Phishing Mails: Aufgepasst vor der Erbeutung von Zugangsdaten

28.09.2018

1office-1081807_1280

Trotz moderner Spam-Filter lässt sich die E-Mail Flut nur schwer eindämmen. Nahezu täglich landen Spam und Phishing Mails in den E-Mail Konten von Unternehmen. Die hiermit verbundenen Risiken werden gerne unterschätzt. Denn zum einen geben sich die Angreifer mehr Mühe, zum anderen droht im Ernstfall ein erheblicher Schaden.

Angreifer haben es auf Zugangsdaten abgesehen

Vorbei sind die Zeiten, in denen Spammer auf den Verkauf günstiger und zugleich wertloser Produkte abzielten. Zunehmend mehr Angreifer haben es auf IT-Systeme von Unternehmen abgesehen. Insbesondere Cloud-Dienste stehen hoch im Kurs. Angreifer möchten Zugangsdaten erbeuten, um beispielsweise auf Dropbox oder Microsoft Office 365 Konten zugreifen zu können.

Die hiermit verbundene Zielsetzung kann verschieden sein. Einige der Angreifer haben es auf die Daten ihrer Opfer abgesehen. Sie erhoffen sich verwertbare Informationen, die sie z.B. im Anschluss verkaufen oder als Druckmittel für Erpressungen einsetzen können. Andere möchten hingegen Systeme übernehmen und Nutzer aussperren, um anschließend Geld für eine Freigabe der Systeme zu erpressen.

So laufen Angriffe via E-Mail ab

Die meisten E-Mail Angriffe sind auf die breite Masse ausgelegt. Spammer versenden Millionen von E-Mails, ganz in der Hoffnung, den einen oder anderen Empfänger zu überlisten. Derartige Betrugsversuche sind meist relativ leicht zu erkennen, weil beispielsweise die Personalisierung fehlt.

Anders sieht es bei Angriffen aus, die gezielt erfolgen. Die Angreifer sind zumindest teilweise über ihre Opfer informiert und befinden sich dadurch z.B. in der Lage, ihre E-Mails mit einer persönlichen Anrede zu versehen. Die gesamte Umsetzung ist meist sehr professionell, d.h. die Phishing E-Mails sehen so aus, als ob sie vom Anbieter des jeweiligen Cloud-Dienstes stammen.

Gerne wird auch ein Druckmittel eingesetzt, wie z.B. eine angedrohte Account-Schließung mit einer Frist von wenigen Stunden, sollte sich der Mail-Empfänger nicht innerhalb dieses Zeitraums einloggen. Die in der Mail verlinkte Login-Seite ist selbstverständlich gefälscht, um darüber die begehrten Zugangsdaten zu erbeuten.

Derartige Angriffe fallen bereits in den Bereich des Social Engineering. Zwar wird in diesem Umfeld tendenziell eher zum Telefonhörer gegriffen, um noch authentischer zu wirken oder gar Druck auszuüben. Doch selbst per E-Mail ist es möglich, überraschend viele Mitarbeiter zu täuschen und damit zu Opfern zu machen.

Wie Unternehmen vorbeugen

Unternehmen können das Risiko erfolgreicher Phishing-Angriffe minimieren. Zunächst empfiehlt sich die Ergreifung technischer Maßnahmen. Leistungsstarke und gut konfigurierte Spam-Filter befinden sich in der Lage, den Großteil entsprechender E-Mails abzublocken. Als Folge werden Mitarbeiter mit solchen E-Mails gar nicht erst konfrontiert.

Die zweite Sicherheitsmaßnahme besteht darin, Mitarbeiter grundlegend zu schulen. Ist sich ein Mitarbeiter des Risikos nicht bewusst bzw. mit solchen Angriffen nicht vertraut, gibt er viel eher Zugangsdaten oder ähnlich sensible Informationen preis. Damit dies nicht geschieht, muss er im Bilde sein. Gezielte Schulungen helfen Mitarbeitern, Betrugsversuche als solche zu erkennen. Zugleich wird im Rahmen einer guten Schulung vermittelt, welche Optionen dem Mitarbeiter zur Verfügung stehen, um die Echtheit einer E-Mail zu verifizieren. Im Zweifelsfall sollten Mitarbeiter immer erst einen Spezialisten des Help Desks bzw. aus der IT-Abteilung kontaktieren, bevor sie auf einen Link klicken oder gar einen E-Mail Anhang öffnen.

Ihre Experten für Datenschutz

Als Datenschutzexperten unterstützen wir Unternehmen beim betrieblichen Datenschutz, indem wir ganzheitliche Datenschutzkonzepte entwickeln und Hilfe bei deren Umsetzung leisten. Wir sind bundesweit tätig, z.B. mit unseren Kooperationspartnern in Erlangen oder Dresden. Gerne stehen wir auch Ihnen zur Verfügung, Sie erreichen uns telefonisch unter 0800 – 5600831 (gebührenfrei) sowie über unser Kontaktformular. Wir freuen uns auf Ihre Anfrage.