails einzigartige geschäftskritische Daten zu ergattern. In dem folgenden Blogbeitrag lesen Sie unter anderem, was Phishing-Attacken sind, was für Phishing-Betreffzeilen am meisten auftreten und auch wie Sie Phishing-Angriffe gut abwehren können.

Sehr geehrte Leserinnen und Leser,

E-Mails, E-Mails und noch mehr E-Mails: In der Mehrheit der Betriebe kommen heute im Stundentakt neue Geschäftsnachrichten, Newsletter und anderweitige Mitteilungen in den E-Mail-Postfächern der Angestellten herein. Jedoch leider stammen manche dieser seriös scheinenden E-Mails von Internetkriminellen, die mit betrügerischen Informationen hierauf abzielen, geschäftskritische Daten abzugreifen, Schadsoftware zu verbreiten bzw. Identitäten zu rauben.

Mittlerweile gehen jeden Tag mehr als 3 Milliarden betrügerische E-Mails in aller Herren Länder auf Jagd nach Passwörtern, PINs, private Daten, Finanzinformationen sowie Geschäftsgeheimnissen.

Ferner waren im Jahr 2020 laut Proofpoint drei Viertel aller Unternehmen in Deutschland, Frankreich, Großbritannien, Spanien, den USA, Australien und Japan von Phishing-Attacken bedroht – Tendenz steigend.

Gefälschte E-Mails als Einfallstor!

Phishing-Mails zählen zu den traditionsreichsten sowie populärsten Betrugstricks von Internetkriminellen. Das Heimtückische an ihnen ist, dass sie augenscheinlich von namhaften sowie vertrauenerweckenden Adressen kommen, welche teilweise auf vorgängige E-Mail-Unterhaltungen Bezug herstellen und neuerdings sogar Schriftstücke aus vergangenen Unterhaltungen, etwa Abrechnungen oder auch E-Mailverläufe im Attachment aufweisen. So wird die Gutgläubigkeit, aber auch die Unachtsamkeit der Arbeitnehmer bewusst ausgenutzt, um sie zum Klicken auf einen Link, zum Downloaden eines Dateianhangs, zum Senden vertraulicher Geschäftsdaten oder aber zur Überweisung eines Geldbetrags zu animieren.

Hier ist die Kreativität von den sogenannten Phishern schier unbegrenzt: Ständig alarmieren das Bundesamt für Sicherheit in der Informationstechnik, knapp BSI, und die Verbraucherzentralen vor brandneuen Phishing-Aktionen mit kreativ ausgedachten Storys. Nicht selten nutzen die Phisher gegenwärtige Themen sowie Ereignisse, etwa die Europäische Datenschutzgrundverordnung oder die Corona-Pandemie zum Anlass, um ihren betrügerischen E-Mail-Nachrichten den Schein von Glaubwürdigkeit zu verleihen, wie jene momentan im Lauf befindlichen Phishing-Nachrichten zeigen.
Neben Phishing-Nachrichten mit aktuellem Bezug, gibt es aber auch einige Standards, die immer zu funktionieren scheinen.

Gemäß KnowBe4 waren im letzten Viertel von 2021 die nachfolgenden Phishing-Betreffzeilen in Europa äußerst siegreich. In diesem Zusammenhang kommen jene Ergebnisse auf der einen Seite aus simulierten und auf der anderen Seite aus realen Phishing-E-Mails:

  • Einladung annehmen - Personalversammlung über Teams
  • Mitarbeiterportal - Timecard nicht eingereicht
  • Anlage zur Überprüfung
  • Sofortige Passwortüberprüfung erforderlich
  • [[Firmen_name]] Rechnung
  • IT: Cloud-Anmeldung
  • Spezielle Projektinformationen
  • Sie haben neue Nachrichten
  • Teams-Events
  • Microsoft: Privat geteiltes Dokument erhalten

Häufige Arten von Phishing-Mails!

