Phishing: Mitarbeiter fallen auf E-Mails herein

Geschäftliche Phishing-E-Mails sind weltweit die am häufigsten angeklickte Betreff-Kategorie. Sie reichen von Nachrichten, die vorgeben, von internen Organisationsabteilungen zu stammen bis hin zu externen Anfragen nach Informationen, die ein Gefühl der Dringlichkeit vermitteln und die Benutzer zu einer Aktion verleiten.

KnowBe4 listet die Ergebnisse der am häufigsten angeklickten Phishing-Methoden auf. Darunter befinden sich auch die am häufigsten angeklickten E-Mail-Betreffzeilen in Phishing-Tests. Die Hälfte der angeklickten E-Mails enthielt Betreffzeilen, die sich auf die Personalabteilung bezogen, darunter Informationen zu Urlaubsrichtlinien, Änderungen des Dress-Codes und Personalgespräche. Die andere Hälfte setzen sich aus IT-Anfragen zusammen, einschließlich von Passwortüberprüfungen. Die Testergebnisse sind auf der Website von KnowBe4 verfügbar.

Hier die Top-Themen für Phishing:

Personalabteilung: Ihre Leistungsbewertung ist fällig

Google: Sie wurden in einem Dokument erwähnt: „Entwurf des Strategieplans“

IT: Inventarisierungsformular

Microsoft 365: Microsoft 365 hat neue Passwort Anforderungen

Amazon: Guthaben auf Ihrem Verkäuferkonto bezahlt

Xerox: Neues Dokument wurde für [[E-Mail]] bearbeitet

Zoom: [[manager_name]] hat Ihnen eine Nachricht geschickt über das Zoom Nachrichtenportal

Facebook: Ihre letzte Facebook-Anmeldung

Ihr Fax liegt zur Ansicht bereit

Geld wurde erfolgreich abgehoben von Ihrem Bankkonto

Mittlerweile wissen die meisten Mitarbeitenden, dass sie nicht auf Links in einer SMS klicken sollten, in der eine angebliche Bestellung im Wert von mehreren Tausend Euro bestätigt werden soll, oder in der sie darüber informiert werden, vermeintlich aus heiterem Himmel einen Preis gewonnen zu haben. Aber was ist, wenn die Nachricht von der Personalabteilung kommt und ein Personalgespräch ansteht? Oder was, wenn es sich bei dem Anhang um den Entwurf einer Personalplanung handelt, in dem ihr Name erwähnt wird?

Geschäftliche Phishing-E-Mails sind besonders effektiv, weil sie legitimer wirken, dringlicher sind und dadurch eine schnellere Reaktion beim Empfänger auslösen. Die E-Mail-Quelle kann durch eine gefälschte Domäne verschleiert werden, so dass sie noch leichter zu übersehen ist, und kann sogar den Namen und das Logo des Unternehmens (manchmal sogar den Namen des Mitarbeiters) im E-Mail-Text enthalten. Die meisten enthalten einen Phishing-Hyperlink in der E-Mail oder einen angeblichen PDF-Anhang.

„Wir wissen bereits, dass mehr als 80 Prozent der Datenschutzverletzungen in Unternehmen weltweit auf menschliches Versagen zurückzuführen sind“, sagt Stu Sjouwerman, CEO von KnowBe4. „Die Security Awareness-Schulung der Mitarbeiter ist eine der kostengünstigsten und effektivsten Methoden, um Social Engineering-Angriffe zu vereiteln. Durch die Schulung werden die Mitarbeiter in die Lage versetzt, eine verdächtige E-Mail schnell zu erkennen, selbst wenn sie von einer internen Quelle zu stammen scheint, so dass sie innehalten, bevor sie klicken. Dieser Moment, in dem sie innehalten und die E-Mail hinterfragen, ist ein entscheidendes und oft übersehenes Element der Security Culture, dass die Angriffsfläche eines Unternehmens erheblich verringern kann.“

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago