Phishing E-Mail
Was ist eine Phishing E-Mail? Wie können sich Unternehmen schützen?
Was ist eine Phishing E-Mail?
Phishing kann jeden treffen und birgt ein hohes Risiko für Unternehmen. Denn Hackerangriffe gelingen zu 85% durch menschliches Fehlverhalten – ganz unabhängig davon, wie gut die technische Infrastruktur abgesichert ist. Erfahren Sie hier, was Phishing E-Mails sind und wie Unternehmen ihre Mitarbeiter sensibilisieren.
Was ist eine Phishing Mail? – Definition
Zunächst zur Begrifflichkeit „Phishing“: Dieses Wort setzt sich zusammen aus Password Harvesting und Fishing – also das Angeln nach Passwörtern. Phishing ist ein Oberbegriff für viele verschiedene Betrugsmaschen, die die Absicht haben, sensible Daten, Passwörter, Zugangsdaten oder direkt Geld zu ergaunern. Phishing kann per E-Mail, über das Telefon (Vishing) oder auch per SMS (Smishing) erfolgen.
In einer Phishing E-Mail werden die Zielpersonen dazu aufgefordert, eine bestimmte Tätigkeit auszuführen, z.B. auf eine Webseite zu klicken, Zugangsdaten einzugeben, oder eine Geldtransaktion durchzuführen. Die Empfänger sollen zu einer unüberlegten Handlung angeregt werden. Oft werden die Mails an einen großen Adressatenkreis verschickt.
Betrüger können sich so mit wenig Aufwand und geringen Kosten schnell Zugang zu wertvollen Daten verschaffen. Wer auf einen Phishing-Betrug hereinfällt, kann später mit Malware-Infektionen (einschließlich Ransomware), Datenverlust oder Reputationsschäden zu kämpfen haben.
Getarnt sind Phishing Mails als vermeintlich vertrauenswürdige Absender, z.B. als Kollege, Mail-Verteiler im Unternehmen, Kunde, Lieferant Bank oder Behörde.
Angestellte in Unternehmen werden manchmal sogar im Namen des Chefs angeschrieben. Bei dieser Sonderform des Phishings spricht man auch von CEO-Fraud (Chef-Betrug). Angestellte erhalten dabei eine Mail, in der der vermeintliche Chef sie zu einer Geldtransaktion vom Unternehmenskonto an ein ausländischen Geschäftskonto auffordert.
Die Geschichten sind dabei immer sehr glaubwürdig, sodass Angestellte oft keinen Verdacht schöpfen. Millionenschäden für das Unternehmen können dann die Folge sein.
Doch ganz gleich, wie Phishing eingesetzt wird, es ist eine ernstzunehmende Gefahr für Ihr Unternehmen. Die Schadensbeseitigung kann dabei mehrere Wochen oder sogar Monate dauern.
Wie erkennen Sie Phishing E-Mails?
Viele Phishing Mails fordern die Zielperson dazu auf, einen Anhang zu öffnen oder auf einen Link zu klicken. Der Anhang enthält dann Schadsoftware, der einmal ausgeführt, ein ganzes Firmennetzwerk infizieren kann.
Auch schädliche Links führen zu Websites von Betrügern oder zu Websites, die mit schädlicher Software, auch Malware genannt, infiziert sind. Oder Sie werden dort dazu aufgefordert, sensible Daten einzugeben (z.B. Zugangsdaten).
Damit Ihnen und Ihren Angestellten so etwas nicht passiert, sollten Sie beim Erhalt einer verdächtigen Mail diese zuerst genau prüfen und nicht blind den Anweisungen darin folgen.
Erkennen Sie diese 5 Warnsignale
Achten Sie auf die folgenden Anzeichen und werden Sie misstrauisch. Erkennen Sie die Warnsignale, damit Sie nicht per Klick auf gefälschten Webseiten landen oder sich schädliche Anhänge herunter laden.
