Juni 08, 2016

Betrügerische E-Mails


Die Schulung der Angestellten zur Identifizierung der Gefahren aus dem Bereich des Social Engineering zählt aktuell mitunter zu den wichtigsten Faktoren zum Schutz von vertraulichen Informationen am Arbeitsplatz.

Datendiebe verwenden Social Engineering wie zum Beispiel Phishing oder Pretexting, um Personen unter falschen Vorgaben vertrauliche Daten zu entlocken und/oder schadhafte Software zu installieren.

Diese betrügerischen Angriffe (Scams) können auch telefonisch stattfinden, meistens geschehen sie jedoch in Form eines E-Mails.

Sehr viele Datenlecks finden ihren Ursprung wahrscheinlich in einem einfachen Social Engineering-Betrug.

Laut einem Bericht  aus 2015 über die Datenleck-Recherchen von Verizon waren in den vergangenen drei Jahren Phishing-Angriffe in mehr als zwei Dritteln der Zwischenfälle im Bereich der Cyber-Spionage ein Thema. Aus der Studie geht hervor, dass mehr als 23 % der Empfänger die Phishing-E-Mails öffnen, und 11 % sogar die Anhänge.

Weltweit werden Computer weiterhin sehr häufig mit Schadprogrammen (englisch: Malware) infiziert. Die Anti-Phising-Arbeitsgruppe (APWG) berichtet, dass die weltweite Infektionsrate für einen Großteil des Jahres 2015 bei rund 33 % lag.

Jedes Unternehmen sollte zum eigenen Schutz über ein umfassendes Informationssicherheitsprogramm verfügen, sowie auch über Technologien, die eingehende E-Mails abfangen – Firewalls, Antivirus-Software und Inhaltsfilterung. Für jeglichen finanziellen Transfer sollte ein mehrstufiger Freigabeprozess durchlaufen werden. Einige Unternehmen verwenden Phishing-Tests für Social Engineering, um Schwachstellen und Lösungsansätze für ihre Arbeitsumgebung zu identifizieren.

Aber ebenso wichtig wie die zuvor genannten Sicherheitsmaßnahmen ist das Wissen der Arbeitnehmer im Bereich der Scam-Mails, damit sie betrügerische E-Mails gleich löschen oder ignorieren können.  

Im Rahmen von Sicherheitsbewusstseinsschulungen für Mitarbeiter können die eigenen Angestellten über die Risiken informiert werden, die entstehen können, wenn persönliche oder unternehmensrelevante Informationen online geteilt werden. Nutzen Sie auch verschiedenste Reminder (Poster, Anmerkungen in Mitarbeiter-Newslettern usw.) um das Bewusstsein zum Thema Phishing stets in Erinnerung zu rufen.

Hier eine kurze Liste über Warnsignale für Social Engineering, die Sie kennen sollten:

  • Absender: Wenn der Absender keine bekannte Person oder Unternehmen ist, so ist Vorsicht geboten. Behalten Sie aber stets im Hinterkopf, dass Cyber-Kriminelle mehr und mehr die  Social Media-Plattformen für ihre Angriffe nutzen. So werden beispielsweise Fake-Profile auf LinkedIn erstellt, um die Angestellten eines bestimmten Unternehmens anzugreifen.
  • Betreffzeile: Wie treffend ist der Betreff des E-Mails formuliert? Der Betreff muss einen Sinn ergeben oder in den Zusammenhang passen. Bezieht sich der Betreff auf eine Anfrage, die der Empfänger jedoch niemals stellte, so ist auch das als Warnsignal zu verstehen.  
  • Weitere Empfänger: Gemeinsam mit anderen Personen, die man selbst nicht kennt, eine E-Mail erhalten zu haben, stellt ebenfalls eines der Warnsignale dar.
  • Inhalt: Rechtschreibfehler, ungewöhnliche Satzstrukturen, schlechte Grammatik und provokativer Inhalt – auch diese Faktoren deuten auf betrügerische Absichten hin. Eine Aufforderung zur Installation einer Antivirus-Software kann in Wahrheit ein Schadprogramm enthalten.
  • Anhänge: Ein Scam-E-Mail kann den Empfänger auch auf unübliche Weise auffordern, ein Attachment zu öffnen. Gehen Sie sicher, ob Sie diesen Anhang erwartet haben, oder ob der „Absender“ normalerweise diese Art von Anhängen übermittelt.
  • Hyperlinks: Der Versuch den Empfänger dazu zu bewegen, auf einen Link zu klicken, ist ebenfalls ein Warnsignal. Eine Möglichkeit zur Überprüfung eines Links besteht darin, mit der Maus über den Link zu fahren und zu sehen, ob die Adresse für den Link zur korrekten Website führt.  

Vergewissern Sie sich, dass Sie selbst und auch Ihre Mitarbeiter über die Gefahren von Social Engineering Bescheid wissen.