Bildung und Bewusstsein sind die ersten Schritte
Nur eine, harmlos aussehende und bösartige E-Mail kann Unternehmen Millionen von Dollar kosten und die Geschäftskontinuität stören. Wenn man dazu noch die Raffinesse der E-Mail-Angriffe und die akribischen Social-Engineering-Techniken hinzufügt, haben wir das Rezept für eine potenzielle Cyber-Katastrophe. Daher sollten Unternehmen neben der Bereitstellung der besten E-Mail-Sicherheitslösung ihre Mitarbeiter über E-Mail-Systeme aufklären, um eine letzte Verteidigungslinie gegen diese Angriffe zu schaffen.
Gängige Social-Engineering-Techniken und wie sie die menschliche Natur ausnutzen
Social Engineers wissen, wie Menschen arbeiten und denken, und machen sich dieses Wissen gerne zunutze. Ein Social Engineer kann verschiedene Taktiken anwenden, um sein Ziel dazu zu bringen, das zu tun, was es will:
- Einsatz von Autorität: Organisationen sind als Hierarchien aufgebaut, in denen die Personen an der Spitze das Sagen haben. Ein Social Engineer kann sich als jemand mit Autorität ausgeben und seinem Ziel befehlen, etwas zu unternehmen.
- Den Charme nutzen: Menschen tun eher Dinge für Menschen, die sie mögen. Ein Social Engineer könnte versuchen, sein Charisma zu nutzen, um jemanden dazu zu bringen, das zu tun, was er will.
- Geben und Nehmen: Social Engineers geben ihrem Ziel möglicherweise kostenlos etwas Kleineres. Dann nutzen sie das Gefühl der Verpflichtung aus, das zu bekommen, was sie wollen.
- Suche nach Unterstützung: Es ist wahrscheinlicher, dass Menschen etwas tun, worum sie jemand bittet, nachdem sie diese Person oder Sache öffentlich unterstützt haben. Ein Social Engineer könnte die öffentliche Unterstützung seines Opfers einholen und dann um etwas bitten.
- Tun Sie, was beliebt ist: Menschen mögen es, beliebt zu sein. Ein Social Engineer wird den Eindruck erwecken, dass „jeder das tut“, wozu er ein Ziel verleiten will.
- Knappes Angebot: Social Engineers lassen das, was sie anbieten, möglicherweise knapp oder wie ein zeitlich begrenztes Angebot erscheinen. Dies erhöht die Wahrscheinlichkeit, dass die Leute es überstürzen (wie Toilettenpapier während COVID-19).
Cyberkriminelle nutzen alle diese Taktiken, um sich Zugang zum Netzwerk und zu sensiblen Informationen einer Organisation zu verschaffen. Während und nach der COVID-19-Pandemie, in der viele Mitarbeiter von zu Hause aus arbeiten, sind Unternehmen anfälliger für Phishing-Angriffe als zuvor.
Arten von Phishing-Angriffen
Vereinfacht ausgedrückt handelt es sich bei einem Phishing- Angriff um einen Social-Engineering-Angriff, der über E-Mail oder eine andere Kommunikationsplattform ausgeführt wird. Ziel dieser Angriffe ist es, jemanden dazu zu bringen, auf einen Link zu klicken, einen Anhang herunterzuladen, vertrauliche Daten weiterzugeben oder andere schädliche Maßnahmen zu ergreifen.
Phishing-Angriffe können in unterschiedlichen Formen auftreten. Einige häufige Beispiele sind:
- Kontoprobleme: Eine gängige Phishing-Taktik besteht darin, jemandem mitzuteilen, dass ein Problem mit einem seiner Online-Konten (Amazon, Netflix, PayPal usw.) vorliegt. Wenn sie sich beeilen, auf den Link zu klicken und das Problem zu beheben, erbeutet der Angreifer ihre Anmeldedaten.
- Kompromittierung von Geschäfts-E-Mails (BEC): Ein BEC-Angriff ist ein klassisches Beispiel für die Nutzung von Autorität. Der Angreifer verkörpert eine wichtige Person innerhalb einer Organisation (CEO, Management usw.) und weist das Ziel an, eine schädliche Aktion durchzuführen, beispielsweise Geld auf ein Konto zu senden, das ein Angreifer kontrolliert.
- Gefälschte Rechnung: Der Angreifer kann sich als Verkäufer ausgeben, der die Zahlung einer ausstehenden Rechnung verlangt. Dieser Betrug zielt entweder darauf ab, das Opfer dazu zu bringen, dem Angreifer Geld zu schicken, oder ihn dazu zu bringen, einen Anhang mit Malware herunterzuladen und zu öffnen.
- Freigegebene Cloud-Dokumente: Cyberkriminelle nutzen häufig die cloudbasierte Dokumentenfreigabe, um die Sicherheit von Office 365 und andere integrierte Sicherheitslösungen zu umgehen. Oft überprüfen diese Tools, ob ein Link legitim ist, prüfen jedoch nicht, ob das freigegebene Dokument keine schädlichen Inhalte enthält. Alternativ kann ein Angreifer vorgeben, ein Dokument zu teilen, und eine Seite anzeigen, auf der das Opfer seine Anmeldeinformationen eingeben muss, und diese dann an den Angreifer senden.
Viele dieser E-Mails sind so gestaltet, dass sie wie echte E-Mails aussehen. Es ist wichtig, dass Sie sich eine Sekunde Zeit nehmen, um eine E-Mail zu validieren, bevor Sie ihr vertrauen.
Worauf Sie bei einer bösartigen E-Mail achten sollten
Offensichtlich sind Phishing-E-Mails so plausibel wie möglich gestaltet, um die Wahrscheinlichkeit zu maximieren, das Opfer auszutricksen. Allerdings gibt es einige Warnzeichen, die auf eine bösartige E-Mail hinweisen:
- Absenderadresse: Phisher verwenden bei ihren Angriffen häufig E-Mail-Adressen, die vertrauenswürdig oder legitim erscheinen. Überprüfen Sie immer die Absenderadresse auf Fehler, denken Sie jedoch daran, dass ein Angreifer möglicherweise das tatsächliche Konto kompromittiert hat und es für seinen Angriff verwendet.
- Anrede: Die meisten Unternehmen personalisieren ihre E-Mails, indem sie sie namentlich an den Empfänger adressieren. Ein Phisher kennt jedoch möglicherweise nicht den Namen, der zu einer bestimmten E-Mail-Adresse gehört. Wenn eine Anrede zu allgemein ist – wie „Sehr geehrter Kunde“ – kann es sich um eine Phishing-E-Mail handeln.
- Ton und Grammatik: Oft klingt eine Phishing-E-Mail nicht richtig und weist Rechtschreib- und Grammatikprobleme auf. Wenn eine E-Mail für den Absender unpassend erscheint, ist sie wahrscheinlich bösartig.
- Nicht übereinstimmende Links: Sie können das Ziel eines Links in einer E-Mail auf einem Computer überprüfen, indem Sie mit der Maus darüber fahren. Wenn der Link nicht dorthin gelangt, wo er hingehört, ist die E-Mail wahrscheinlich bösartig.
- Seltsame Anhangstypen: Phishing-E-Mails werden häufig zur Verbreitung von Malware verwendet. Wenn Sie eine „Rechnung“ erhalten, bei der es sich um eine ZIP-Datei, eine ausführbare Datei oder etwas anderes Ungewöhnliches handelt, handelt es sich wahrscheinlich um Malware.
- Der Push: Phishing-E-Mails sollen das Opfer dazu bringen, etwas zu tun. Wenn eine E-Mail ein Gefühl der Dringlichkeit hervorruft oder zu einer bestimmten Aktion drängt, kann sie bösartig sein.
Die Bedeutung des E-Mail-Sicherheitsbewusstseins
Das Bewusstsein für E-Mail-Sicherheit ist für den Schutz eines Unternehmens vor E-Mail-Angriffen von entscheidender Bedeutung. Durch die Schulung der Mitarbeiter im Erkennen der Anzeichen einer Phishing-E-Mail – insbesondere der derzeit gängigen Vorwände und Techniken – lässt sich die Wahrscheinlichkeit verringern, dass sie auf einen schädlichen Link klicken oder einen Anhang öffnen.
Es ist auch sinnvoll, den Mitarbeitern beizubringen, verdächtige Phishing-E-Mails dem IT- oder Sicherheitsteam Ihres Unternehmens zu melden. Dadurch können sie Nachforschungen anstellen und reagieren, falls ein anderer Mitarbeiter auf den Phishing-Angriff hereinfällt.
Doch selbst mit dem besten Schulungsprogramm kann es vorkommen, dass eine Phishing-E-Mail erfolgreich ist, und in vielen Fällen sind die in Ihre E-Mail-Lösung integrierten Cloud-E-Mail-Sicherheitsfunktionen nicht in der Lage, den Angriff abzuwehren. Die Investition in eine spezielle E-Mail-Sicherheitslösung ist eine gute Wahl, um zu verhindern, dass diese bösartigen E-Mails Benutzer überhaupt erreichen.