Schützen Sie Ihr kleines Unternehmen vor Phishing-Angriffen
Veröffentlicht: 2021-07-27Fragen Sie jemanden, und entweder er oder jemand, von dem er weiß, dass er einen Phishing-Angriff erlebt hat. Nicht nur das, sie kennen wahrscheinlich auch jemanden, der tatsächlich wegen einem Geld verloren hat.
Phishing bleibt die häufigste Art von Cyberangriffen, wobei 74 % der Unternehmen in den USA im letzten Jahr erfolgreich angegriffen wurden. Kleine Unternehmen sind leider besonders anfällig, da ihnen in der Regel die Ressourcen und das Wissen fehlen, um sich vor diesen Angriffen zu schützen.
Warum zielen Hacker gerne auf kleine Unternehmen ab?
In den meisten Fällen neigen kleine Unternehmen dazu, das Gefühl zu haben, dass Cybersicherheit für sie nicht relevant ist, weil sie nicht über die riesigen Datenmengen oder finanziellen Vermögenswerte verfügen, von denen sie glauben, dass Hacker hinter ihnen her sind. Warum also Zeit und Mühe aufwenden, um sich selbst zu schützen? ?
Dies ist jedoch genau die Art von Mentalität, auf die sich Cyberkriminelle verlassen, da diese Unternehmen es versäumen werden, wirksame Sicherheitsmaßnahmen zu implementieren, was sie zu leichten und leichten Zielen für Hacker macht. Kleine Unternehmen investieren in der Regel nicht in Cybersicherheitsschulungen für ihre Mitarbeiter, sodass Phishing-Angriffe, die darauf abzielen, Menschen auszutricksen, viel wahrscheinlicher erfolgreich sind, wenn der Empfänger nicht über das Know-how verfügt, damit umzugehen.
Bei einigen Angriffen sind kleine Unternehmen nicht einmal das endgültige Ziel. Der Hacker nutzt ein kleines Unternehmen als einfachen Einstiegspunkt, ein Sprungbrett zu größeren Unternehmen in der Lieferkette, das sie wirklich belohnt. Diese Angriffe auf die Lieferkette nehmen zu und beginnen fast immer mit einem kleinen Unternehmen, das einfach nicht über die Cyber-Abwehr verfügt, um sich angemessen zu schützen.
Wie funktioniert Phishing?
Phishing-Angriffe sind mit 241.324 Vorfällen allein in den USA im vergangenen Jahr nach wie vor eine der am weitesten verbreiteten Arten von Cyberangriffen auf Unternehmen. Die Cyber Breaches Survey der britischen Regierung aus dem Jahr 2021 ergab ebenfalls, dass Phishing der Bedrohungsvektor Nummer eins ist, der für 83 % der Angriffe verantwortlich ist.
Das Hacken in ein System erfordert Zeit und Mühe, aber es ist viel einfacher, jemanden dazu zu bringen, Ihnen Zugang zu diesen Systemen zu verschaffen, indem Sie sein Vertrauen nutzen und ihn austricksen. E-Mail-Phishing richtet sich speziell an Menschen und verwendet häufig Social-Engineering-Techniken, um den Benutzer dazu zu verleiten, vertrauliche Informationen bereitzustellen oder auf einen Link zu klicken, der die Installation von Malware oder Ransomware auf dem System des Empfängers auslöst.
Sie könnten im Rahmen einer Massenkampagne angegriffen werden oder es kann sich um einen spezifischeren, durchdachteren Angriff auf Ihre Organisation handeln. Im letzteren Fall können Hacker bestimmte Informationen über Ihr Unternehmen oder andere Mitarbeiter verwenden, um die E-Mail überzeugender klingen zu lassen. Diese Art von Angriff wird als Spear-Phishing bezeichnet.
Fälle von geschäftlicher E-Mail-Kompromittierung machen es besonders schwierig, einen Betrüger zu erkennen, da Sie, soweit Sie das beurteilen können, eine legitime E-Mail von einem Kollegen oder Geschäftspartner erhalten. Diese Art von Angriffen wird verwendet, um Mitarbeiter, Kunden oder andere Personen in der Lieferkette zu ermutigen, vertrauliche Daten bereitzustellen oder Gelder zu überweisen (die natürlich auf das Bankkonto des Hackers geleitet werden).
