Phishing-Übungen - Awareness schaffen

Mitarbeiter sind oft das schwächste Glied. Wir testen, wie gut Ihr Unternehmen auf Phishing-Angriffe vorbereitet ist.

Die Realität zeigt, dass Angreifer extrem häufig mit Hilfe von Phishing, meist Spear-Phishing, in Unternehmen eindringen bzw. so erst einmal Fuß fassen. Die Mitarbeiter sind dabei das schwächste Glied in der Kette. Mit unseren Phishing-Übungen können Sie Ihre Mitarbeiter auf die Probe stellen.

Phishing-Übungen
Damian Strobel

Damian Strobel

Gründer und CEO

"Phishing zählt und zählte zu den Top 3 initialen Angriffsvektoren. Es ist daher wichtig, dass Unternehmen ihre Mitarbeiter regelmäßig schulen und sensibilisieren."

Was ist Phishing?

Das Wort Phishing ist eine Kombination der englischen Wörter für "Passwort" und "Fischen/Angeln" (Password+Fishing = Phishing). Es beschreibt eine gängige Taktik von Cyberkriminellen, um ein bestimmtes Ziel zu erreichen. Dieses Ziel kann - wie der Name schon sagt - Zugangsdaten eines Nutzers sein. Aber auch andere Informationen wie Kreditkartennummern und ähnliches könnten das Ziel sein. Oft steht ein (erfolgreicher) Phishing-Angriff am Anfang von u.a. Ransomware-Attacken.

Im Kontext von Unternehmen werden immer häufiger so genannte Spear-Phishing-Angriffe durchgeführt. Hierbei werden gezielt Mitarbeiter eines Unternehmens angeschrieben, um an sensible Informationen zu gelangen. Die Angreifer geben sich dabei als vertrauenswürdige Personen aus, um die Mitarbeiter zu täuschen. Die Angreifer nutzen dabei oft Informationen aus sozialen Netzwerken, um die Mitarbeiter zu täuschen.
Je mehr ein Angreifer über sein Ziel weiß, desto ausgefeilter könnten Angriffe dieser Art sein. Speziell in Zusammenhang mit GenAI/LLM lassen sich schnell sehr echte E-Mails vorbereiten, die leider häufig nicht als Probleme erkannt werden.
Das Opfer klickt auf einen Link, bekommt Ransomware auf den (Unternehmens-)Rechner oder gibt auf einer vermeintlich vertrauenswürdigen Seite seine Zugangsdaten ein.

Etwas mehr Informationen zu dem Thema findet man in folgendem Glossar-Artikel: "Was ist Phishing?"

Welche Arten von Phishing-Übungen gibt es?

Spear phishing

Stellen Sie sich vor, ein Hacker wirft nicht einfach ein Netz aus, sondern zielt mit der Angel gezielt auf einen ganz bestimmten Fisch. So ähnlich funktioniert Spear Phishing. Statt massenhaft Köder auszuwerfen, nehmen sich die Täter eine spezifische Person oder Firma vor.
Dafür betreiben sie erstmal gründliche Recherche: Name, Adresse, Job, Kontakte aus dem Beruf, Social Media - alles wird unter die Lupe genommen. Mit diesen Infos basteln sie dann eine Nachricht, die wie maßgeschneidert wirkt. Oft sieht es so aus, als käme sie von jemandem aus der eigenen Firma, dem man vertraut.
Das Ziel? Die Zielperson soll etwas Bestimmtes tun - vielleicht vertrauliche Daten preisgeben oder auf einen Link klicken, der heimlich Schadsoftware installiert. Weil alles so echt und persönlich rüberkommt, ist Spear Phishing besonders tückisch. Selbst Profis tappen da leicht in die Falle.

Whaling

Beim sogenannten "Whaling" haben es Cyberkriminelle auf die ganz dicken Fische abgesehen. Im Visier stehen Topmanager und wichtige Entscheider in Unternehmen - quasi die Wale im Meer der Mitarbeiter. Anders als beim breit gestreuten Phishing gehen die Täter hier mit Ködern angeln, die speziell auf CEOs, Finanzvorstände und Co. zugeschnitten sind.
Dafür betreiben sie oft akribische Recherche und verfassen täuschend echte Nachrichten. Diese kommen als vermeintlich dringende Geschäftsmails daher und fordern zum Beispiel Überweisungen, vertrauliche Infos oder das Öffnen bestimmter Dateien. Weil die Zielpersonen viel Macht und Zugang zu sensiblen Daten haben, können erfolgreiche Attacken richtig ins Kontor schlagen - sowohl finanziell als auch in puncto Firmenreputation.

