Aktuelles, Branche, Studien - geschrieben von dp am Dienstag, Juli 26, 2022 10:49 - noch keine Kommentare
Phishing-Gefahr: Mitteilungen der Personalabteilung imitiert
Phishing-Tests zeigen, dass Mitarbeiter am häufigsten auf vermeintliche E-Mails der Personal- bzw. IT-Abteilung hereinfallen
[datensicherheit.de, 26.07.2022] Laut einer aktuellen Meldung von KnowBe4, nach eigenen Angaben Anbieter „der größten Plattform für ,Security Awareness‘ und simuliertes Phishing“, hat sich bei Phishing-Tests mittels Geschäfts-E-Mails herausgestellt, dass in mehr als der Hälfte der angeklickten Betreffzeilen Mitteilungen der Personalabteilung imitiert wurden.
Stu Sjouwerman: Innehalten und die E-Mail hinterfragen, entscheidendes und oft übersehenes Element der Security Culture!
Hälfte der angeklickten E-Mails enthält Betreffzeilen mit Bezug zur Personalabteilung
KnowBe4 hat die Ergebnisse der am häufigsten angeklickten Phishing-Methoden veröffentlicht – darunter auch die am häufigsten angeklickten E-Mail-Betreffzeilen in Phishing-Tests. Die Hälfte der angeklickten E-Mails enthalte Betreffzeilen, „die sich auf die Personalabteilung bezogen, darunter Informationen zu Urlaubsrichtlinien, Änderungen des Dress-Codes und Personalgespräche“. Die andere Hälfte setzten sich aus IT-Anfragen zusammen, einschließlich von Passwort-Überprüfungen.
Mittlerweile wüssten die meisten Mitarbeiter, „dass sie nicht auf Links in einer SMS klicken sollten, in der eine angebliche Bestellung im Wert von mehreren Tausend Euro bestätigt werden soll, oder in der sie darüber informiert werden, vermeintlich aus heiterem Himmel einen Preis gewonnen zu haben“. Aber es stelle sich die Frage der Reaktion auf eine Nachricht von der Personalabteilung, wenn vorgeblich ein Personalgespräch ansteht oder es sich bei dem Anhang um den Entwurf einer Personalplanung handeln soll, in dem der eigene Name erwähnt wird!
Geschäftliche Phishing-E-Mails besonders effektiv
Geschäftliche Phishing-E-Mails seien besonders effektiv, weil sie legitimer wirkten, dringlicher seien und dadurch eine schnellere Reaktion beim Empfänger auslösten. Die E-Mail-Quelle könne durch eine gefälschte Domäne verschleiert werden, „so dass sie noch leichter zu übersehen ist, und kann sogar den Namen und das Logo des Unternehmens (manchmal sogar den Namen des Mitarbeiters) im E-Mail-Text enthalten“. Die meisten enthielten einen Phishing-Hyperlink in der E-Mail oder einen angeblichen pdf-Anhang.
„Wir wissen bereits, dass mehr als 80 Prozent der Datenschutzverletzungen in Unternehmen weltweit auf menschliches Versagen zurückzuführen sind“, erläutert Stu Sjouwerman, „CEO“ von KnowBe4, und führt weiter aus: „Die ,Security Awareness‘-Schulung der Mitarbeiter ist eine der kostengünstigsten und effektivsten Methoden, um ,Social Engineering‘-Angriffe zu vereiteln.“ Durch diese Schulung würden die Mitarbeiter in die Lage versetzt werden, eine verdächtige E-Mail schnell zu erkennen, „selbst wenn sie von einer internen Quelle zu stammen scheint, so dass sie innehalten, bevor sie klicken“. Dieser Moment, in dem sie innehalten und die E-Mail hinterfragen, sei ein entscheidendes und oft übersehenes Element der „Security Culture“, welches die Angriffsfläche eines Unternehmens erheblich verringern könne.
Weitere Informationen zum Thema:
KnowBe4
TOP-CLICKED PHISHING TESTS
datensicherheit.de, 23.08.2021
KnowBe4: Ressourcenpaket zur Verteidigung gegen zunehmende Cyberangriffe veröffentlicht / Kostenloses Angebot zur Unterstützung von IT-Administratoren bei der Stärkung ihrer Schulungen zum Sicherheitsbewusstsein
datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt / Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren