Unternehmen im Visier

Top-Ten: Die fiesesten Tricks der Phishing-Mafia

Symbolbild.

(Bild: stock.adobe.com)

Gefälschte E-Mails, mit denen Cyberkriminelle Internetnutzern Schadcode unterjubeln oder Daten absaugen, sind im Privat- wie im Geschäftsumfeld eine der größten Gefahren im Netz. Die gefälschten Mails kommen auf den ersten Blick von Kollegen, Vorgesetzten oder Unternehmen und werden mit viel Einfallsreichtum so gestaltet, dass der Nutzer den Betrug nicht gleich bemerkt. Das IT-Security-Unternehmen Sophos hat nun die 10 gefährlichsten Phishing-Maschen 2020 gekürt.

Die Zusammenstellung kommt vom Sophos Phish Threat Team, das ein Tool für Geschäftskunden entwickelt hat, mit dem diese Phishing-Angriffe auf das Unternehmen und seine Mitarbeiter simulieren und in Folge abschätzen können, wie erfolgreich so ein Angriff verlaufen würde. Dafür haben die Experten eine Vielzahl von Phishing-Mails analysiert und die zehn gefährlichsten Maschen im Unternehmensumfeld identifiziert.

(Bild: ©Maksim Kabakou - stock.adobe.com)

Hier sehen Sie die Phishing-Top-Ten:

1. Die neuen Verhaltensregeln: Hier tarnen die Angreifer ihre Mails als Nachricht der Personalabteilung, in der diese angeblich überarbeitete Verhaltensrichtlinien der Firma vorstellt. Die Phishing-Betrüger liefern auch gleich einen Link zu diesen angeblichen Regeln mit, auf den man keinesfalls klicken sollte.
2. Die verspätete Steuerinformation: Hier täuschen die Phishing-Betrüger wichtige Informationen zur angeblichen Verspätung von Steuerinformationen vor, inklusive Link oder Anhang mit den angeblichen Infos. Wer darauf klickt, tappt in eine Falle.
3. Die falsche Serverwartung: Hier streifen die Phishing-Betrüger den Deckmantel der IT-Abteilung über und verkünden in ihren Nachrichten, dass eine wichtige Serverwartung nötig sei. Weitere Infos verspricht ein Link oder Anhang, bei dem es sich freilich um eine Finte handelt.
4. Die neue Aufgabe: Hier nutzen Phishing-Betrüger Wissen über die in einem Unternehmen genutzten Projektplanungs-Tools aus und verschicken E-Mails, in denen angeblich neue zugewiesene Aufgaben in einem solchen Tool auf das Opfer warten. Will es sich über die angebliche neue Aufgabe informieren, schnappt die Falle zu.
5. Der E-Mail-Systemtest: Hier werden Phishing-Nachrichten verschickt, die sich als Test-Mail tarnen, mit dem die IT-Abteilung das angeblich gerade eingeführte neue E-Mail-System testen will. Wer auf den Link klickt, wird Phishing-Opfer.
6. Die falsche Urlaubsinfo: Gerade jetzt in der Corona-Pandemie haben viele Unternehmen ihre Regelungen für den Urlaubskonsum modifiziert, und das wissen auch die Phishing-Betrüger. Sie nutzen dieses Wissen, um Opfer mit angeblichen Info-Mails zur Urlaubsregelung zu ködern.
7. Der eingeschaltete Scheinwerfer: Hier tarnen sich die Phishing-Betrüger als Gebäudeverwalter und schicken E-Mails, in denen sie auf ein angeblich mit angeschaltetem Scheinwerfer geparktes Auto am Firmenparkplatz verweisen. Ein Link soll zu einem angeblichen Foto des Fahrzeuges führen, ist aber in Wahrheit eine Phishing-Finte.
8. Der gescheiterte Zustellversuch: Boten- und Paketdienste werden im privaten Umfeld seit Jahren gern als Deckmantel für Phishing-Kampagnen genutzt - und ebenso im Firmenumfeld. Im E-Mail wird ein Link angeboten, um Kontakt mit dem Paketdienst aufzunehmen, der natürlich wieder eine Falle ist.
9. Das Hochsicherheits-Dokument: Hier gaukeln die Betrüger dem Opfer vor, ein speziell gesichertes Dokument von der Personalabteilung erhalten zu haben, das er nur betrachten kann, wenn er sich zuvor mit seinen Firmenzugangsdaten anmeldet. Wer das tut, gibt die höchst sensiblen Daten in die Hände der Phishing-Betrüger.
10. Die Social-Media-Benachrichtigung: Hier versenden die Phishing-Betrüger E-Mails, die jene sozialer Netzwerke wie LinkedIn imitieren und auf eine angeblich ungelesene Nachricht verweisen. Wer auf den Link klickt, weil er die Nachricht lesen will, wird Phishing-Opfer.

Viele dieser Phishing-Betrugsversuche werden von langer Hand vorbereitet: Die Hinterleute sammeln vorab Informationen über das Zielunternehmen und dessen Organigramm und nutzen dieses Wissen, um sich eine glaubwürdige Tarnung zuzulegen. Entsprechend schwierig ist es für den einzelnen Mitarbeiter, ausgeklügelte Phishing-Kampagnen zu erkennen und ihnen zu widerstehen.

(Bild: stock.adobe.com)

Damit Sie nicht zum Phishing-Opfer werden, hat Sophos einige Tipps:

• Erst denken, dann klicken: Selbst, wenn eine Nachricht unverdächtig wirkt, sollten Sie immer im Hinterkopf behalten, dass es sich um einen Betrugsversuch handeln kann. Achten Sie daher besonders auf Rechtschreibfehler, die der angebliche Absender nicht machen würde, aber auch auf Details wie die Ausdrucksweise und ungewöhnliche Bitten, die man vom Gegenüber so nicht erwarten würde.
• Wenn Zweifel herrschen: Kontaktieren Sie das angebliche Gegenüber auf einem anderen Kanal - etwa über das E-Mail-Adressbuch des Unternehmens, per Telefon oder über ein internes Chatprogramm. So können Sie prüfen, ob der Absender tatsächlich der ist, der er zu sein vorgibt.
• Sehen Sie sich Links an, bevor Sie klicken: Oft nutzen Phishing-Betrüger für ihre gefälschten Websites Internetadressen, die jener der Zielorganisation täuschend ähnlich sehen und sich vielleicht nur in einem oder zwei Zeichen unterscheiden. Achten Sie daher bei Links penibel darauf, wohin der Verweis führt und ob es sich wirklich um die Website des angeblichen Absenders handelt.
• Melden Sie Phishing-Versuche: Wenn Sie ein Phishing-Mail erhalten, sollten Sie nicht nur nicht darauf hereinfallen, sondern es auch in der IT-Abteilung Ihres Unternehmens melden. Meist senden Phishing-Betrüger massenhaft Nachrichten und eine frühzeitige Information verhindert mit etwas Glück, dass Kollegen darauf hereinfallen.

Für solche Meldungen empfiehlt Sophos den IT-Verantwortlichen in Unternehmen, eine eigene E-Mail-Adresse einzurichten. Das sei schnell erledigt und helfe, die gesamte Belegschaft für Phishing und seine Folgen zu sensibilisieren und bei Attacken schnell reagieren zu können.