Clone Phishing

Kennen Sie das? Sie bekommen eine E-Mail, die Ihnen irgendwie bekannt vorkommt. Kein Wunder, denn beim sogenannten Clone Phishing machen sich Betrüger genau das zunutze. Sie kopieren eine echte Nachricht, die Sie schon mal erhalten haben, fast eins zu eins.
Der Clou liegt im Detail: Die Gauner verändern nur Kleinigkeiten. Ein harmloser Anhang wird gegen einen verseuchten ausgetauscht oder ein Link durch einen fiesen Doppelgänger ersetzt. Ziel des Ganzen? Ihnen Schadsoftware unterzujubeln oder Ihre Zugangsdaten abzugreifen.
Was diese Masche so tückisch macht: Die gefälschten Mails wirken extrem vertrauenswürdig. Sie passen nahtlos in den laufenden Mailverkehr und scheinen von jemandem zu kommen, mit dem Sie ohnehin in Kontakt stehen. Selbst für aufmerksame Nutzer ist es oft schwer, hier Betrug zu wittern. Nichts schreit "Vorsicht, Fälschung!" - und genau das macht Clone Phishing so gefährlich.

Vishing

Vishing, eine Abkürzung für "Voice Phishing", stellt eine raffinierte Form des Betrugs dar, bei der Kriminelle das Telefon als Werkzeug nutzen. Im Kern geht es darum, arglose Bürger zur Preisgabe sensibler Informationen oder finanzieller Daten zu bewegen.
Die Täter geben sich dabei als Vertreter seriöser Institutionen aus - etwa Banken, Behörden oder namhafte Unternehmen. Ihr Vorgehen ist psychologisch geschickt: Sie erzeugen gezielt ein Gefühl von Dringlichkeit oder Besorgnis, um ihre Opfer zu überrumpeln.
Ein typisches Szenario: Der Anrufer behauptet, er sei von der Hausbank und habe eine Unregelmäßigkeit im Konto entdeckt. Um das "Problem" zu lösen, werden dann eilig persönliche Daten angefordert.
Was Vishing besonders gefährlich macht, ist die oft hochprofessionelle Durchführung. Die Anrufer sind rhetorisch geschult und verfügen häufig über erstaunlich detaillierte Vorkenntnisse. Dies verleiht ihren Anliegen eine trügerische Glaubwürdigkeit.
Die Folgen können erheblich sein: Vom Identitätsdiebstahl bis hin zu massiven finanziellen Einbußen ist vieles möglich. Daher ist erhöhte Wachsamkeit bei unerwarteten Anrufen, die persönliche Daten betreffen, dringend geboten.

Smishing

In der Welt der digitalen Betrügereien hat sich neben dem altbekannten E-Mail-Phishing eine neue Masche etabliert: Smishing. Der Name mag witzig klingen, die Sache ist es nicht.
Smishing nutzt die gute alte SMS, um arglose Handynutzer aufs Glatteis zu führen. Die Täter tarnen sich als seriöse Absender - Ihre Bank, ein Paketdienst oder eine Behörde. Ihre Botschaften klingen meist dringend: "Ihr Konto wird gesperrt!", "Paket nicht zustellbar!" oder "Bestätigen Sie Ihre Daten!".
Was die Sache tückisch macht: SMS-Nachrichten genießen oft mehr Vertrauen als E-Mails. Sie sind kurz, kommen direkt auf's Handy und wecken den Impuls, schnell zu reagieren. Genau darauf setzen die Betrüger.
Klickt man auf den mitgeschickten Link, landet man auf täuschend echten Fake-Seiten. Oder man wird aufgefordert, sensible Infos per SMS zurückzuschicken. In beiden Fällen ist das Ziel dasselbe: an Ihre persönlichen Daten zu kommen.
Die Folgen können verheerend sein: Identitätsdiebstahl, geplünderte Konten oder Zugriff auf Ihre Online-Accounts. In Zeiten, wo das Smartphone unser ständiger Begleiter ist, wird Smishing zu einer ernsten Gefahr für unsere digitale Sicherheit.
Fazit: Bleiben Sie wachsam, auch bei harmlosen SMS. Im Zweifel lieber einmal mehr beim vermeintlichen Absender nachfragen - aber bitte über die offiziellen Kontaktwege, nicht über die Nummer in der verdächtigen SMS.

