Di, 17. Oktober 2017

Bei Sicherheitstest

24.11.2014 11:57

Jeder fünfte Mitarbeiter tappte in Phishing-Falle

Eine der größten IT-Gefahren für Unternehmen sind ihre Mitarbeiter. Zu diesem Ergebnis kommen italienische Sicherheitsforscher, die im Auftrag mehrerer international aktiver Unternehmen deren Mitarbeiter mit maßgeschneiderten Phishing-Angriffen, sogenanntem Spear-Phishing, auf die Probe stellten. Das erschreckende Ergebnis: Jeder fünfte Mitarbeiter fällt auf Phishing-Mails herein, die auf ihn zugeschnitten wurden. Vor allem junge Arbeitnehmer unterschätzen die Gefahr.

12.000 Mitarbeiter 15 großer Unternehmen wurden von den Forschern der Mailänder IT-Sicherheitsorganisation CEFRIEL auf die Probe gestellt, berichtet das IT-Portal "Heise". Für den Versuch, dessen Ergebnisse die Forscher auf der Wiener Sicherheitskonferenz Deepsec präsentierten, gingen die Forscher in den sozialen Netzwerken auf die Suche nach Informationen über die Mitarbeiter, zusätzlich nutzte man Infos, die von den Auftraggeber-Firmen kamen. Die Informationen wurden verwendet, um Persönlichkeitsprofile der Mitarbeiter zu erstellen und diese direkt mit gefälschten E-Mails anzugreifen.

Vermeintliches Rabatt-Zuckerl war Phishing-Falle
Eine der Methoden, die von den CEFRIEL-Forschern verwendet wurde: An die Mitarbeiter wurden E-Mails mit dem Unternehmenslogo geschickt, in denen attraktive Rabatte beim Buchen einer Reise versprochen wurden. Um diese in Anspruch zu nehmen, müsse man sich nur mit seinen Firmen-Zugangsdaten auf einer Website einloggen, bei der es sich natürlich um eine Fälschung handelte. Das hielt 21 Prozent der Mitarbeiter freilich nicht davon ab, ihre echten Zugangsdaten einzugeben – obwohl die Phishing-Mails eigens mit Rechtschreibfehlern versehen und von russischen Servern gesendet wurden, um den Mitarbeitern die Erkennung zu erleichtern.

Besonders interessante Erkenntnis: Wie die Forscher feststellten, sind nicht etwa ältere Arbeitnehmer besonders anfällig für solche Phishing-Attacken, sondern vor allem jüngere. Die höchste Erfolgsquote hatte der Phishing-Angriff nämlich bei Arbeitnehmern unter 30 Jahren. Auch Schulungen, durch welche Mitarbeiter für die Gefahr durch Phishing-Attacken sensibilisiert werden sollen, bringen nichts. Der Prozentsatz der geschulten Mitarbeiter, die in die Phishing-Falle tappten, war nur unwesentlich geringer als jener der ungeschulten Mitarbeiter. Zudem würden die in Schulungen erlernten Verhaltensweisen binnen weniger Wochen wieder vergessen, beobachteten die Forscher. Besonders alarmierend: Zwar bemerken manche Nutzer, dass sie in eine Phishing-Falle getappt sind. Allerdings schlägt nur jeder hundertste Mitarbeiter tatsächlich Alarm, wenn ihm verdächtige E-Mails auffallen.

Auch Privatnutzer sind durch Phishing gefährdet
Phishing ist nicht nur im Unternehmensumfeld eine Gefahr, sondern auch für Privatleute. Erst kürzlich machte Google darauf aufmerksam, dass in Extremfällen sogar jeder zweite Internetnutzer auf Phishing-Betrüger hereinfällt – wenn diese ihre Betrugs-Websites und gefälschten E-Mails denn professionell aussehen lassen. Und ist man erst einmal in die Phishing-Falle getappt, geht es meist ganz schnell. Die Betrüger ändern das Passwort des gekaperten Accounts, um den Besitzer auszusperren, und suchen gezielt nach Informationen, die sie verwerten können. Allzu oft werden über Phishing-Angriffe gekaperte E-Mail-Accounts auch verwendet, um Kontakte des ersten Opfers anzugreifen. Denn: Phishing-Mails von vermeintlich bekannten Adressen sind 36-mal effektiver als von fremden Adressen.

Wer jetzt glaubt, Phishing sei ein Problem, das ihn nicht betreffe, sollte sich auf den Selbsttest einlassen. Wie schwer es nämlich mitunter sein kann, Original und Fälschung auseinanderzuhalten, zeigen kostenlose Online-Tests diverser Sicherheitsanbieter, etwa Websense , SonicWall oder McAfee , in denen Nutzer dazu eingeladen sind, ihre Fähigkeit zur Identifizierung der gefälschten Nachrichten oder Websites unter Beweis zu stellen.

Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden