Mitarbeiter sind nicht wachsam genug, wenn sie Mails erhalten. So zeigt eine aktuelle Kaspersky-Analyse von Phishing-Simulationen in Unternehmen [1], dass viele Mitarbeiter versteckte Fallstricke zu Unternehmensangelegenheiten und Benachrichtigungen über angebliche Zustellprobleme in E-Mails in der Regel nicht bemerken. Fast jeder Fünfte klickte auf den Link in den E-Mail-Vorlagen, der diese Art von Phishing-Angriffen imitierte. Andere gängige Phishing-Mails, die verkünden, der eigene Computer sei gehackt worden oder einen Gewinn versprechen, sind dagegen mit einer Klickkonversion von ein bis zwei Prozent kaum erfolgreich.
Schätzungen zufolge beginnen neun von zehn Cyberangriffen (91 Prozent) mit einer Phishing-E-Mail; Phishing-Techniken sind an zwei Drittel aller erfolgreichen Datenschutzverletzungen beteiligt (32 Prozent) [2].
Um weitere Einblicke in diese Bedrohung zu erhalten, haben Kaspersky-Experten die Dateneines Phishing-Simulators, die Nutzer freiwillig bereitgestellt hatten, gesammelt und analysiert. Dieses in die Kaspersky Security Awareness Platform [3] integrierte Tool hilft Unternehmen zu überprüfen, ob Mitarbeiter eine Phishing-E-Mail erkennen können, ohne Unternehmensdaten zu gefährden. Ein Administrator wählt aus einer Reihe von Vorlagen, die gängige Phishing-Szenarien nachahmen, aus oder erstellt eine individuelle Vorlage, sendet diese dann ohne Vorwarnung an die ausgewählte Gruppe von Mitarbeitern und verfolgt die Ergebnisse. Eine große Anzahl von Nutzern, die auf den Link klicken, zeigt, dass zusätzliche Cybersicherheitsschulungen erforderlich sind.
Zu den fünf effektivsten Betreffzeilen in Phishing-E-Mails zählen:
Weitere effektive Aufhänger für Phishing-E-Mails sind:
Dabei scheinen E-Mails, die den Empfänger bedrohen oder sofortige Vorteile versprechen, weniger „erfolgreich“ zu sein. Eine Vorlage mit dem Betreff „Ich habe Ihren Computer gehackt und kenne Ihren Suchverlauf“ klickten nur zwei Prozent der Nutzer an, Angebote für eine kostenlose Netflix-Nutzung und 1.000 US-Dollar nur ein Prozent.
„Die Phishing-Simulation ist eine der einfachsten Möglichkeiten, die Cyber-Resilienz von Mitarbeitern zu überprüfen und die Effizienz ihrer Cybersicherheitsschulungen zu bewerten. Es gibt jedoch wichtige Aspekte, die bei der Durchführung berücksichtigt werden müssen, damit sie wirklich wirkungsvoll ist“, erläutert Christian Milde, Geschäftsführer Central Europe bei Kaspersky. „Da Cyberkriminelle permanent ihre Methoden anpassen, muss die Simulation neben gängigen Cybercrime-Szenarien auch aktuelle Social-Engineering-Trends widerspiegeln. Es ist entscheidend, dass regelmäßig simulierte Angriffe durchgeführt und durch entsprechende Schulungen ergänzt werden. So entwickeln Nutzer ein starkes Bewusstsein, das es ihnen ermöglicht, nicht auf zielgerichtete Angriffe oder Spear-Phishing hereinzufallen.“
[1] Die Statistiken basieren auf den Ergebnissen von 29.597 Mitarbeitern aus 100 Ländern. Nicht alle verfügbaren Phishing-Vorlagen wurden an jeden Mitarbeiter gesendet. Die präsentierten Daten umfassen Vorlagen, die an mehr als 100 Nutzer gesendet wurden. Die Phishing-Simulationskampagnen wurden zwischen Januar 2021 und Mai 2022 durchgeführt.
[3] https://www.kaspersky.de/small-to-medium-business-security/security-awareness-platform
[4] https://www.kaspersky.de/blog/how-to-protect-yourself-from-phishing/42317/
[5] https://www.kaspersky.de/enterprise-security/security-awareness
[6] https://www.kaspersky.de/small-business-security/small-office-security