Phishing im Red Teaming

Phishing-Übungen sind ein wichtiger Bestandteil von Red Teaming Einsätzen. Dabei simulieren Sicherheitsexperten realistische Angriffe, um die Schwachstellen in einem Unternehmen aufzudecken. Das Ziel: herauszufinden, wie gut die Mitarbeiter auf Phishing-Mails reagieren und ob die Sicherheitsvorkehrungen greifen.
Im Rahmen eines Red Teaming Einssatzes werden die Phishing-Übungen oft noch weiter verfeinert. Die Angreifer passen ihre Taktik an die spezifischen Gegebenheiten des Unternehmens an und nutzen gezielt Schwachstellen aus. So können sie beispielsweise Social Engineering-Techniken einsetzen, um Mitarbeiter zu manipulieren und an sensible Daten zu gelangen.
Die Ergebnisse eines Red Teaming geben Aufschluss darüber, wie gut das Unternehmen gegen Cyberangriffe gewappnet ist. Auf Basis dieser Erkenntnisse können dann gezielte Maßnahmen ergriffen werden, um die Sicherheit zu verbessern und die Angriffsfläche zu minimieren.

Besonders perfide wird es, wenn das Red Team so genannte Subdomain Takeovers dafür nutzt die Phishing-Mails so zu gestalten, dass die gefälschten Login-Portale so wirken, als wären sie wirklich vom Unternehmen gehostet. Aus unserer Praxis ist mitunter der beeindruckendste Phishing-Angriff der gewesen, bei dem wir einen Takeover von vpn.unternehmen.com verwendet haben. Reihenweise haben die Mitarbeiter nach Aufforderung ihre Zugangsdaten in dieses neue VPN-Portal eingegeben.

Häufigster Initialvektor: Social Engineering/Phishing

Nach wie vor belegt Social Engineering/Phishing den ersten Platz als Initialvektor für Cyberangriffe. So entwenden Angreifer extrem oft wichtige Zugangsdaten oder schaffen es das Opfer davon zu überzeugen auf einen bestimmten Link zu klicken, der dafür sorgt, dass eine Hintertür installiert wird. Oder noch schlimmer - dass das Opfer selbst die Hintertür installiert, in dem es Anhänge öffnet.

Brandgefährlicher Trend in Zusammenhang mit Phishing:
Generative KI/LLM

Cyberkriminelle nutzen immer häufiger generative KI-Modelle, um Phishing-Mails zu erstellen. Füttert man diese Modelle mit bereits vorhanden Daten, Personendaten, bereits bekannten geleakten Passwörtern, ggf. mit aktuellen Probleme des Unternehmens und sucht das richtige Opfer aus, kann automatisch eine E-Mail erstellt werden deren Anhang vom Opfer sehr wahrscheinlich geöffnet wird.

Das Problem ist hierbei, dass man den Faktor Mensch nur sehr schwer aus der Gleichung entfernen kann. Zwar sollte man Mitarbeiter schulen und das Risiko minimieren, dass jemand unvorsichtig wird und auf Phishing reinfällt, aber man darf nicht vergessen, dass es immer jemanden geben wird, der auf den Köder reinfällt. Entsprechend ist es genauso wichtig das interne Netzwerk regelmäßig zu stärken, zu prüfen und Netzwerksegmentierung zu betreiben.

Phishing Infografik

Phishing: Infografik - Der Mensch ist und bleibt die größte Schwachstelle.
Kontaktieren Sie DSecured

Phishing anfragen

Passt zum Thema Phishing

Kontinuierliche Überwachung

Kontinuierliche Überwachung

Unsere eASM Plattform "Argos" ist in der Lage ihre gesamte externe Infrastruktur nonstop zu überwachen - so erkennen Sie und wir schnell potenzielle Probleme. Die Platform sucht und meldet uns Anomalien.

Penetrationstests

Penetrationstests dienen dazu in besonders wichtigen Applikationen sehr fokussiert nach Sicherheitslücken zu suchen.

Darknet Intelligence

Darknet Intelligence

Zu oft sind wir Teil von hochkomplexen technischen Penetrationstest, die aber nicht verhindern, dass im Internet Daten von Mitarbeitern für das getestete Portal geleakt werden. Sie sollten als Kunde davon wissen!

Was Kunden über uns sagen