Dauerbrenner Phishingmails

2008 habe ich ertsmal √ľber Pishingmails berichtet. Seither hat sich an ihrer kriminellen „Attraktivit√§t“ nichts ge√§ndert. Allerdings sind zahlreiche weitere Szenarien entstanden: Cyberkriminelle kreieren anscheinend glaubw√ľrdige Themen f√ľr ihre Phishing-Attacken. Dass und wie Kriminell aktuelle Themen tats√§chlich in die Tat umsetzen k√∂nnen, zeigt eine Erhebung des Sophos Phish-Threat-Teams aus der ersten Jahresh√§lfte 2020.

Sophos Phish Threat ist ein Simulator f√ľr Phishing-Angriffe, mit dem IT-Abteilungen die Anf√§lligkeit der Mitarbeiter*innen im eigenen Unternehmen f√ľr Phishing-Attacken testen und so die Belegschaft gezielter aufkl√§ren sowie Pr√§vention betreiben k√∂nnen. Auf Basis der so gewonnenen Daten hat das Sophos-Phish-Threat-Team die zehn Top-Themen f√ľr erfolgversprechendes Phishing ermittelt. Jeweils mindestens 1.000 Phishing-Emails pro Rubrik flossen in die Auswertung ein. Im √ľberraschenden Ergebnis zeigt sich, dass die mutma√ülich erfolgreichsten Phishing-Tricks eher simpel als inhaltlich ausgekl√ľgelt daherkommen und auf Alltagsdinge abzielen:

  1. Neue Verhaltensregeln im Unternehmen. Ein angeblicher Brief der Personalabteilung, in dem die neuen Verhaltensregeln des Unternehmens umrissen wurden. Angesichts des weltweiten Interesses an einer gr√∂√üeren Vielfalt am Arbeitsplatz und der Verringerung von Bel√§stigungen und Missverst√§ndnissen √ľberarbeiten viele Unternehmen derzeit ihre Besch√§ftigungsrichtlinien.
  2. Versp√§tete Lohnsteuerbescheinigung zum Jahresende. Durch diese E-Mail wurden die Mitarbeiter*innen ‚Äď scheinbar seitens des Arbeitgebers ‚Äď dar√ľber informiert, dass notwendige Steuerunterlagen nicht zum √ľblichen Zeitpunkt eintreffen w√ľrden.
  3. Geplante Server-Wartung. Eine Betreffzeile, von der viele im Phish-Threat-Team glaubten, dass sie zumeist √ľberlesen bzw. ignoriert w√ľrde. Zur √úberraschung der IT-Experten landete diese Rubrik jedoch auf Platz 3. Eine Planbarkeit von IT-Verf√ľgbarkeiten und Arbeitszeiten scheint deutlich an Relevanz gewonnen zu haben.
  4. Zu erledigende Aufgaben. Hier kommt die Nachricht scheinbar vom Projektplanungssystem, das die Firma verwendet. Ein solche Phishing-Variante ist auch im Realen m√∂glich, weil davon ausgegangen werden kann, dass die in Unternehmen verwendeten Gesch√§ftswerkzeuge weithin bekannt sind und von Betr√ľgern leicht, vielleicht sogar automatisch, herausgefunden werden k√∂nnen.
  5. Test eines neuen E-Mail-Systems. Wer möchte dem Unternehmen oder dem IT-Dienstleister nicht hilfreich sein, wenn es nur eines schnellen Klicks bedarf? Und schon ist man in die Falle getappt.
  6. Aktualisierung der Urlaubsrichtlinien. Seit der Coronavirus-Pandemie sind Reiseplanungen komplizierter geworden. Die meisten Unternehmen aktualisieren ihre Urlaubsrichtlinien und Quarantäneregelungen jeweils entsprechend der weltweiten Pandemieentwicklung und den Empfehlungen der Regierung. Klar, dass hier viele Mitarbeiter geneigt sind, sofort nachzuschauen.
  7. Autobeleuchtung an. Der aufmerksame Hausmeister meldet vermeintlich ein Auto, bei dem das Licht noch an ist und liefert im E-Mail-Anhang auch gleich ein Foto des betreffenden Fahrzeugs mit. Hier wird auf die Neugier der Empfänger gesetzt.
  8. Paketzustellung fehlgeschlagen. Dies ist unter Phishing-Gangstern ein altbew√§hrter Trick, der seit Jahren funktioniert. Heutzutage, vor allem dank der rasanten Zunahme von Hauslieferungen, ist er leider umso glaubw√ľrdiger geworden.
  9. Pers√∂nliches Dokument aus der Personalabteilung. Ein angeblich ‚Äěgesichertes Dokument‚Äú des HR-Teams soll den plausiblen Grund daf√ľr liefern, dass Mitarbeiter*innen in Unternehmen sich davon √ľberzeugen lassen Passw√∂rter einzugeben, wo sie es normalerweise nicht m√ľssten oder die Sicherheitseinstellungen ihres Computers anzupassen. Vorgeblich zur Verbesserung der Sicherheit ‚Äď das Gegenteil ist nat√ľrlich der Fall und Zweck.
  10. Neue Social-Media-Nachricht. LinkedIn, Xing und andere berufliche Netzwerke erfreuen sich aktuell steigender Popularit√§t. Vor dem Hintergrund von Arbeitszeitk√ľrzungen, Arbeitsplatzverlust und anderen beruflichen Konsequenzen, die die Corona-Pandemie mit sich bringt, ist der Erfolg mit scheinbaren Updates zu Aktivit√§ten im eigenen Netzwerk wenig √ľberraschend. Betr√ľger machen sich die Situation zunutze.

