Was Sie über Phishing-Praktiken wissen sollten
Leider sind Phishing-E-Mails zu einer gängigen und gefährlichen Praxis geworden. Wir raten Ihnen und Ihrem Team dringend, bei E-Mails, die Sie außerhalb der Plattform mit mehrdeutiger Sprache und Links erhalten, vorsichtig zu sein.
Phishing-E-Mails – insbesondere sozial manipulierte Phishing-E-Mails – sind oft sehr raffiniert und darauf ausgelegt, der Erkennung zu entgehen. Sie werden selten von auf der schwarzen Liste stehenden IP-Adressen gesendet und passieren daher die RBL-Prüfungen, bevor sie im Posteingang des Empfängers ankommen.
Wenn eine Phishing-E-Mail alle verfügbaren technologischen Lösungen umgeht und im Posteingang eines Ziels landet, ist die einzige Möglichkeit, den Erfolg des Phishing-Angriffs zu verhindern, die Wachsamkeit des vorgesehenen Ziels.
Phishing-Prävention erfordert ständige Wachsamkeit; diese Merkmale, die häufig in Phishing-E-Mails zu finden sind, helfen Ihrem Team, sicher zu bleiben.
1. E-Mails, die sofortiges Handeln verlangen
E-Mails, die auf dringende Maßnahmen drängen, tun dies, um das Ziel zu verwirren oder abzulenken. Normalerweise droht diese Art von E-Mail mit negativen Konsequenzen, wenn die Handlung nicht ausgeführt wird, und die Empfänger sind so darauf bedacht, die negativen Folgen zu vermeiden, dass sie versäumen, die E-Mail auf Unstimmigkeiten oder Anzeichen dafür zu überprüfen, dass sie gefälscht sein könnte.
2. E-Mails mit Rechtschreibfehlern
Die meisten Unternehmen verwenden jetzt Rechtschreibprüfungsfunktionen in E-Mail-Clients oder Webbrowsern, um sicherzustellen, dass ihre Firmenkommunikation einen professionellen Eindruck hinterlässt. E-Mails, die angeblich von einer professionellen Quelle stammen und Rechtschreib- oder Grammatikfehler enthalten, sollten mit Misstrauen betrachtet werden.
3. E-Mails mit ungewöhnlichen Anreden
E-Mails von Freunden und Kollegen beginnen normalerweise mit einer informellen Anrede. Nachrichten, die mit "Sehr geehrte/r XXXXX" beginnen oder eine Sprache verwenden, die Ihre Kontakte normalerweise nicht nutzen, stammen wahrscheinlich von einem Angreifer und sollten nicht beantwortet oder ausgeführt werden. Melden Sie sie stattdessen dem IT-Sicherheitsteam Ihrer Organisation als Maßnahme zur Phishing-Prävention.
4. Abweichungen bei E-Mail-Adressen
Im Rahmen der besten Praktiken der E-Mail-Sicherheit sollten Sie die E-Mail-Adressen der Absender stichprobenartig überprüfen, insbesondere wenn eine E-Mail-Adresse eines regelmäßigen Kontakts ungewohnt erscheint. Der Vergleich der E-Mail-Adresse des Absenders mit früheren E-Mails derselben Person kann helfen, Unstimmigkeiten zu erkennen.
5. Unstimmigkeiten in Links und Domain-Namen
Schädliche Links können als legitime getarnt sein. Ermutigen Sie Mitarbeiter, mit der Maus über Links in E-Mails zu fahren, um die tatsächliche Adresse zu sehen. Wenn eine E-Mail vorgibt, von einem Geschäftskontakt zu stammen, die angezeigte Adresse jedoch unbekannt ist, handelt es sich wahrscheinlich um einen Phishing-Versuch.
6. Vorsicht bei verdächtigen Anhängen
Da das Teilen von Dateien hauptsächlich über Zusammenarbeitstools wie Dropbox, OneDrive oder SharePoint erfolgt, sollten E-Mails mit Anhängen von Kollegen mit Vorsicht betrachtet werden. Dies gilt besonders, wenn der Anhang eine unbekannte Erweiterung oder eine häufig für Malware verwendete Erweiterung (.zip, .exe, .scr, etc.) hat.
7. E-Mails, die zu gut erscheinen, um wahr zu sein
E-Mails, die zu gut erscheinen, um wahr zu sein, locken Empfänger oft mit Versprechungen von Vorteilen dazu, auf einen Link zu klicken oder einen Anhang zu öffnen. Selbst wenn die E-Mail soziale Manipulation verwendet, um Neugier oder Gier anzusprechen, sollte sie als verdächtig eingestuft werden, wenn der Empfänger den Kontakt nicht initiiert hat.
8. E-Mails, die nach sensiblen Informationen fragen
E-Mails, die nach Anmeldedaten, Zahlungsinformationen oder anderen sensiblen Daten fragen, sollten immer mit Vorsicht behandelt werden. Indem die Empfänger die oben genannten Best Practices zur Phishing-Prävention befolgen, können sie bestimmen, ob diese E-Mails eine Bedrohung darstellen, und entsprechend handeln.
Hier sind einige Beispiele für Phishing-Fälle:
E-Mail, die vom Betrüger gesendet wurde:
Antwort, die der Betrüger nach einigen der im vorherigen E-Mail enthaltenen Links gesendet hat, die das Opfer aufforderten, sich "erneut anzumelden":
Ein weiteres Beispiel eines Betrügers, der "großes Interesse" mit einem Gefühl der Dringlichkeit zeigt:
Phishing-Prävention erfordert ständige Wachsamkeit. Bilden Sie Ihre Teams aus und beteiligen Sie sie am Kampf gegen Phishing, um die Cybersicherheitslage Ihres Unternehmens messbar zu verbessern.