Security Awareness

Die gefährlichsten Phishing-Betreffzeilen

30.01.2019
Von 
Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Diese Betreffzeilen lassen sich Anwendern als Beispiele für Phishing-Mails zeigen. User können dadurch lernen, wie sie in ähnlichen Fällen vorgehen sollen.

Der Anbieter KnowBe4 hat in zwei Listen Betreffzeilen zusammengestellt, die bei Phishing-Kampagnen Empfänger am ehesten zum Anklicken motivieren. Eine der jetzt vorgelegten Listen enthält die im vierten Quartal 2018 tatsächlich in Phishing-Kampagnen am häufigsten genutzten Betreffzeilen. Die andere Liste zeigt unter anderem, welche Betreffzeilen in von dem Anbieter von Security Awareness Trainings durchgeführten Tests am besten funktionierten und damit das größte Risiko für Unternehmen darstellen.

Phishing ist in Firmen trotz zahlreicher technsicher Vorkehrungen immer noch ein großes Problem. Immer mehr setzt sich die Auffassung durch, dass bei der Bekämpfung auch die Anwender gefordert sind.
Phishing ist in Firmen trotz zahlreicher technsicher Vorkehrungen immer noch ein großes Problem. Immer mehr setzt sich die Auffassung durch, dass bei der Bekämpfung auch die Anwender gefordert sind.
Foto: I AM CONTRIBUTOR - shutterstock.com

"Aufgrund dieser Erkenntnis können IT-Abteilungen konkrete Daten über Phishing festlegen. Diese Betreffzeilen zeigen sie ihren Nutzern als Beispiele, um daraus zu lernen, wie sie in ähnlichen Fällen vorgehen müssen", schildert Perry Carpenter, Chief Evangelist und Strategic Officer bei KnowBe4. Carpenter zufolge lassen sich die 2018 in Phishing-Kampagnen verwendeten Betreffzeilen in fünf Themenblöcken zuordnen:

  • Lieferungen

  • Passwörter

  • Unternehmensrichtlinien

  • Urlaub

  • IT-Abteilung

Im Detail krankt die Erhebung von KnowBe4 etwas daran, dass sie offenbar sehr US-lastig ist. Zum Beispiel zählt "Wells Fargo" zu den drei häufigsten, das ganze Jahr 2018 über verwendeten Stichworten. Mit einer vermeintlichen E-Mail des Finanzdienstleistungsunternehmens könnte man im deutschsprachigen Raum wohl kaum jemanden zum Anklicken bewegen. Wenn überhaupt, ist der Name höchstens von den Postkutschen aus Western-Filmen bekannt.

Auch die Bedeutung von vermeintlichen Mails zu UPS-Etiketten lässt auf die einen Erhebungsschwerpunkt in den USA schließen. Hierzulande ist bei den Kriminellen "DHL" als Lockmittel wesentlich beliebter. Mit leichten Abstrichen lassen sich die Erkenntnisse von KnowBe4 in Schulungen, Trainings und Seminaren für Anwender in Unternehmen dennoch gut einsetzen.

Die im vierten Quartal 2018 weltweit bei simulierten Phishing-Tests am häufigsten angeklickten E-Mail-Betreffzeilen sind demnach:

  1. Passwort-Überprüfung sofort erforderlich / Änderung des Passworts umgehend erforderlich (19 %)

  2. Ihre Bestellung bei Amazon.com/Ihre Amazon-Bestellbestätigung (16 %).

  3. Ankündigung: Änderung des Urlaubsplans (11 %)

  4. Frohe Feiertage! (10 %)

  5. Problem mit Ihrem Bankkonto (8 %)

  6. Deaktivierung der [[E-Mail]] im Prozess (8 %)

  7. IT-Abteilung (8 %)

  8. Überarbeitete Urlaubs- und Krankheitsrichtlinie (7 %)

  9. Letzte Erinnerung: Bitte antworten Sie sofort (6 %)

  10. UPS Etikettenversand 1ZBE312TNY00015011 (6 %)

Die Untersuchung der Betreffzeilen tatsächlich als Phishing-Versuch erkannter E-Mails im gesamten Jahr 2018 zeigte, dass folgende zehn Themen und Sätze am häufigsten verwendet wurden:

  • Apple: Du hast kürzlich einen Passwort-Reset für deine Apple ID angefordert

  • Umfrage zur Mitarbeiterzufriedenheit

  • Sharepoint: Sie haben zwei neue Faxnachrichten erhalten

  • Ihr Support-Ticket wird geschlossen

  • Docusign: Du hast ein Dokument zur Unterschrift erhalten

  • ZipRecruiter: ZipRecruiter-Konto gesperrt

  • IT-System-Unterstützung

  • Amazon: Zusammenfassung Ihrer Bestellung

  • Office 365: Bericht über verdächtige Aktivitäten

  • Squarespace: Fehler bei der Kontoabrechnung

Tools für Anti-Phishing-Schulungen

Wenig überraschend empfiehlt KnowBe4 als Schulungsanbieter, dass Unternehmen ihre Benutzer schulen und soweit aufklären sollten, dass sie bei E-Mails, die bei technischen Schutzvorkehrungen durchgeschlüpft sind, aufmerksam sind. Im Zweifel sollten sie dann eben nicht klicken, sondern sie der IT-Abteilung melden. Diesen Ratschlag geben aber auch andere Unternehmen.

Zum Beispiel hat Kaspersky kürzlich seinen Partnern die eigene, automatisierte Trainingsplattform vorgestellt. Die "Automated Security Awareness Platform" (ASAP) bietet Partnern eine Cloud-basierte Lernsoftware, mit der sie Mitarbeiter bei Bestandskunden und Interessenten für das richtige Verhalten am PC und Smartphone sensibilisieren können. Dabei geht es nicht nur um Phishing. Besonderheit ist zudem, dass die Inhalte in viele kurze Lerneinheiten statt einigen wenigen großen gegliedert sind. Laut Kaspersky ist dadurch der Lernerfolg größer.

Sophos hatte im Rahmen seiner Partner-Roadshow im Frühjahr 2018 das Tool Phish Threat angekündigt. Das Trainings-Werkzeug für Nutzer bei Anwenderunternehmen ist inzwischen seit Monaten verfügbar. Es steht in einer kostenlosen Trial-Version zur Verfügung, kann aber kostenpflichtig genutzt und dann mit anderen Sophos-Produkten verknüpft werden. Beispielsweise lassen sich dann für Nutzer, die bei dem Test durchgefallen sind, Sicherheitsrichtlinien automatisch enger fassen.