1. Falsche Webadresse im anklickbaren Link
Enthält die E-Mail einen Link, auf den Sie klicken sollen, prüfen Sie vor dem Anklicken, wohin er führt:
- Fahren Sie dazu einfach mit dem Mauszeiger auf den Namen des Links.
- In Ihrem Mail-Programm wird dann die tatsächlich dahinter verborgene Webadresse angezeigt.
- So sehen Sie, ob die Link-Adresse zu einer anderen Webseite gehört. Dies ist ein großes Warnsignal!
Enthält der Hyperlink in der E-Mail eine falsche Schreibweise, einen Buchstabendreher oder eine falsche Domain-Endung, dann sollten Sie misstrauisch sein.
Um dies besser zu tarnen, nutzen Hacker häufig auch sehr ähnliche Webadressen, die auf den ersten Blick wie das Original aussehen, z.B. micro-soft.com anstatt microsoft.com.
2. Mail kommt unerwartet oder ist ungewöhnlich
Ist die E-Mail irgendwie ungewöhnlich?
- Sie weist zum Beispiel viele Rechtschreibfehler oder grammatikalische Fehler auf.
- Die Mail ist sehr ungewöhnlich für den Absender. Der Schreibstil ist völlig anders oder der Inhalt passt nicht zum Absender.
- Sie sollen in der Mail auf einen Link oder Anhang klicken, haben dabei aber ein komisches Bauchgefühl?
- Der Betreff passt nicht zum Inhalt der Nachricht.
- Die E-Mail ging an einen ungewöhnlichen Mix an Leute.
Dann seien Sie wachsam. Es ist richtig, wenn Ihre Alarmglocken läuten.
3. Aufforderung zu ungewöhnlichen Aktionen
- Werden Angestellte in einer Mail zu einer Aktion aufgefordert, die sie bisher nie tun mussten, ist dies ebenfalls ein Warnsignal. Es handelt sich wahrscheinlich um einen Phishing-Versuch.
- Wird in der Mail zur Herausgabe von sensiblen Daten oder zum Tätigen einer Überweisung aufgefordert (auch wenn vermeintlich vom Chef so angewiesen), ist dies ebenfalls ein Alarmzeichen.
4. In der Mail wird Druck aufgebaut
Auf die Zielperson wird Druck ausgeübt, indem ihr suggeriert wird, dass dem Unternehmen ein finanzieller Schaden entsteht, wenn sie nicht umgehend den Anweisungen in der Mail nachkommt.
Beispielsweise schreibt der vermeintliche Chef in der Mail, dass ein Geschäft mit einem Partner im Ausland platzt, wenn die Überweisung nicht innerhalb der nächsten Stunde getätigt wird.
5. E-Mail enthält einen verdächtigen Anhang oder Link
Wenn die Mail einen Anhang enthält. Schauen Sie sich diesen genau an.
- Macht der Anhang Sinn?
- Passt er zur Nachricht?
- Ist der Dateityp potentiell gefährlich?
Bleiben Sie auch “Klick sicher” bei Links. Überprüfen Sie auch einen Link in der Mail.
Klicken Sie nicht einfach drauf, sondern vergewissern Sie sich mit den oben beschriebenen Methoden.
So bleiben Sie sicher:
Halten Sie kurz inne und denken Sie nach, bevor Sie reagieren!
Im Zweifel kontaktieren Sie den Absender über einen anderen Weg – und lassen sich die Richtigkeit der Anfrage bestätigen.
So können Unternehmen ihre Angestellten vor Phishing Mails schützen
Cyber-Angriffe sind das Risiko Nummer 1 für Unternehmen. Erhalten Angestellte eine Phishing E-Mail, ist es absolut notwendig, dass sie darauf richtig reagieren und keinesfalls blind den Anweisungen in der Mail folgen.
Nichts schützt besser vor Cyber-Crime als die Schulung der Belegschaft.
Bauen Sie also in Ihrem Unternehmen eine menschliche Firewall langfristig und nachweislich auf. Zuerst müssen Ihre Angestellten über Gefahren durch Phishing aufgeklärt werden. Sie müssen lernen, wie man erfolgreich eine Phishing E-Mail identifiziert.
Dies gelingt am besten mit modernen, interaktive Security Awareness Kampagnen.
Wirkungsvolle Ergebnisse werden dabei mit kurzen E-Learning-Einheiten und zusätzlichen Phishing-Simulationen erzielt. Die Trainings sollten bedarfsgerecht und auf die Mitarbeiter zugeschnitten sein. Das hat den Vorteil, dass man niemanden über- oder unterfordert oder sogar langweilt.
Auf diese Weise lernen Ihre Mitarbeiter, die Muster und Maschen bei Phishing-Angriffen kennen, und wissen dann, was im Ernstfall zu tun ist.
IT-Dienstleister wie Cyber Samurai bieten solche Kampagnen auch als Full-Service-Dienstleistung (Security Awareness as-a-Service) an.
- Denn oft sind im Unternehmen die IT-Fachkräfte in andere vermeintlich dringlichere IT-Themen eingebunden.
- Oder es stehen grundsätzlich nicht genügend IT-Fachkräfte zur Verfügung, um Mitarbeiter zum Thema Cyber-Sicherheit zu sensibilisieren.
- So können Sie auch ohne eigenem Fachpersonal Ihre Belegschaft cyber-fit machen. Denn IT-Sicherheit betrifft alle Mitarbeiter und jede Abteilung.
Wenn Sie auf Prävention setzen, fahren Sie langfristig günstiger, denn die Schadensbehebung nach einer erfolgreichen echten Phishing-Attacke ist oft enorm. Sie kann Unternehmen nicht nur viel Geld kosten, sondern geht häufig auch mit einem Reputationsschaden einher, der nur schwer zu reparieren ist.
Kostenloser Phishing-Test: Ermitteln Sie das Risiko in Ihrem Unternehmen
Sie wollen testen, wie gut Ihre Angestellten vor Phishing geschützt sind? Oder Sie wollen das Sicherheitsrisiko in Ihrem Unternehmen minimieren?
Wir bieten völlig ungefährliche Simulationen oder auch Trainings zur Erhöhung der Security Awareness an. Lassen Sie sich von uns beraten.
Als IT-Security-Dienstleister finden wir gemeinsam mit Ihnen das effektivste Vorgehen, um Ihre Angestellten langfristig und nachhaltig für Cyber-Angriffe zu sensibilisieren.
Bei einer Phishing-Simulation versenden wir in Ihrem Auftrag eine Phishing-Mail, die in Ihren Büroalltag passt. So können Sie direkt prüfen, ob Sie auf so eine Mail hereinfallen. Testen Sie diese Simulation gerne einmal selbst.
Phishing Simulationen können wir dabei ganz individuell auf Ihr Unternehmen, Ihre Branche und Ihre jeweilige Situation zuschneiden.
Das könnte Sie auch interessieren
Phishing-Simulationen
Erfahren Sie was Phishing-Simulationen sind und wie Unternehmen durch solche Phishing-Tests das schwächste Glied in der Cyber-Abwehr – den Menschen – stärken.
Smishing
Erfahren Sie hier, wie man Smishing erkennt, wie Unternehmen den Schutz vor SMS-Phishing erhöhen können und warum die Sensibilisierung der Angestellten so wichtig ist.
CEO-Fraud
Was passiert wenn sich der Betrüger als Chef ausgibt? Erfahren Sie, was CEO-Fraud bedeutet und wie sich Unternehmen vor dieser gefährlichen Betrugsmasche schützen.
Wir kämpfen für Ihre IT-Sicherheit
Vertraulich, kompetent und schnell! Lassen Sie sich beraten.
Wir finden eine sichere Lösung für Sie.