Artikel

Vorstellung Sicherheitsüberprüfung #4 - Phishing Mailkampagne

Eine Phishing Mailkampagne zielt in den meisten Fällen auf den Diebstahl personenbezogener Daten der Opfer. Bei Phishing-Angriffen geben Cyberkriminelle sich in einer E-Mail-Kommunikation als vertrauenswürdige Organisation oder Personen aus, um sich mit betrügerischen Mitteln Zugriff auf vertrauliche Informationen wie Kreditkarten- und Anmeldedaten zu verschaffen.

Für eine höhere Erfolgsrate wird das sogenannte E-Mail-Spoofing eingesetzt. Hierbei wird das Opfer per E-Mail mittels einer Verlinkung im Text auf eine gefälschte Website geführt. Werden hier die Daten eingegeben, landen diese beim Cyber-Angreifer.

Phishing ist eine beliebte Methode

Phishing ist somit eine beliebte Methode die IT-Sicherheitsmaßnahmen des Unternehmens oder der öffentlichen Einrichtung zu umgehen und direkt Zugriffe auf Portale oder Daten zu erhalten. Phishing mit Dateiversand wird dabei immer seltener.

Wie läuft ein Cyber-Angriff ab?

Bei Phishing Kampagnen werden verschiedene Social-Engineering Methoden eingesetzt. Cyber Angreifer stellen in ersten Schritt mögliche Angriffsvektoren bei Unternehmen fest. Wenn zum Beispiel das Mailsystem wie Outlook aus dem Internet direkt aufrufbar ist, dann ist dies eine direkte Möglichkeit Logindaten abgreifen zu können. Der Cyber-Angreifer erstellt mit den Informationen eine Phishing-E-Mail um Mitarbeiter dazu zu bringen, Daten auf einer Fake-Website einzugeben. Dazu wird als Anschreiben ein spezifisches Thema ausgewählt, damit das Opfer seine Daten eingibt.

Die Methoden und 1 bis 2 Beispiele werden in einem späteren Blogpost vorgestellt.

Was können wir dagegen unternehmen?

Wichtig ist es zu wissen, dass Phishing E-Mails trotz Spamfilter und weiterer technischer Lösungen immer wieder im Posteingang landen und Erkennung sowie richtige Behandlung der E-Mail sehr wichtig sind.

Wer also auf Nummer sicher gehen will, schult seine Mitarbeiter regelmäßig auf die Gefahren hin und sensibilisiert sie durch Phishing-E-Mail Tests. Wir versenden im Auftrag Phishing E-Mails mit vorheriger Informationsbeschaffung zur Darstellung realistischer Angriffe und werten die Reaktion darauf aus. Direkte und regelmäßige Tests führen zu einer hohen Sensibilisierung der Mitarbeiter auf die hohe Gefahr von Phishing E-Mails.