Spear Phishing ist ohne Zweifel ein großes Sicherheitsproblem. Cyber-Kriminelle versenden nicht mehr tausende von E-Mails nach dem Zufallsprinzip, in der Hoffnung, ein paar Treffer zu landen. Heutzutage kreieren sie vielmehr personalisierte Phishing E-Mails, die sie maßgeschneidert auf die Empfänger ausrichten.
Die Cyber-Kriminellen haben längst verstanden, dass sie es mit einer Generation von "Klickern" zu tun haben und nutzen dies zu ihren Gunsten aus. Zielgerichtete Phishing-E-Mails sind sorgfältig darauf ausgerichtet, selbst jene Benutzer zu täuschen, die darauf bedacht sind, Spam von nützlichen Emails zu unterscheiden.
Die Vorbereitung solcher Attacken ist mit einem hohen Zeitaufwand verbunden. Es besteht also kaum ein Zweifel daran, dass sich diese Methode hinsichtlich des Return on Investment (ROI) rentieren muss. Das Resultat: Allein in den letzten drei Jahren ist die Anzahl der Spear-Phishing- und Long-Lining-Attacken dramatisch angestiegen.
Die Angriffe sind so effektiv, weil sie ihre Empfänger und die installierte Sicherheits-Software gleichermaßen austricksen. Links in diesen E-Mails werden nicht als bösartig oder infiziert erkannt. So wird auf sie in der Annahme geklickt, es handele sich um eine harmlose und sichere Seite. Und das mit enormem Erfolg.
Durchschnittlich zehn Prozent der Empfänger klicken. Verglichen mit den typischen Ergebnissen einer E-Mail-Marketing-Kampagne sind diese Zahlen besonders erschreckend. Hier klicken oft weniger als zwei Prozent der Empfänger auf die enthaltenen Links. Warum haben also die Cyber-Kriminellen mehr Erfolg als Marketing-Experten?
Die Generation „Klick“
Als Privatperson:
1. Verstehen Sie, dass Sie und Ihre Computer nicht in jedem Fall gezielt ausgesucht wurden, sondern häufig auch nur Kollateralschäden sind.
2. Updaten Sie Ihren PC oder Laptop, insbesondere wenn Sie Windows XP nutzen (Microsoft stellt für diese Version keine Sicherheitsupdates mehr bereit). Alternativ verwenden Sie das Betriebssystem nur noch offline.
3. Verwenden Sie keine zu einfachen Passwörter, die leicht zu knacken sind. Als eine Dating-Website gehackt wurde, stellte sich heraus, dass knapp zehn Prozent der genutzten Passwörter „love1234“ waren.
Maßnahmen für Unternehmen:
1. Achten Sie zunächst darauf, grundlegende Sicherheitsrichtlinien umzusetzen.
2. Danach sollten Sie sich um eine ausführliche Sicherheitsberatung bemühen.
3. Machen Sie ihren Mitarbeitern klar, nicht auf Links von sozialen Netzwerken in E-Mails zu klicken. Stattdessen sollten Sie sich über Ihren Browser oder Ihre App einloggen, um die neuesten Meldung von dort aus zu verwalten.
4. Suchen Sie speziell nach Lösungen, die gezielte Angriffe und derzeitige Malware-Bedrohungen zuverlässig erkennen und im Falle einer Infizierung entsprechende Gegenmaßnahmen einleiten können. Natürlich hat auch Proofpoint entsprechende Produkte für Unternehmen im Angebot.
Der zunehmende Wandel in unserer Gesellschaft hinsichtlich Schnellebigkeit und mobiler Erreichbarkeit bedeutet eben auch, dass wir mit Nachrichten aus mehr Bezugsquellen als je zuvor konfrontiert werden. Und das nicht nur im Büro, sondern auch zu Hause. Unsere Aufmerksamkeitsspanne hat sich daher zunehmend verkürzt.
Wir entwickeln uns langsam zu einer Generation von überenthusiastischen Klickern. Denn es ist schon fast zu einer automatischen Reaktion geworden, nach dem Öffnen einer neuen Nachricht innerhalb von Sekunden zu entscheiden, ob auf einen Link geklickt wird oder nicht. Bei dieser Entscheidung ist es ausschlaggebend, ob der Inhalt uns relevant und sinnvoll erscheint.
Nach einem Klick wird die Website geöffnet, der Inhalt gelesen und dann sofort die nächste Nachricht angesehen. Psychologisch gesehen ist der Mensch darauf konditioniert, auf Links zu klicken. Cyber-Kriminelle zielen auf dieses Verhalten ab, indem sie die E-Mails besonders klickfreundlich gestalten.