Betrügerische E-Mails waren auch im Jahr 2021 wieder eines der größten Sicherheitsrisiken für die IT von Unternehmen. Die hohe Erfolgsquote spornt Cyberkriminelle immer weiter an, ihre Methoden zu verbessern. Unsere Phishing-Mail-Beispiele helfen Ihnen dabei, die Frage „Echt oder Fake?“ zu beantworten.
Wir verraten, welche Betreffzeilen und Inhalte definitiv auf einen Phishing-Versuch hindeuten.
Phishing-Mail-Beispiele – bestimmte Trends erkennbar
Die Anbieter von Sicherheitssoftware nehmen die Praktiken und Hacker-Trends alljährlich genau unter die Lupe. Einer von ihnen, das Security-Software-Unternehmen KnowBe4, veröffentlich zum Beispiel jedes Jahr einen Bericht darüber, mit welchen Themen und Betreffzeilen Cyberkriminelle besonders erfolgreich waren, und stellt darin typische Phishing-Mail-Beispiele vor.
Dabei zeigt sich jedes Jahr aufs Neue, dass sich häufig bestimmte Trends beobachten lassen. Cyberkriminelle scheinen demnach mit einiger Vorliebe aktuelle Themen aufzugreifen, die die Menschen sehr beschäftigen. Was Sie sich dadurch erhoffen, dürfte klar sein: Die E-Mail-Adressaten sollen so neugierig auf den Inhalt sein, dass sie jegliche Vorsicht fallen lassen und auf den Phishing-Versuch hereinfallen. Neben Phishing-Mails mit aktuellem Bezug, gibt es aber auch einige Klassiker, die immer zu funktionieren scheinen.
Wir haben uns einmal angesehen, welche Phishing-Mail-Beispiele 2020 und 2021 besonders verbreitet waren – und dementsprechend bei potenziellen Opfern sämtliche Alarmglocken schrillen lassen sollten.
Phishing-Mails: Trends 2020
Das Ergebnis ist keine wirkliche Überraschung: Im Jahr 2021 hat die anhaltende Corona-Pandemie nicht nur Zündstoff für die Politik, Gesellschaft und Wirtschaft geliefert, sondern auch weltweit Hacker aller Größenordnungen inspiriert. Die Sicherheitsexperten von KnowBe4 sind sich daher einig: E-Mails, deren Betreffzeile irgendetwas mit COVID-19 zu tun haben, waren im Jahr 2020 eine der größten Gefahren überhaupt für die IT-Sicherheit.
Aus dem anfänglichen Trend ist damit langsam aber sicher sogar ein Dauerbrenner geworden. Ob gefälschte Webseiten oder Phishing-Mails, von denen allein Google jeden Tag (!) 18 Millionen Stück blockiert hat: Cyberkriminelle nutzten das Thema Corona gewaltig aus.
In 2020 enthielten genau die Hälfte aller Phishing-Mails einen Bezug zur Corona-Pandemie. Das unter den Pandemie-Bedingungen häufig geschwächte Urteilsvermögen und die allgemeine Unsicherheit vieler Menschen haben definitiv ihren Teil dazu beigetragen, dass die Masche so erfolgreich war. Aber: Es gibt auch eine ganze Reihe anderer Themen, die quasi ein Garant dafür sind, arglose Empfänger zum Klicken zu verleiten.
Der Köder muss dem Fisch schmecken
Nach der Corona-Thematik folgten auf Platz 2 der typischen Phishing-Mail-Beispiele dann schon die sozialen Medien. Beziehungsweise: E-Mails, die augenscheinlich von den Plattformen stammen. Ganz vorne dabei war im Jahr 2020 das stetig wachsende Berufsnetzwerk LinkedIn. Aber warum gerade dieses Netzwerk, das im Verhältnis zu Facebook und Instagram in Deutschland sehr viel weniger Mitglieder hat?
Ganz einfach: Weil die Chance sehr viel größer ist, dass eine augenscheinlich von LinkedIn stammende Nachricht im Büro beziehungsweise mit dem Firmenrechner geöffnet wird. „Es geht ja um etwas Berufliches und nicht um etwas Privates“, mag der ahnungslose Empfänger denken. Und schon ist das sprichwörtliche Kind in den Brunnen gefallen.
Die Top 10 der Phishing-Betreffzeilen 2020
Die bereits genannten Themen finden sich dementsprechend auch in den Top 10 der Phishing-Mail-Beispiele im Jahr 2020 wieder. Achtung: Wenn Sie Nachrichten mit einer dieser Betreffzeilen in Ihrem Posteingang entdecken, gibt es nur einen Weg: löschen. Hier die besagten Top 10:
- COVID-19: Update der Richtlinien für Fernarbeit
- COVID-19: Anforderungen und Richtlinien für die Rückkehr ins Büro
- Ihr Team teilte „COVID-19 Änderung und Lohnpolitik für Notfallurlaub“ mit ihnen über OneDrive
- Lesen oder Ausfüllen erforderlich: „COVID-19 Sicherheitsbestimmungen“
- Offizielle Quarantäne-Benachrichtigung
- Geplante Server-Wartung – Kein Internetzugang
- Sofortige Passwort-Überprüfung notwendig
- Bitte lesen Sie die Anforderungen des Urlaubsgesetzes
- Formular zum Lohnabzug
- Update der Richtlinien für Urlaube
Sie sehen, dass nahezu jede dieser Betreffzeilen eindeutig Arbeitnehmer anspricht. Das verwundert wenig, denn Phishing-Attacken gegen Unternehmen können den kriminellen Köpfen dahinter eine ganze Menge Geld einbringen. Oder ihre Zerstörungswut befriedigen, je nachdem.
Phishing-Mails: Trends 2021
Und wie hat sich das Thema im Phishing im Jahr 2021 fortgesetzt? Es gilt weiterhin: „Social-Engineering-Angriffe sind nach wie vor eine der Hauptmethoden, mit denen böswillige Hacker in Unternehmen eindringen oder Schaden anrichten.“ Das zumindest stellt Stu Sjouwerman, CEO von KnowBe4, fest. Zudem ließ sich im Jahr 2021 eine kontinuierliche Zunahme des Phishings beobachten.
Gleichbleibend ist die Häufigkeit, mit der Cyberkriminelle einen Bezug zu Social Media nutzen, um mit ihren Phishing-Attacken zum Erfolg zu kommen. Allerdings scheinen die Angreifer von dieser Thematik weniger abhängig zu sein – vermutlich weil nun auch andere Themenbereiche stärker im Kommen sind. Ein Beispiel dafür: HR-Themen, die in 2021 sehr viel stärker vertreten waren als noch im Jahr 2020.
Der CEO von KnowBe4 rät daher dringend: „Mehr denn je müssen die Endnutzer wachsam bleiben und daran denken, innezuhalten und zu denken, bevor sie klicken.“ Aber bei welchen Phishing-Mail-Betreffzeilen war 2021 besondere Vorsicht geboten?
Die Top 10 der Phishing-Betreffzeilen 2021
Besonders verdächtig haben sich auch im Jahr 2021 ganz bestimmte Betreffzeilen gemacht. Die Experten von KnowBe4 haben dazu wieder eine Top-10-Liste erstellt – einerseits mit simulierten, andererseits mit echten Phishing-Mail-Beispielen. Hier die Übersicht:
- Ihr Dokument ist vollständig – Kopie speichern
- Sie haben eine Rücksetzung Ihres LinkedIn-Passworts beantragt
- Windows 10 Upgrade-Fehler
- Warnung zur Internetkapazität
- IT: Ungewöhnliche E-Mails von Ihrem Konto
- IT: Kommende Änderungen
- HR: Umfrage zur Zufriedenheit mit der Fernarbeit
- Facebook: Ihr Facebook-Zugang wurde vorübergehend für eine Identitätsüberprüfung deaktiviert
- Twitter: Mögliche Kompromittierung des Twitter-Kontos
Sollten Sie eine E-Mail mit einem solchen Betreff erhalten, sollten Sie unbedingt stutzig werden und die E-Mail bei der zuständigen IT-Abteilung als verdächtig melden.
Mit Phishing-Mail-Beispielen Betrug erkennen
Bedenken Sie, dass bei faktisch jeder Nachricht im Posteingang ein gesundes Misstrauen angebracht ist. Denn unabhängig von den genannten Top 10 arbeiten Cyberkriminelle auch weiterhin gerne mit großen Namen. Sollten Sie also beispielsweise eine E-Mail von Facebook, Apple, Twitter, der Sparkasse oder Volksbank erhalten, ist die Wahrscheinlichkeit erst einmal hoch, dass dahinter ein Betrugsversuch steckt.
Wichtig daher: Sorgen Sie dafür, dass Ihre Sicherheitssoftware immer auf dem aktuellsten Stand ist. Gleiches gilt zudem auch für die Firewall. Nutzen Sie Anti-Spam-Filter und schulen Sie Ihre Mitarbeiter. Oft genügt auch ein kleiner Mouse Over, der die vollständige Absender-Adresse der E-Mail sichtbar macht. Sobald dort nämlich etwas anderes steht als die wirkliche und reine Domain, ist Vorsicht geboten.
Unser Tipp: Wenden Sie sich an unsere Experten aus dem IT-SERVICE.NETWORK. Gemeinsam mit Ihnen definieren wir vielseitige Maßnahmen, damit sich die E-Mail-Sicherheit und die allgemeine IT-Sicherheit in Ihrem Unternehmen nachhaltig erhöhen.
Weiterführende Links:
it-daily
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung