KnowBe4-Studie warnt vor gefälschten LinkedIn-Mails

Für fast die Hälfte der Phishing-E-Mails im Umfeld Sozialer Netzwerke verantwortlich

[datensicherheit.de, 24.07.2019] Laut einer aktuellen KnowBe4-Studie konnte nachgewiesen werden, dass gefälschte LinkedIn-Mails für die Hälfte der Phishing-Vorfälle im Umfeld Sozialer Netzwerke verantwortlich sind. KnowBe4 hat die Ergebnisse des „Q2 Phishing“-Reports bekanntgegeben. Für diese Studie seien Zehntausende simulierter Phishing-Tests überprüft worden – und dabei sei festgestellt worden, „dass mehr als 50 Prozent der eingegangenen E-Mails ,LinkedIn‘ in ihrer Betreffzeile hatten“. Informationen wie diese könnten Unternehmen helfen, ihre Mitarbeiter bestmöglich zu schulen und auf die Gefahren, die durch Phishing-E-Mails in die Unternehmensnetzwerke gelangen, hinzuweisen.

Mitarbeiter sollten wissen, wie sie einen Phishing- oder Social-Engineering-Angriff erkennen

Die Studienautoren fanden demnach heraus, dass bei den Phishing-Tests 56 Prozent der Betreffzeilen den Begriff „LinkedIn“ enthielten – mehr als alle anderen Phishing-E-Mails im Umfeld Sozialer Netzwerke zusammen. Dies sei nicht verwunderlich, denn Phishing-Angriffe seien dort 2019 bereits mit einer „bemerkenswerten Wachstumsrate von 75 Prozent“ angestiegen.
Dieser Anstieg der Gefahr, in Kombination mit Problemen der Schatten-IT, hindere die IT-Sicherheitsabteilungen daran, von Usern genutzte Social-Media-Apps auf Smartphones zu überwachen. Deshalb werde es immer wichtiger, „dass Mitarbeiter wissen, wie sie einen Phishing- oder Social-Engineering-Angriff erkennen und was sie danach zu tun haben“.

Benutzer vertrauen schnell ihren mutmaßlich verifizierten Kontakten

„Es fühlt sich gut an, einem Netzwerk beizutreten oder sich in irgendeiner Weise mit Kollegen oder Geschäftskontakten zu verbinden – deshalb sind Social-Media-Phishing-Angriffe so erfolgreich“, erläutert Stu Sjouwerman, „CEO“ bei KnowBe4: „Benutzer vertrauen ihren ,verifizierten‘ Kontakten von Natur aus, so dass sie eher auf einen Link klicken, der von einem dieser Kontakte geschickt wurde. Es wird also immer schwieriger, Phishing-Angriffe zu identifizieren. Die User unserer Plattform sind darauf geschult und deshalb eher in der Lage, Phishing- und Social-Engineering-Angriffe zu erkennen.“

Foto: KnowBe4

Stu Sjouwerman: Kostenlosen Test entwickelt, um IT- und Sicherheitsexperten in Unternehmen jeder Größe zu helfen

Größter Erfolg, wenn Empfänger konkret um Maßnahmen gebeten werden

Die von KnowBe4 identifizierten Social-Media-Phishing-Tests mit den höchsten Öffnungsraten sind nach eigenen Angaben:

• LinkedIn: 56%
• Anmeldealarm für Chrome auf Motorola Moto X: 9%
• 55. Jahrestag und Pizza-Party: 8%
• Dein Freund hat ein Foto von dir markiert: 8%.
• Facebook Passwort-Rückstellungs-Verifizierung: 8%.
• Dein Passwort wurde erfolgreich zurückgesetzt: 6%
• Neue Sprachnachricht um 1:23 Uhr: 5%

Neben der Untersuchung von Phishing-E-Mails mit Social-Media-Betreffzeilen, sei festgestellt worden, dass Phishing-Tests, die sich auf Passwortverwaltung konzentrierten, auch sehr erfolgreich gewesen seien. Immerhin 35 Prozent der Benutzer hätten die Links in den Test-E-Mails angeklickt. Darüber hinaus hätten „In-the-Wild-Angriffe“ – also echte Phishing-E-Mails und keine simulierten – den größten Erfolg, „wenn sie den Empfänger um Maßnahmen baten, wie z.B. die Einladung zur Freigabe eines ,Outlook‘-Kalenders oder die Zuweisung einer Aufgabe auf einer Microsoft-Plattform“.

Mitarbeiter als die letzte Verteidigungslinie eines Unternehmens

Mitarbeiter seien die letzte Verteidigungslinie eines Unternehmens und dann am erfolgreichsten, „wenn sie kontinuierlich geschult und auf die neuesten Phishing-Bedrohungen getestet werden“. Um ihre Aufgabe, Unternehmen bei der Verbesserung ihrer Sicherheit zu unterstützen, sei im Juni 2019 ein Social-Media-Phishing-Test eingeführt worden.
„Dieser kostenlose Test wurde entwickelt, um IT- und Sicherheitsexperten in Unternehmen jeder Größe zu helfen, Benutzer besser zu identifizieren, die wahrscheinlich eine Phishing-E-Mail öffnen, die von einer Social-Media-Site wie facebook, LinkedIn oder twitter stammt.“

Weitere Informationen zum Thema:

KnowBe4
Did you know phishing is still the #1 threat action and is used in social media related attacks?

datensicherheit.de, 01.07.2019
KnowBe4 unterstützt Unternehmen gegen Social Media-Phishing

datensicherheit.de, 28.06.2019
Security Awareness: Faktor Mensch von zentraler Bedeutung

datensicherheit.de, 27.06.2019
Hacker: Mehr als 10 weltweit tätige Telekommunikationsanbieter infiltriert

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 23.10.2018
KnowBe4 veröffentlicht Top-Klicks Phishing Report für das 3. Quartal

datensicherheit.de, 18.10.2018
IT-Sicherheit über die menschlichen Ebene erreichen

datensicherheit.de, 16.09.2018
Phishing-Nachrichten: Anstieg des CEO-Frauds zu beobachten