Phishing-Simulationen: Mitarbeiter nicht wachsam genug

Phishing-Simulationen: Mitarbeiter nicht wachsam genug

Beitrag teilen

Mitarbeiter sind nicht wachsam genug, wenn sie Mails erhalten. So zeigt eine aktuelle Kaspersky-Analyse von Phishing-Simulationen in Unternehmen [1], dass viele Mitarbeiter versteckte Fallstricke zu Unternehmensangelegenheiten und Benachrichtigungen über angebliche Zustellprobleme in E-Mails in der Regel nicht bemerken.

Fast jeder Fünfte klickte auf den Link in den E-Mail-Vorlagen, der diese Art von Phishing-Angriffen imitierte. Andere gängige Phishing-Mails, die verkünden, der eigene Computer sei gehackt worden oder einen Gewinn versprechen, sind dagegen mit einer Klickkonversion von ein bis zwei Prozent kaum erfolgreich.

9 von 10 Attacken starten via Phishing

Schätzungen zufolge beginnen neun von zehn Cyberangriffen (91 Prozent) mit einer Phishing-E-Mail; Phishing-Techniken sind an zwei Drittel aller erfolgreichen Datenschutzverletzungen beteiligt (32 Prozent) [2].

Um weitere Einblicke in diese Bedrohung zu erhalten, haben Kaspersky-Experten die Dateneines Phishing-Simulators, die Nutzer freiwillig bereitgestellt hatten, gesammelt und analysiert. Dieses in die Kaspersky Security Awareness Platform [3] integrierte Tool hilft Unternehmen zu überprüfen, ob Mitarbeiter eine Phishing-E-Mail erkennen können, ohne Unternehmensdaten zu gefährden. Ein Administrator wählt aus einer Reihe von Vorlagen, die gängige Phishing-Szenarien nachahmen, aus oder erstellt eine individuelle Vorlage, sendet diese dann ohne Vorwarnung an die ausgewählte Gruppe von Mitarbeitern und verfolgt die Ergebnisse. Eine große Anzahl von Nutzern, die auf den Link klicken, zeigt, dass zusätzliche Cybersicherheitsschulungen erforderlich sind.

Die fünf effektivsten Betreffzeilen in Phishing-E-Mails

  • „Fehlgeschlagener Zustellversuch – Leider konnte unser Kurier Ihren Artikel nicht zustellen“ vermeintlich von einem Postzustelldienst: Klickkonversion von 18,5 Prozent
  • „E-Mails wurden wegen Überlastung der Mailserver nicht zugestellt“ vermeintlich vom Google-Supportteam: Klickkonversion von 18 Prozent
  • „Online-Mitarbeiterbefragung: Was würden Sie an der Arbeit im Unternehmen verbessern?“ vermeintlich von der Personalabteilung: Klickkonversion von 18 Prozent
  • „Erinnerung: Neue unternehmensweite Kleiderordnung“ vermeintlich von der Personalabteilung: Klickkonversion von 17,5 Prozent
  • „Achtung an alle Mitarbeiter: Evakuierungsplan für das neue Gebäude“ vermeintlich von der Sicherheitsabteilung: Klickkonversion von 16 Prozent

Weitere effektive Aufhänger für Phishing-E-Mails

  • Reservierungsbestätigungen eines Buchungsservices (11 Prozent)
  • Benachrichtigungen über eine Auftragserteilung (11 Prozent)
  • Ankündigung eines IKEA-Wettbewerbs (10 Prozent)

Dabei scheinen E-Mails, die den Empfänger bedrohen oder sofortige Vorteile versprechen, weniger „erfolgreich“ zu sein. Eine Vorlage mit dem Betreff „Ich habe Ihren Computer gehackt und kenne Ihren Suchverlauf“ klickten nur zwei Prozent der Nutzer an, Angebote für eine kostenlose Netflix-Nutzung und 1.000 US-Dollar nur ein Prozent.

