Vermeidung von Phishing-Mails – was Sie beachten sollten

Da viele hochkarätige Verstöße in den letzten Monaten für Schlagzeilen gesorgt haben, müssen Unternehmen ihre Mitarbeiter darauf aufmerksam machen, wie sie es vermeiden, Opfer oft sehr einfacher Phishing-Angriffe zu werden, die Malware und Ransomware in Unternehmen einführen.

Das Bewusstsein der Benutzer ist der Schlüssel zur Vermeidung von Sicherheitsvorfällen wie Malware- und Ransomware-Angriffen. Technische Kontrollen und Lösungen allein können nicht jede Art von Angriff mildern, wenn die Mitarbeiter nicht ausreichend geschult sind, um zu vermeiden, dass bösartige Software durchgelassen wird.

 

Rekapitulieren

Was ist Ransomware?

Ransomware ist eine Art bösartige Software (Malware), die versucht, Geld von Opfern zu erpressen, typischerweise durch Anzeigen einer Warnung, die besagt, dass der Computer gesperrt wurde und dass alle Dateien verschlüsselt wurden.

Für die Wiederherstellung des Zugangs wird ein Lösegeld verlangt - daher der Name "Ransomware".

 

Was ist Phishing?

Die Praxis, Social Engineering zu nutzen, um einen ahnungslosen Mitarbeiter zu zwingen, auf einen bösartigen Link zu klicken oder sich unwissentlich von wertvollen Informationen zu trennen. Häufig enthält ein Anhang eine Dropper-Malware, die nach dem Öffnen verschiedene Arten von Malware - einschließlich Ransomware - auf den infizierten Computer herunterlädt.

 

Erkennen von bösartigen E-Mails - Sicherheitstipps

Nachfolgend finden Sie einige Ratschläge zur Erkennung potenziell schädlicher Emails und Links. Zögern Sie nicht, diese Tipps mit Ihren Mitarbeitern zu teilen, um das interne Bewusstsein zu schärfen:

 

1.) Ist die Email von einer vertrauenswürdigen Quelle?

Überprüfen Sie die "Von"-Adresse. Angreifer geben sich oft als "Spoof"-Mitarbeiter aus, indem Sie eine falsche Schreibweise von Namen oder Domains verwenden, mit denen Sie vielleicht vertraut sind oder mit denen Sie in Kontakt stehen, z.B. "@y0ur0rg.com".

 

2.) Überprüfen Sie den Betreff der Mail.

Angreifer versuchen oft, gültige Email-Informationen in den Betreff aufzunehmen, um den Benutzer zu täuschen, dass die E-Mail legitim ist. Wenn es nicht legitim erscheint, melden Sie es besser an Ihre IT-Abteilung.

 

3.) Überprüfen Sie die Rechtschreibung und den Inhalt der Mail.

Angriffs-Emails enthalten oft eine schlechte Rechtschreibung und Grammatik. Dies ist ein verräterisches Zeichen dafür, dass Emails aus einer bösartigen Quelle stammen.

 

4.) Fragen Sie: "Ist diese Mail relevant für meine berufliche Rolle und Verantwortung?"

Hat die Art der Email einen Bezug zu Ihrer Jobfunktion?

 

5.) Bezieht sich eine Email auf eine Aktion, die Sie nicht durchgeführt haben?

Normalerweise werden Angreifer diese Mails als Antworten auf "Anfragen" verfassen, die Sie möglicherweise gestellt haben. Gibt es einen Mail-Trail von Ihnen, der diese Informationen oder Dateien anfordert? Oder ist die Email einmalig?

 

6.) Seien Sie wachsam bei Anhängen.

Angreifer werden oft eine bösartige Datei als Anhang zu einer Phishing-Mail hinzufügen.

Öffnen Sie keine Anhänge in fremden oder verdächtigen E-Mails und interagieren Sie nicht mit ihnen. Überprüfen Sie das:

- der Absender ist legitim

- der Inhalt der Email enthält einen legitimen Mail-Verlauf

- die angehängte Datei ist eine Datei, die Sie angefordert haben.

- der Anhang ist im richtigen Format (z.B. ist dieser Bericht ein xls statt des üblichen PDF?)

 

7.) Seien Sie wachsam bei Links

Angreifer werden auch versuchen, Links zu bösartigen Inhalten oder Websites aufzunehmen. Klicken Sie NICHT auf Links, denen Sie nicht vertrauen oder die Sie nicht kennen.

 

8.) Hyperlinks nicht vergessen

Angreifer können URL-Hyperlinks im Textkörper einer E-Mail verwenden (z.B. "Hier klicken").

Wenn Sie mit dem Mauszeiger über diese Hyperlinks fahren, wird normalerweise das tatsächliche Ziel des Links angezeigt. Ein Rechtsklick und Kopieren und Einfügen in eine Textverarbeitung kann auch durchgeführt werden, um den Link zu überprüfen.

 

Förderung einer Kultur des Sicherheitsbewusstseins

Ein Unternehmen kann über alle Abwehrmechanismen der Welt verfügen - aber Mitarbeiter, die sich der Sicherheitsschwachstellen nicht bewusst sind, können diese Arbeit und Investition mit einem Mausklick zunichtemachen.

Die Benutzer sollten über Bedrohungen im Zusammenhang mit dem Surfen im Web, dem Folgen von Weblinks in E-Mails, der erfolgreichen Identifizierung von Phishing-Versuchen usw. geschult werden. Das Personal sollte auch auf die Warnzeichen von Ransomware oder anderer Malware aufmerksam gemacht werden und über das Verfahren informiert werden, das bei Verdacht auf eine Infektion anzuwenden ist.

Darüber hinaus sollten die Mitarbeiter des IT-Supports über ein klares Verständnis und ein Verfahren für den Umgang mit einem Ausbruch verfügen. Ein Incident Response Plan ist unerlässlich.

Die stärkste Verteidigung ist ein ständiges und effektives Security Awareness Training. Mitarbeiter, die geschult sind und wissen, wie man die verräterischen Anzeichen eines Phishing-Angriffs erkennt, sind viel seltener Opfer und viel weniger wahrscheinlich, dass sie versehentlich Malware in ein Unternehmen einführen.

Die Schaffung einer Kultur des Sicherheitsbewusstseins in einem Unternehmen erfordert Zeit und Investitionen, kann aber oft das effektivste Verteidigungsinstrument sein.

 

Sie haben Fragen oder Anmerkungen? Dann nutzen Sie gern unser Chat-Fenster oder das Kontaktformular.