Anzeige

Phishing

Auch in diesem Jahr haben Botfrei und der Security-Training-Anbieter SoSafe wieder ihre jährliche Aktion „Phish-Test“ im Rahmen des europäischen IT-Sicherheitsmonat (ECSM)  durchgeführt.

Bürger konnten hierbei überprüfen, wie gut sie realistische Phishing-Mails erkennen können. Die aktuell gestiegene Bedrohungslage spiegelte sich dabei auch in einer  stark erhöhten Resonanz wider: über 5.000 Teilnehmerinnen und Teilnehmer registrierten sich auf der Webseite www.phish-test.de. Das sind fast 50 % mehr als im vergangenen Jahr. Nach  der Registrierung erhielten alle Teilnehmenden drei realistische Phishing-Simulationsmails und wurden auf eine Aufklärungsseite geleitet, falls sie auf die Phishing-Mails „hereinfielen“. Im Gesamtdurchschnitt klickten hierbei 30,71 % der Teilnehmenden auf mindestens eine der  Phishing-Mails. Besonders dramatisch: 87,4 % der Mails wurden zugestellt, d.h. sie gelangten ohne Probleme durch die Spamfilter der Teilnehmenden!  

Themenfokus: Corona und Home-Office bei Angreifenden hoch im Kurs Thematisch waren die simulierten Phishing-Mails an der aktuellen Angriffslage orientiert und  enthielten Taktiken rund um Home-Office und Corona. Denn in der Tat war die globale  COVID19-Pandemie nicht nur eine gesundheitliche Bedrohung, sondern auch ein Fest für  Hacker und Betrüger. So stieg das Aufkommen von Phishing-Mails laut der Agentur der  Europäischen Union für Cybersicherheit ENISA um über 600 % im ersten Halbjahr 2020. Die  Angreifer nutzen hierbei insbesondere emotionale Faktoren sowie den Faktor Home-Office  aus. So konnten zum Beispiel bereits in den ersten Wochen der Pandemie vermeintliche Mails  der World Health Organization „in der freien Wildbahn“ beobachtet werden, die mit  Schutzhinweisen zu dem Coronavirus lockten, aber tatsächlich ein Computervirus enthielten.

Männer klicken fast 50 % häufiger als Frauen 

Ein differenzierter Blick in die Daten bringt zudem spannende Erkenntnisse zutage. Mit Blick  auf das Geschlecht der Teilnehmenden zeigt sich, dass Männer häufiger auf die simulierten  Phishing-Mails geklickt haben als Frauen. Annähernd jeder dritte männliche Teilnehmer hat  mindestens eine der drei verschickten E-Mails geöffnet (32,97 %). Unter den weiblichen  Teilnehmerinnen lag die Quote lediglich bei 22,64 %. Generell waren auch Männer in der  Mehrheit. So befanden sich 78 % Männer und 22 % Frauen unter den Teilnehmenden. 

Altersgruppen: „Digital Natives“ im Vorteil? 

Ein sehr spannendes Ergebnis ergab zudem die Analyse nach Altersgruppen. Die Vermutung  liegt zunächst nahe, dass jüngere Nutzer oder „Digital Natives“ eine wesentlich höhere  Medienkompetenz besitzen und somit auch in der Lage sind, Phishing-Mails zu erkennen. Interessanterweise ergibt die Phish-Test-Auswertung hier genau das Gegenteil: besonders  anfällig für Phishing-Mails ist demnach nämlich die Altersgruppe von 18-29 – mit einer  Klickrate von 38,08 %. Bei allen anderen Altersgruppen liegen die Werte deutlich darunter, im  Durschnitt bei ca. 25 %. Den niedrigsten Wert weist hier die Altersgruppe der 40-49-Jährigen  auf mit 20,83 %. 

Spannende Fragen werden hierbei aufgeworfen: geht vielleicht mit der „Selbstverständlichkeit“,  mit der diese Altersgruppe digital kommuniziert und arbeitet, auch eine kritische Sorglosigkeit einher? Sind die älteren “Silver Surfer” achtsamer oder skeptischer, insbesondere bei  verdächtigen Mails? 

In jedem Fall deuten die Ergebnisse darauf hin, dass Medienkompetenz, und damit  insbesondere auch „Security-Kompetenz“, bereits im frühen Alter, z.B. in der Schule, gefördert  werden sollte.

Ländervergleich: Österreicher schlagen Deutsche knapp, Saarländer besonders vorsichtig 

Mit Blick auf die geographische Verteilung lassen sich in den Daten sehr spannende  Länderunterschiede beobachten, was die „Phishing-Kompetenz“ angeht. So liegt z.B.  Thüringen 3 Prozentpunkte unter dem Durchschnittswert – hier scheint ein ordentlicheres Bewusstsein für Phishing-Mails vorzuliegen als im Bundesdurchschnitt. Baden-Württemberg  und Schleswig-Holstein bilden wiederum die Schlusslichter. Die beiden Bundesländer liegen  mit ihrer Klickrate weit über dem allgemeinen Durchschnitt.  

Aber auch die Saarländer, die „Spitzenreiter“ mit der niedrigsten Klickrate können sich nicht  wirklich auf ihren Lorbeeren ausruhen. Im Schnitt wurde auch hier mit einer Klickrate von 21,41  % immer noch jede fünfte Mail nicht erkannt. 

Zum Abschluss noch ein Vergleich zwischen Deutschland und Österreich. Hier schneiden die  Bewohner der Alpenrepublik mit 28,57% etwas besser ab als die Teilnehmenden aus der  Bundesrepublik, deren Klickrate bei 30,01% liegt.  

Insgesamt sollte also weiterhin für die Gefahren von Phishing-Mails sensibilisiert werden. Im  Vergleich: die durchschnittliche initiale Klickrate bei der SoSafe-Phishing-Simulation über alle  Kunden hinweg liegt bei ca. 20 %.

Fazit: gerade jetzt aufmerksam bleiben! 

Die Ergebnisse der jährlichen Phish-Test-Aktion zeigen ganz klar: echte Phishing-Mails sind  immer schwieriger zu erkennen. Angreifer nutzen aktuelle Themen aus und manipulieren  unsere Emotionen auf diese Art und Weise. Unabhängig davon, ob wir uns gut gewappnet  fühlen oder unsere Medienkompetenz hoch einschätzen: viele Angriffe treffen ins Schwarze. 

Die Tatsache, dass die absolute Mehrzahl der gezielten Phishing-Mails auch durch übliche  Spamfilter gelangen zeigt zudem, wie wichtig es ist, aufmerksam zu bleiben und sich konstant  mit möglichen Angriffen zu beschäftigen. 

Dies trifft umso mehr in der aktuellen Pandemie-Situation zu, die uns alle zu mehr „Remote Work“ zwingt: immer mehr Bestandteile der Kommunikation werden dadurch in den digitalen  Raum verlagert und erhöhen damit das Angriffspotenzial. Daher ist die grundsätzliche  Sensibilisierung für alle Gefahren von Cyber-Kriminalität und speziell für Phishing-Mails wichtig  und gewinnt immer mehr an Relevanz.  

www.sosafe.de

 

 


Artikel zu diesem Thema

Phishing
Nov 16, 2020

Phishing-Angriffe steigen durch COVID-19 um 220 Prozent

Die COVID-19-Pandemie führt weiterhin zu deutlich verstärkten Phishing- und…
E-Mail Security
Sep 17, 2020

Nur jeder Achte verschlüsselt häufig seine E-Mails

E-Mail bleibt auch weiterhin ein wichtiges Kommunikationsmedium. Spam ist nach wie vor…

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.