„Die Phishing-Simulation ist eine der einfachsten Möglichkeiten, die Cyber-Resilienz von Mitarbeitern zu überprüfen und die Effizienz ihrer Cybersicherheitsschulungen zu bewerten. Es gibt jedoch wichtige Aspekte, die bei der Durchführung berücksichtigt werden müssen, damit sie wirklich wirkungsvoll ist“, erläutert Christian Milde, Geschäftsführer Central Europe bei Kaspersky. „Da Cyberkriminelle permanent ihre Methoden anpassen, muss die Simulation neben gängigen Cybercrime-Szenarien auch aktuelle Social-Engineering-Trends widerspiegeln. Es ist entscheidend, dass regelmäßig simulierte Angriffe durchgeführt und durch entsprechende Schulungen ergänzt werden. So entwickeln Nutzer ein starkes Bewusstsein, das es ihnen ermöglicht, nicht auf zielgerichtete Angriffe oder Spear-Phishing hereinzufallen.“

Kaspersky-Empfehlungen zum Schutz vor Phishing-Angriffen

  • Mitarbeiter regelmäßig über die grundlegenden Kennzeichen von Phishing-E-Mails informieren [4], wie eine alarmierende Betreffzeile, Fehler und Tippfehler, widersprüchliche Absenderadressen und verdächtige Links.
  • Wenn Zweifel bezüglich der empfangenen E-Mail bestehen, sollte das Format der Anhänge und die Genauigkeit des Links vor dem Anklicken überprüft werden. Indem der Mauszeiger über diese Elemente bewegt wird, kann sichergestellt werden, dass die Adresse authentisch aussieht und die angehängten Dateien nicht in einem ausführbaren Format vorliegen.
  • Phishing-Angriffe sollten immer der IT-Sicherheitsabteilung gemeldet werden. Auf diese Weise kann das Cybersicherheitsteam die Anti-Spam-Richtlinien neu konfigurieren und einen Vorfall verhindern.
  • Mitarbeiter sollten regelmäßig in Sachen Cybersicherheit geschult werden. Schulungen wie Kaspersky Security Awareness Training [5] zielen darauf ab, das Verhalten der Lernenden zu ändern und ihnen den Umgang mit Bedrohungen beizubringen.
  • Da Phishing-Versuche verwirrend sein können und es keine Garantie gibt, alle unbeabsichtigten Klicks zu vermeiden, sollten alle Geräte mit einer zuverlässigen Lösung wie Kaspersky Small Office Security [6] geschützt werden. Entsprechende Lösungen bieten Anti-Spam-Funktionen, verfolgen verdächtiges Verhalten und erstellen Backups im Falle von Ransomware-Angriffen.
[1] Die Statistiken basieren auf den Ergebnissen von 29.597 Mitarbeitern aus 100 Ländern. Nicht alle verfügbaren Phishing-Vorlagen wurden an jeden Mitarbeiter gesendet. Die präsentierten Daten umfassen Vorlagen, die an mehr als 100 Nutzer gesendet wurden. Die Phishing-Simulationskampagnen wurden zwischen Januar 2021 und Mai 2022 durchgeführt.
[2] https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html
[3] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[4] https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
[5] https://www.kaspersky.de/enterprise-security/security-awareness
[6] https://www.kaspersky.de/small-business-security/small-office-security

 

Mehr bei Kaspersky.com

 

Passende Artikel zum Thema

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Hacker-Barrieren: Kontenmissbrauch mit Least Privilege-Ansatz verhindern

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz ➡ Weiterlesen

Kryptominer „Golang“ schürft in Windows-Systemen

Neue Variante der Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen. „Totgesagte leben ➡ Weiterlesen

AV-TEST: Android-Security-Apps für Unternehmen

Das Labor von AV-TEST hat eine neue Testreihe für Android-Sicherheits-Apps für Unternehmen gestartet. Im ersten Test stellt AV-TEST anhand von ➡ Weiterlesen

Kaspersky Endpoint Security for Business mit EDR Optimum & Sandbox

Zukunftsweisender 3-in-1-Lösungsansatz für erweiterte Cybersicherheit für mittelständische und große Unternehmen Die neueste Version der Kaspersky-Flaggschifflösung Endpoint Security for Business [1] ➡ Weiterlesen

Kaspersky Security Awareness Training

Kaspersky präsentiert die neue Schulungsplattform Kaspersky Adaptive Online Training, die in Kooperation mit Area9 Lyceum, dem Spezialisten für adaptives und ➡ Weiterlesen

Sicherheitsfragen in Zeiten des Remote Work: IT-Experten antworten

Mit der Pandemiekrise, die Mitarbeiter weltweit an den heimischen Schreibtisch schickte, kamen auf Security-Verantwortliche in Unternehmen über Nacht neue Herausforderungen ➡ Weiterlesen

Insider-Bedrohungen durch ausscheidende Mitarbeiter

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch ➡ Weiterlesen