Wenn es um kriminelle Angriffe auf Unternehmen geht, ist eine der weltweit gängigsten Methoden nach wie vor das Phishing per E-Mail. Und eines ist sicher, die Cyber-Kriminellen verfeinern ihre Strategien ständig weiter – um mit den Sicherheitsbedingungen Schritt zu halten und Endbenutzer und Unternehmen weiterhin überlisten zu können. Phishing-E-Mails werden nicht nur technisch immer besser und in ihrem Layout realistischer, um die E-Mails noch glaubwürdiger wirken zu lassen, nutzen Cyber-Kriminelle Emotionen, die sie gezielt bei den Empfängern auslösen wollen. Sie zielen darauf ab, dass die Empfänger nach dem Öffnen einer Nachricht von Stress, Angst oder sogar Verzweiflung überwältigt werden und in der Aufregung so abgelenkt sind, dass sie sich verleiten lassen, auf einen Phishing-Link oder einen bösartigen Anhang zu klicken.
Die neuesten Trends, wie sie sich im zweiten Quartal 2023 abgezeichnet haben, sind nun in einem globalen Phishing-Report nachzulesen, den KnowBe4, ein Anbieter einer Plattform für Security Awareness Training, veröffentlicht hat. Die Forscher des US-amerikanischen Unternehmens haben Trends zu den wichtigsten E-Mail-Themen ausgemacht, die in Phishing-Tests besonders häufig angeklickt wurden. Ein Ergebnis: HR-bezogene E-Mails werden nicht nur von Cyberkriminellen bevorzugt für Phishing-Kampagnen genutzt, sie verleiten auch tatsächlich besonders viele Nutzer zum fatalen Klick auf infizierte Inhalte.
Die Phishing-Taktiken ändern sich ständig, zunehmend im Trend liegen jedoch E-Mails, die suggerieren, von der Personalabteilung zu stammen und sich auf Änderungen der Kleiderordnung oder des Unternehmensstandortes beziehen oder Stellenstreichungen ankündigen. Aber auch harmlose Themen wie Schulungsbenachrichtigungen, Work-Life-Balance-Tipps oder Urlaubsaktualisierungen werden in kriminellen Kampagnen genutzt. „Phishing-E-Mails mit Urlaubsbezug wurden auch in diesem Quartal eingesetzt“, so Stu Sjouwerman, CEO von KnowBe4. „Anreize, die sich auf nationale Feiertage und Terminänderungen beziehen, wurden als Köder für ahnungslose Endbenutzer verwendet.“ Als weiterer Trend lässt sich laut der Experten ablesen, dass Cyber-Kriminelle vermehrt IT- und Online-Service-Benachrichtigungen vorspiegeln. Tatsächlich hatte schon der KnowBe4 Phishing by Industry Benchmarking Report 2023 ergeben, dass fast jeder dritte Benutzer auf einen verdächtigen Link klickt oder einer betrügerischen Aufforderung nachkommt.
Der aktuelle Trend bei Phishing-E-Mails ist, so KnowBe4 CEO Sjouwerman, „besonders besorgniserregend, da 50 Prozent dieser E-Mails von der Personalabteilung zu kommen scheinen – einer vertrauenswürdigen und wichtigen Abteilung vieler, wenn nicht aller Unternehmen. Diese getarnten E-Mails nutzen das Vertrauen der Mitarbeiter aus und regen in der Regel zu Handlungen an, die für das gesamte Unternehmen katastrophale Folgen haben können.“ Viele Experten sehen es als unerlässlich an, dass sich Unternehmen mit Phishing-Trends auseinandersetzen und selbst für die Förderung und Aufrechterhaltung einer starken Sicherheitskultur aktiv werden. Die Information von Mitarbeitern über die häufigsten Taktiken von Cyber-Kriminellen und aktuelle Bedrohungen gehört wesentlich dazu, um die Effektivität von Phishing und bösartigen E-Mails zu bekämpfen.
