Der „nigerianische Prinz“, der um finanzielle Hilfe bittet, ist längst nicht mehr die einzige Form des Online-Betrugs. Mittlerweile gibt es unendlich viele benutzerdefinierte Phishing-Angriffe, die angeblich von der eigenen Bank, von Online-Zahlungs-Anbietern oder ähnlichen Institutionen stammen.
Das Ziel von Phishing ist klar: Infizierte Dateien oder bösartige Links versenden, Zugangsdaten für Konten etc. erhalten, Daten per Ransomware verschlüsseln oder allgemeiner Datenklau. Das Wissen darüber, wie häufig aber welche E-Mails tatsächlich angeklickt oder beantwortet werden, ist nicht so weit verbreitet.
Deshalb untersuchte KnowBe4 das Nutzerverhalten und die Themen, die häufig in Phishing-E-Mails benutzt werden. Die Umfrage, die von 146 Privatpersonen ausgefüllt wurde, zeigt, dass die meisten Scams erkennen, sich bei Phishing aber schwertun. Die Frage war: Welche dieser E-Mails weckt den Verdacht auf Phishing? Drei der dargestellten Mails waren echte Phishing-E-Mails, eine war keine echte.
Die Untersuchung zeigt: Fast ¾ der Befragten erschien der Prinz aus Nigeria höchst verdächtig, die zwei Finanzdienstleister, die um Daten bitten, galt auch als bedenklich (49% und 66 %), jedoch weniger als die des Prinzen. Die „echte“ E-Mail eines Verlages wurde am wenigsten als dubios angesehen, allerdings hat immer noch nahezu ein Fünftel diese für eine Phishing-E-Mail gehalten.
„So sehr das Thema „Phishing“ allen Sicherheitsexperten bereits bekannt sein dürfte, so wenig gehört es zu den bewussten Alltagserfahrungen der allermeisten Anwender. Um so wichtiger ist es daher, gezielt zu schulen und zu testen. Nur so erreichen wir einen souveränen Umgang mit einer der häufigsten Formen von Cyber-Attacken,“ erklärt Detlev Weise, Senior Adviser bei KnowBe4.
Die Umfrage von KnowBe4 zeigt also, dass Phishing-E-Mails zwar häufig als solche erkannt werden, jedoch aber auch, dass die Themen dieser Mails ebenso eine Rolle spielen. Die Hacker, die diese Mails verschicken, entwerfen immer authentischer wirkende E-Mails, die tatsächlich von der eigenen Bank oder einem Online-Zahlungsdienst stammen könnten und sich nur noch minimal unterscheiden.
Aus diesem Grund spielen Security Awareness-Trainings zur Erkennung von Phishing in der Sicherheitsstrategie von Unternehmen eine wichtige Rolle. Die geschulte menschliche Firewall kann viel mehr zur IT-Sicherheit beitragen, als dies Unternehmen annehmen.
Das erworbene Wissen hilft den Mitarbeitern auch im privaten Umfeld, gerade in Zeiten des allgegenwärtigen Home Offices ist dies ein nicht zu unterschätzendes Know-How.