Opfern Sie geheime Daten nicht dem Phish-Markt!

Gut getarnt ist halb gewonnen

Neugier, Gutgläubigkeit, Sorglosigkeit: Auf menschliche Schwächen können sich Phishing-Täter noch immer verlassen. Allerdings tarnen sie ihre Angriffe inzwischen auch um einiges kreativer. Mit folgenden Methoden verleiten sie Opfer dazu, auf betrügerische Links zu klicken bzw. sensible Daten wie Passwörter oder Bank-Informationen zu verraten:

• CEO-Fraud, auch Business Email Compromise (BEC) genannt
  Die Betrüger kreieren E-Mail-Adressen, die den Eindruck erwecken, als stammten sie von einem Mitglied des Managements oder überhaupt vom CEO selbst. Die Nachricht geht an die Buchhaltung mit der Aufforderung, einen hohen Geldbetrag an ein – meist ausländisches – Konto zu überweisen. Die Masche ist so simpel, dass selbst diejenigen darauf hereinfallen, die es am besten wissen müssten: Arglose Mitarbeiter der Buchhaltung wagen gerade in hierarchisch geführten Firmen oft nicht, den Auftrag einer (vermeintlichen) Führungskraft zu hinterfragen und führen diesen anstandslos aus.
   
• Social-Engineering-Mails
  Die Täter wählen oft eine konkrete Zielperson aus und nutzen gern Social-Media-Kanäle, um sich im Vorfeld über das Opfer zu informieren. Die Phishing-Mail kommt dann angeblich von einem Absender, den das Opfer kennt – eine Führungskraft, ein Rechtsvertreter, ein Händler etc. Es könnte auch ein „lieber Kollege“ sein, der die Zielperson bittet, ihm ein Passwort oder spezielle Unternehmensdaten zu mailen.
   
• Phishing-Mail mit Link zu gefälschter Website
  ​​​​​​​Die häufigste Form von Phishing funktioniert deshalb so gut, weil wir es gewohnt sind, Aufforderungen zum Aktualisieren persönlicher Daten zu erhalten. Das Opfer erhält eine E-Mail einer gut bekannten Marke (PayPal, Gmail, Bank,...), etwa mit dem Hinweis, ein abgelaufener Account sei durch neuerliche Eingabe der Anmeldedaten zu reaktivieren. Der Link dazu führt auf eine bösartige URL, wo Betrüger die Daten abgreifen.

Betrügerische Mails ausfiltern

Das sind nur drei von vielen Phishing-Methoden. Wie schützen Sie Ihr Unternehmen also am besten? Die beste Phishing-Mail ist jene, die eine Zielperson erst gar nicht erreicht. eww ITandTEL bietet Web- und E-Mail-Sicherheitslösungen, die Bedrohungen durch wirksame Filter schon im Vorfeld blockieren können.
​​​​​​​
Setzen Sie gerade bei heiklen Aktionen auf eine Zwei- oder Mehr-Faktoren-Authentifizierung. Betrüger haben es bedeutend schwerer, wenn zum Beispiel der Buchhalter die Überweisung hoher Geldbeträge erst nach einer Bestätigungs-SMS der Führungskraft freigeben kann.

Erst nachdenken, dann klicken!

Schärfen Sie – immer und immer wieder! – das Bewusstsein Ihrer Mitarbeiter für den sorgsamen Umgang mit sensiblen Daten. Oft genügt ein kurzer, aber kritischer Blick auf die Absender-Adresse, um eine minimale Abweichung und damit eine betrügerische Phishing-Mail zu erkennen. Neben Schulungen oder Awareness-Kampagnen eignen sich simulierte Phishing-Angriffe besonders, um Mitarbeiter wachzurütteln und jene, die den Test nicht bestehen, nochmals intensiv zu Cyber-Risiken aufzuklären.

Security-Lücken mit Know-how stopfen

Schützen Sie Ihr Unternehmen optimal mit ausgereiften Security-Lösungen von eww ITandTEL – gerade jetzt, wo Arbeiten im Homeoffice und digitale Vernetzung Kriminellen neue potenzielle Schlupflöcher öffnen.​​​​​​

Kontaktieren Sie uns noch heute für Ihre individuelle IT-Security-Lösung!​​​​​​​
​​​​​​​

Jetzt anfragen​​​​​​​

​​​​​​​Erfahren Sie demnächst in Teil 3 unserer Mini-Serie über Cyber-Security, wie heimische Unternehmen auf Hacker-Angriffe reagieren und welche Vorsichtsmaßnahmen in Zukunft ein „Must-have“ sind.