Das Sophos-Phish-Threat-Team gibt einige Tipps zum Schutz vor Phishing

Vor dem Klick erst kritisch pr√ľfen. Selbst wenn eine Nachricht auf den ersten Blick unverd√§chtig aussieht, ist ein kritischer zweiter Blick oft entscheidend, folgende Fragen sollten gestellt werden: Wird z.B. etwas versprochen, das bei genauer Betrachtung zu gut ist, um wahr zu sein? Gibt es Rechtschreibfehler, von denen man bezweifeln darf, dass der Absender sie machen w√ľrde? Findet sich ein Sprachstil, den das eigene Unternehmen sonst nicht pflegt? Ist von Software-Tools die Rede, die die Firma gar nicht verwendet? Sollen Sicherheitseinstellungen vorgenommen werden, vor denen bislang gewarnt wurde?

Im Zweifel den Absender fragen. Die Kontaktaufnahme sollte allerdings auf keinen Fall mit einer direkten Antwort auf die verdächtige Nachricht erfolgen. Der vermeintliche Absender der verdächtigen Nachricht sollte in einer separaten E-Mail gefragt werden, ob er die betreffende Nachricht tatsächlich verfasst hat. Auch ein kurzer Anruf kann Klarheit bringen.

Achtung bei Links mit ‚Äěkreativen‚Äú Domainnamen. Viele Phishing-E-Mails enthalten Text und Bilder, die originalgetreu sind. Aber die Betr√ľger sind oft auf tempor√§re Cloud-Server oder gehackte Websites angewiesen, um ihre Phishing-Webseiten zu hosten, und diese T√§uschung kann oft in dem Domainnamen aufgedeckt werden. Gauner registrieren oft Beinahe-Namen wie yourcompany, yourc0mpany (Null f√ľr den Buchstaben O) oder yourcompany-site, wobei sie Rechtschreibfehler, √§hnlich aussehende Zeichen oder hinzugef√ľgten Text verwenden.

Verd√§chtige E-Mails ans Sicherheitsteam senden. Lieber einmal zu viel die IT-Abteilung behelligen. Sobald eine verd√§chtige Nachricht im Postfach landet, ist sie am besten per Weiterleitung bei der IT-Security des Unternehmens aufgehoben. Hiermit k√∂nnen auch andere Kolleg*innen gesch√ľtzt werden, die dieselbe Nachricht vielleicht sp√§ter erhalten.

Quelle: Sophos

Tags: , ,

Nichts verpassen und neue Beiträge abonnieren

Privatsphäre garantiert! Jederzeit abbestellbar!

einen Kommentar schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Top