Abhängig von auserkorenem Zielobjekt werden heute unterschiedliche Herangehensweisen beim Phishing mittels E-Mails genutzt. Dazu zählen:

  • Spray-and-Pray-Phishing: Beim Spray-and-Pray-Phishing werden E-Mails mit dem Betreff „dringend“ versendet, um die Mitarbeiter zum Angeben persönlicher Daten zu animieren. In der Regel beinhalten diese Rubriken von Phishing-Nachrichten Weiterleitungen zu gefälschten Anmeldeseiten, die häufig aber täuschend wahr erscheinen. Sobald ein Mitarbeiter seine Daten eintippt und absendet, werden diese an einen Remote-Webserver geschickt, auf dem diese von den Phishern eingesehen werden können.
  • Spear-Phishing: Beim Spear-Phishing werden gezielt Betriebe, Teams oder auch Einzelpersonen mit detailgenauen E-Mail-Nachrichten angegriffen. Dazu werden im Vorfeld ganz gezielt Namen, E-Mail-Adressen und andere individuelle Informationen von Netzwerkseiten wie LinkedIn oder gehackten E-Mail-Einträgen gesammelt. Auf dieser Basis werden Spear-Phishing-Mails versendet, die so wirken, als wären jene von dem Vertragspartner. Häufig umfassen die E-Mails falsche Rückfragen oder Rechnungen von Geschäftspartnern. Werden die angehängten Dateien heruntergeladen, wird schädliche Schadsoftware installiert, die beispielsweise Aktivitäten der Arbeitnehmer ausspioniert oder sogar private Daten für noch mehr Angriffe bündelt.
  • CEO-Phishing: Beim CEO-Phishing geben sich die Phisher als Geschäftsführer oder anderweitige Führungskraft des Betriebs aus. Jene tauschen einige Mails mit dem anvisierten Opfer aus, mit dem Ziel eine Vertrauensbasis zu schaffen. Nach einer gewissen Zeit wird die Zielperson nach privaten Daten der Mitarbeiter gefragt oder drum gebeten, Geld für einen vermeintlichen neuen Vertrag bzw. einen anderen eiligen Zweck auf ein bestimmtes Bankkonto zu überweisen.
  • Dynamite-Phishing: Beim Dynamite-Phishing generieren Phisher mithilfe von Malware, etwa Emotet, massenweise Phishing-Mails auf den infizierten Computern. Die Schadsoftware greift auf die dort gespeicherten Mails zu und fertigt sehr authentische Phishing-Mails in Form des Absenders. Die Mails werden dann an das gesamte Adressbuch gesendet und diese Malware breitet sich auf diese Weise rasant weiter aus.

Wie können Mitarbeiter vor Phishing-Mails geschützt werden?

Der ideale Weg, um sich persönlich vor Phishing-E-Mails zu schützen, ist neben dem Einsatz verschiedener, technischer Schutzmaßnahmen, beispielsweise Antiphishing-Lösungen, Spamfilter sowie E-Mail-Firewalls, exaktes Hinsehen und eine gesunde Skepsis im Umgang mit E-Mails und der Eingabe von Passwörtern im Netz.

Für Betriebe rät es sich demnach, sowohl die Führungspersonen und auch ihre Mitarbeiter in regelmäßigen Abständen über Phishing-Taktiken aufzuklären sowie diese mithilfe von simulierten Phishing-Übungen dieses Problem zu sensibilisieren. Nur so könnten Phishing-E-Mails früh genug erkannt sowie abgewehrt werden.

Achtsamkeit ist das oberste Gebot!

Heutzutage sind in keinster Weise kleinere noch riesige Unternehmen vor Phishing-Angriffen beschützt. Doch meist genügt schon ein aufmerksamer Blick ins E-Mail-Postfach, um Phishing-E-Mails zu entdecken.

Im Grunde gilt im Handling mit unbekannten sowie unerwarteten E-Mails:

  • Klicken Sie niemals auf Weiterleitungen.
  • Öffnen Sie keinesfalls Dateianhänge.
  • Antworten Sie nicht auf solche Mails.

Haben Sie noch Anliegen zum Inhalt? Oder suchen Sie nach einer passenden Anti-Phishing-Methode? Kontaktieren Sie uns!

Sie wollen immer auf dem Laufenden bleiben?
Jetzt Newsletter abonnieren.

Kundenhotline & Kontakt

Unsere Kundenhotline ist Ihre zentrale Anlaufstelle für Ihre Anfragen oder Bestellungen.
Sie können uns zu den aufgeführten Zeiten unter folgender Rufnummer erreichen:

02302-2896999Montag bis Donnerstag von 08:00 bis 17:00 Uhr,
Freitag von 08:00 bis 15:00 Uhr

Kontaktformular Adresse & Öffnungszeiten

Maria Forsch Kundenbetreuerin

Unsere Partner & Programme

Onlinetermin buchen