Ein Sicherheitsbericht von Verizon zeigt: Phishing ist aktuell die am meisten verbreitete Methode, um an geschützte Informationen zu gelangen. Jede vierte Attacke im Web basiert darauf. Damit kommt Phishing derzeit öfter zum Einsatz als klassische Malware. Das ist auch dem Software-Unternehmen GitLab bewusst. Um zu überprüfen, wie schnell Mitarbeiter auf derartige Angriffe hereinfallen, schickte ihnen GitLab eine gefakte Phishing-Mail. Wie viele Mitarbeiter erkannten die Mail als Gefahr?
Wie sah die Phishing-Mail aus?
GitLab schickte eine Mail heraus, die 50 IT-Angestellten einen neuen Apple-Laptop als Upgrade zum aktuellen Modell versprach. Dafür sollten sie lediglich auf einen Link klicken und sich auf der nächsten Seite mit ihrem Firmen-Account einloggen.
Diese Hinweise auf Phishing lieferte GitLab
GitLab versteckte in der Mail mehrere Hinweise, die das Schreiben als Phishing-Versuch erkennbar machten. So kam die Mail zwar von einer ähnlichen, aber nicht identischen Mailadresse der Firma. Das in der Mail angepriesene Notebook war zudem älter als die Modelle, die die meisten Mitarbeiter bereits verwendeten. Daneben versteckte GitLab technische Hinweise, wie zum Beispiel im Quellcode.
So viele Mitarbeiter fielen auf die Phishing-Mail herein
17 der 50 Mitarbeiter klickten auf den Link in der Mail. 10 gaben dort sogar ihre Account-Daten ein. Nur 6 Mitarbeiter meldeten die Mail der Abteilung. Mitarbeiter, die ihre Daten eingegeben hatten, wurden zum internen GitLab-Handbuch mit den Sicherheitsrichtlinien weitergeleitet.
Wie können sich Unternehmen vor Phishing-Mails schützen?
Das Experiment von GitLab zeigt, warum Angreifer heute vor allem auf Phishing-Mails setzen. Um sich davor zu schützen, empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) unter anderem, nie auf Links von unbekannten Mails zu klicken und keine Anhänge zu öffnen. Mitarbeiter, die Zweifel haben, ob eine Mail seriös ist, sollten den Absender telefonisch kontaktieren und sich die Mail verifizieren lassen. Und: Angestellte sollten niemals ihre persönlichen Daten auf Webseiten mit unverschlüsselter Verbindung eingeben.
Fazit
Erst vor wenigen Wochen warnte die Zentrale Ansprechstelle Cybercrime (ZAC) des Landeskriminalamts (LKA) Niedersachen vor einer neuen Phishing-Mail. Aktuell sind gefälschte Mails im Umlauf, die von Unternehmen die Rückzahlung der Coronahilfen fordern.
Anzeige




