Carly Franks, Senior IT Security Risk & Compliance Analyst bei Mitratech, hat weitere gute Ratschläge zum Thema Phishing, damit Ihre Mitarbeiter den Betrügern, die es auf persönliche Daten abgesehen haben, das Handwerk legen können.
Der Herr auf dem Bild oben hat gerade gemerkt, dass etwas nicht ganz koscher ist an der E-Mail, die er gerade geöffnet hat und die angeblich von seinem eigenen CEO oder CFO oder von jemand anderem stammt, der behauptet, ein vertrauenswürdiger Korrespondent zu sein. Während der Pandemie hatten diese Bösewichte weniger Schamgefühl als je zuvor und steigerten die Häufigkeit und den Einfallsreichtum ihrer Angriffe.
Nach der Definition des Oxford English Dictionary ist Phishing...
Substantiv; die betrügerische Praxis des Versendens von E-Mails, die vorgeben, von seriösen Unternehmen zu stammen, um Personen dazu zu bringen, persönliche Daten wie Passwörter und Kreditkartennummern preiszugeben; "eine E-Mail, die wahrscheinlich ein Phishing-Betrug ist".
Es gibt zu viele verschiedene Unterarten von Phishing, um sie hier zu erläutern. Dafür gibt es Wikipedia oder ein ernüchterndes Gespräch mit einem Compliance-Beauftragten oder E-Mail-Administrator. Wir möchten uns darauf konzentrieren, wie man einen Phishing-Angriff erkennt und welche Maßnahmen ein Mitarbeiter ergreifen sollte, um die Echtheit einer verdächtigen E-Mail zu überprüfen.
Carly hat ein großartiges Beispiel zu erzählen: Ein Phishing-Versuch, bei dem der Name unseres eigenen CEO bei Mitratech, Mike Williams, als Köder verwendet wurde.
Hüten Sie sich vor "bekannten" Namen
In diesem Fall weist Carly auf die Phishing-Indikatoren in einigen der E-Mails hin, die angeblich von Mike Williams stammten. Beachten Sie in beiden Beispielen unten, dass die E-Mail des Absenders der erste eindeutige Hinweis darauf ist, dass sie nicht von Mike stammt.
Zur Erinnerung: Hier sind fünf Tipps, wie Sie Phishing-E-Mails erkennen und sich vor ihnen schützen können:
1 - Schauen Sie sich die tatsächliche E-Mail-Adresse des Absenders an, nicht nur den Anzeigenamen, sowie den Zeitstempel, an dem die E-Mail gesendet wurde. Vergewissern Sie sich, dass die E-Mail-Adresse die richtige E-Mail-Adresse des Absenders ist und der Zeitstempel zum Verhalten des Absenders passt. Wenn Sie eine E-Mail um 1:30 Uhr nachts von einem Absender erhalten, der nie außerhalb der normalen Geschäftszeiten arbeitet, sollten Sie misstrauisch sein.
2 - Achten Sie auf Rechtschreib- und Grammatikfehler. Verstehen Sie, dass es einen Unterschied zwischen Sprachbarrieren und Rechtschreib- und Grammatikfehlern gibt. Machen Sie nicht etwas ab, nur weil Englisch nicht die Muttersprache des Absenders ist. Wenn Ihr Absender jedoch nicht zu Fehlern neigt, sollten Sie das als erstes als Warnsignal verstehen. Dazu können gehören:
- Verwendung von Interpunktion oder gar keine Interpunktion. Verwendet der Absender normalerweise eine korrekte Zeichensetzung?
- Unzureichende Verwendung der Rechtssache.
- Falsch geschriebene Wörter. Schreibt der Absender häufig vorkommende Wörter falsch? Stimmt die Schreibweise der Wörter mit der Sprache des Absenders überein?
Im Folgenden finden Sie ein Beispiel für eine Phishing-E-Mail, die vorgibt, von Microsoft Skype zu stammen, aber einige verräterische Hinweise darauf enthält, dass es sich um eine Fälschung handelt.
3 - Öffnen oder laden Sie niemals einen unbekannten Anhang herunter. Wenn Sie eine E-Mail nicht erwarten, geschweige denn einen Anhang, gehen Sie davon aus, dass es sich um eine Phishing-E-Mail handelt, bis Sie den Absender überprüft haben.
4 - Klicken Sie nie auf Links in E-Mails. Wir alle in Unternehmen erhalten ständig interne E-Mails mit Links zu internen Ressourcen; gewöhnen Sie sich jedoch an, niemals auf Links zu klicken. Gewöhnen Sie sich jedoch an, niemals auf Links zu klicken. Klicken Sie stattdessen mit der rechten Maustaste auf den Link (E-Mail, Abmeldeoption, Hyperlink usw.), wählen Sie Kopieren (E-Mail-Adresse kopieren, Link-Adresse kopieren usw.) und fügen Sie ihn dann in das entsprechende Feld ein (neue E-Mail, Webbrowser usw.). Auf diese Weise können Sie verhindern, dass Sie auf eine bösartige Website umgeleitet werden und Ihren Benutzernamen und Ihr Kennwort oder sensible Daten preisgeben.
5 - Achten Sie auf die Dringlichkeit. Wenn Sie eine E-Mail erhalten, die dringende Maßnahmen erfordert, halten Sie an! Prüfen Sie die E-Mail auf die oben genannten Punkte, stellen Sie fest, ob die Dringlichkeit gerechtfertigt ist, und ergreifen Sie dann entsprechende Maßnahmen. Dringlichkeit ist eine der wichtigsten Methoden, um den Empfänger dazu zu bringen, seine Wachsamkeit zu vernachlässigen. Der Zeitpunkt, zu dem Phishing-E-Mails verschickt werden (z. B. am späten Nachmittag), und die Dringlichkeit, mit der sie versendet werden, sind oft ein wichtiges Warnsignal.
Wie verifiziere ich eine E-Mail?
Niemals die Legitimität einer E-Mail oder ihres Inhalts überprüfen, indem Sie dem ursprünglichen Absender antworten. Verwenden Sie auch keine der in der E-Mail angegebenen Kontaktinformationen zur Überprüfung. Gehen Sie stattdessen wie folgt vor:
- Rufen Sie den Absender an, um die E-Mail und ihren Inhalt zu überprüfen.
- Senden Sie eine separate E-Mail an die bekannte E-Mail-Adresse des Absenders, um die Legitimität der verdächtigen E-Mail zu überprüfen, bevor Sie etwas unternehmen.
- Wenn der Absender ein Kollege ist und ein gängiges Chat-Tool wie Slack oder Teams verwendet, senden Sie ihm eine Nachricht über dieses Tool, um zu überprüfen, ob er Ihnen die E-Mail geschickt hat.
Wie das praktische Akronym besagt, sollten Sie die E-Mail so lange prüfen, bis Sie sicher sind, dass sie vertrauenswürdig ist. Bleiben Sie stehen, stellen Sie fest, ob einer der Phishing-Indikatoren vorhanden ist, und ergreifen Sie Maßnahmen, indem Sie die E-Mail überprüfen und alle E-Mails löschen, die nicht echt sind.
Andere Maßnahmen, die Sie sich merken sollten?
- Wenn Sie glauben, dass Sie auf eine Phishing-E-Mail hereingefallen sind, sollten Sie dies sofort Ihrem IT- und/oder Datensicherheitsteam melden.
- Sie sind nicht sicher, ob es sich um einen Phishing-Angriff handelt? Fragen Sie bei diesen Teams nach. Möglicherweise gibt es in Ihrem Unternehmen einen Leitfaden oder einen Kanal, über den Sie Informationen erhalten können, einschließlich aktueller Informationen über die neuesten Betrugsversuche.
Heutzutage kann man leider nicht vorsichtig genug sein. Oder wie Carly Franks uns sagt,
