Der Anbieter KnowBe4 hat in zwei Listen Betreffzeilen zusammengestellt, die bei Phishing-Kampagnen Empfänger am ehesten zum Anklicken motivieren. Eine der jetzt vorgelegten Listen enthält die im vierten Quartal 2018 tatsächlich in Phishing-Kampagnen am häufigsten genutzten Betreffzeilen. Die andere Liste zeigt unter anderem, welche Betreffzeilen in von dem Anbieter von Security Awareness Trainings durchgeführten Tests am besten funktionierten und damit das größte Risiko für Unternehmen darstellen.
"Aufgrund dieser Erkenntnis können IT-Abteilungen konkrete Daten über Phishing festlegen. Diese Betreffzeilen zeigen sie ihren Nutzern als Beispiele, um daraus zu lernen, wie sie in ähnlichen Fällen vorgehen müssen", schildert Perry Carpenter, Chief Evangelist und Strategic Officer bei KnowBe4. Carpenter zufolge lassen sich die 2018 in Phishing-Kampagnen verwendeten Betreffzeilen in fünf Themenblöcken zuordnen:
Lieferungen
Passwörter
Unternehmensrichtlinien
Urlaub
IT-Abteilung
Im Detail krankt die Erhebung von KnowBe4 etwas daran, dass sie offenbar sehr US-lastig ist. Zum Beispiel zählt "Wells Fargo" zu den drei häufigsten, das ganze Jahr 2018 über verwendeten Stichworten. Mit einer vermeintlichen E-Mail des Finanzdienstleistungsunternehmens könnte man im deutschsprachigen Raum wohl kaum jemanden zum Anklicken bewegen. Wenn überhaupt, ist der Name höchstens von den Postkutschen aus Western-Filmen bekannt.
Auch die Bedeutung von vermeintlichen Mails zu UPS-Etiketten lässt auf die einen Erhebungsschwerpunkt in den USA schließen. Hierzulande ist bei den Kriminellen "DHL" als Lockmittel wesentlich beliebter. Mit leichten Abstrichen lassen sich die Erkenntnisse von KnowBe4 in Schulungen, Trainings und Seminaren für Anwender in Unternehmen dennoch gut einsetzen.
Die im vierten Quartal 2018 weltweit bei simulierten Phishing-Tests am häufigsten angeklickten E-Mail-Betreffzeilen sind demnach:
Passwort-Überprüfung sofort erforderlich / Änderung des Passworts umgehend erforderlich (19 %)
Ihre Bestellung bei Amazon.com/Ihre Amazon-Bestellbestätigung (16 %).
Ankündigung: Änderung des Urlaubsplans (11 %)
Frohe Feiertage! (10 %)
Problem mit Ihrem Bankkonto (8 %)
Deaktivierung der [[E-Mail]] im Prozess (8 %)
IT-Abteilung (8 %)
Überarbeitete Urlaubs- und Krankheitsrichtlinie (7 %)
Letzte Erinnerung: Bitte antworten Sie sofort (6 %)
UPS Etikettenversand 1ZBE312TNY00015011 (6 %)
Die Untersuchung der Betreffzeilen tatsächlich als Phishing-Versuch erkannter E-Mails im gesamten Jahr 2018 zeigte, dass folgende zehn Themen und Sätze am häufigsten verwendet wurden:
Apple: Du hast kürzlich einen Passwort-Reset für deine Apple ID angefordert
Umfrage zur Mitarbeiterzufriedenheit
Sharepoint: Sie haben zwei neue Faxnachrichten erhalten
Ihr Support-Ticket wird geschlossen
Docusign: Du hast ein Dokument zur Unterschrift erhalten
ZipRecruiter: ZipRecruiter-Konto gesperrt
IT-System-Unterstützung
Amazon: Zusammenfassung Ihrer Bestellung
Office 365: Bericht über verdächtige Aktivitäten
Squarespace: Fehler bei der Kontoabrechnung
Tools für Anti-Phishing-Schulungen
Wenig überraschend empfiehlt KnowBe4 als Schulungsanbieter, dass Unternehmen ihre Benutzer schulen und soweit aufklären sollten, dass sie bei E-Mails, die bei technischen Schutzvorkehrungen durchgeschlüpft sind, aufmerksam sind. Im Zweifel sollten sie dann eben nicht klicken, sondern sie der IT-Abteilung melden. Diesen Ratschlag geben aber auch andere Unternehmen.
Zum Beispiel hat Kaspersky kürzlich seinen Partnern die eigene, automatisierte Trainingsplattform vorgestellt. Die "Automated Security Awareness Platform" (ASAP) bietet Partnern eine Cloud-basierte Lernsoftware, mit der sie Mitarbeiter bei Bestandskunden und Interessenten für das richtige Verhalten am PC und Smartphone sensibilisieren können. Dabei geht es nicht nur um Phishing. Besonderheit ist zudem, dass die Inhalte in viele kurze Lerneinheiten statt einigen wenigen großen gegliedert sind. Laut Kaspersky ist dadurch der Lernerfolg größer.
Sophos hatte im Rahmen seiner Partner-Roadshow im Frühjahr 2018 das Tool Phish Threat angekündigt. Das Trainings-Werkzeug für Nutzer bei Anwenderunternehmen ist inzwischen seit Monaten verfügbar. Es steht in einer kostenlosen Trial-Version zur Verfügung, kann aber kostenpflichtig genutzt und dann mit anderen Sophos-Produkten verknüpft werden. Beispielsweise lassen sich dann für Nutzer, die bei dem Test durchgefallen sind, Sicherheitsrichtlinien automatisch enger fassen.