Phishing-Mails sind ein Dauerbrenner in Sachen Cybercrime: Obwohl die Methode seit Jahrzehnten hinreichend bekannt ist, sind Kriminelle immer wieder äusserst erfolgreich damit. Eine aktuelle Studie zeigt nun, welche Phishing-Art am erfolgreichsten ist.
Zu den am häufigsten von Erfolg gekrönten Phishing-Mails zählen demnach solche mit HR- und IT-Bezug. Sie haben einen Anteil von 48,6 Prozent an den weltweit am häufigsten angeklickten Phishing-Mails, wie aus dem «Q3 2024 Phishing Report» von Knowb4 hervorgeht.
Besonders gut scheinen an die Mitarbeitenden gerichtete Erinnerungen zu funktionieren, worin diese an die Überprüfung von Richtlinien erinnert werden. Auch DocuSign-E-Mails mit der Aufforderung, ein dringendes Dokument zu unterzeichnen und Einladungen zu Video-Calls sind laut der Studie häufig erfolgreich. Zu den bekannten Phishing-Maschen gehören auch Nachrichten, deren angeblicher Absender der eigene Cloud-Provider ist, der Nutzende beispielsweise über die angebliche Löschung von Dateien im Microsoft-Konto informiert.
Das Sicherheitsbewusstsein der Mitarbeitenden fördern
Die häufigsten Phishing-Versuche erfolgen weiterhin mithilfe von Links in gefälschten E-Mails. Eher neuer Art und spürbar im Anstieg begriffen ist offenbar Phishing via QR-Code. Wie es weiter heisst, sind nach wie vor rund 25 Prozent der Nutzenden anfällig für Phishing-Versuche. Dagegen hilft vor alle Eines: die Schulung der Mitarbeitenden hinsichtlich der Gefahren aus dem Cyberspace. Jede Organisation kann laut den Studienautoren durch Endbenutzerschulungen die IT-Sicherheit in nur drei Monaten verbessern. Ein gutes Schulungsprogramm zeichnet sich dabei dadurch aus, dass es in kurzer Zeit einen regelmäßigen Rhythmus für die Schulung in simulierten Phishing- und Social Engineering-Angriffen schafft.
Die Knowb4-Experten warnen auch von der Zunahmen von KI-gestützten Bedrohungen. Diese würden künftig Menschen in Form von Social Engineering-Angriffen oder durch Desinformationskampagnen schaden. Deshalb ist es für Unternehmen umso wichtiger, dass sich ihre Mitarbeitenden entsprechendes Wissen aneignen und ihr Bewusstsein für das Problem schärfen.
End-to-End Security schützt vor gefälschten E-Mails
Neben Awareness-Trainings für Mitarbeitende helfen auch technische Tools gegen Phishing. Eine End-to-End Security-Lösung wie Bitdefender lässt gefälschten E-Mail beispielsweise keine Chance: Sie werden direkt in den Spamordner verfrachtet, bevor überhaupt jemand darauf hereinfällt.