Finanzielle Verluste können für ein kleines Unternehmen, das in einen Phishing-Angriff verwickelt ist, schwerwiegende Folgen haben, aber die Dinge können noch viel schlimmer werden, wenn Personen außerhalb Ihres Unternehmens über Ihr Unternehmen ins Visier genommen werden. Wenn es Hackern gelingt, auf das Konto eines Mitarbeiters zuzugreifen und E-Mails an die Lieferanten, Kunden oder Partner Ihres Unternehmens zu senden, könnten Sie diese vertrauensvollen Beziehungen ernsthaft beeinträchtigen und aufgrund von Bedenken, dass Ihr Unternehmen nicht sicher ist, Geschäfte verlieren.
So erkennen Sie einen Phishing-Angriff
Wir alle denken, dass wir wissen, wie man einen erkennt, aber Phishing-E-Mails sind heute viel raffinierter und erfordern ein noch höheres Maß an Wachsamkeit.
Worauf kann man also achten?
- Schauen Sie immer genau auf den Absender. Spoofing-Domänen können nur eine vertrauenswürdige Domäne sein, die auf subtile Weise geändert wurde, z. B. ein „i“ in „1“.
- Überprüfen Sie den Inhalt. Wenn verdächtige Versprechungen gemacht werden und es zu gut aussieht, um wahr zu sein, ist es das wahrscheinlich auch.
- Achten Sie auf den Ton. Hacker verwenden in Phishing-E-Mails oft die Dringlichkeit, um Sie zum Handeln zu überreden, bevor Sie überhaupt nachdenken konnten.
- Rechtschreibung und Grammatik. Korrekte Rechtschreibung und Grammatik sind nicht immer die Stärke eines Hackers, daher können offensichtliche Fehler ein Zeichen von Spam sein.
In Bezug auf BEC-Betrug, der normalerweise viel schwieriger zu erkennen ist, ist es wichtig, Vorsicht walten zu lassen, bevor Sie Informationen versenden. Zu den beliebten Betrugsmaschen gehören das Versenden gefälschter Rechnungen an Kunden, das Vorgeben einer Person im oberen Management, um Geld von Mitarbeitern zu fordern, oder das Vorgeben von Anwälten, um Geld von Kunden zu fordern. Im Allgemeinen wird empfohlen, dass Sie alle Anfragen für Geldüberweisungen, die in Ihrem Posteingang eingehen, noch einmal überprüfen.
Was kann man als Kleinunternehmer tun?
Angestellten Training
Der Schlüssel zum Schutz Ihres Unternehmens vor Phishing-Angriffen besteht darin, sicherzustellen, dass die Mitarbeiter ordnungsgemäß geschult sind, da menschliches Versagen der Grund für den Erfolg eines Phishing-Versuchs ist. Es liegt in der Verantwortung eines CEO oder Eigentümers einer Organisation, sicherzustellen, dass Mitarbeiter die richtige Anleitung zu Phishing-Angriffen erhalten, wie sie diese erkennen und was zu tun ist, falls Sie auf einen solchen stoßen.
Die Pflege einer Kultur der Sicherheit und des Bewusstseins und die Sicherstellung, dass die Mitarbeiter über das richtige Wissen verfügen, ist besonders wichtig, wenn einige Benutzer möglicherweise von zu Hause aus arbeiten, da in diesen Umgebungen weniger Transparenz und Kontrolle vorhanden sind.
Sicherheitsrichtlinien sind eine gute Möglichkeit, diese Anleitung zu vermitteln und sicherzustellen, dass die Mitarbeiter sie lesen und verstehen, damit sie Teil des Mitarbeiter-Onboarding-Prozesses werden können. Auch Cyber Security-Übungen sind eine gute Möglichkeit, dieses Wissen zu testen – es gibt viele Online-Übungen, die kostenlos genutzt werden können, wie zum Beispiel die „Übung in einer Box“ des NCSC. Für ein paar Dollar im Monat können andere Unternehmen Sicherheitsschulungen wie Phishing-Simulationen anbieten, bei denen Sie die Antworten der Mitarbeiter verfolgen können.
Zugangskontrolle
Es ist hilfreich, die Anzahl wertvoller Einstiegspunkte zu begrenzen, die ein Hacker ausnutzen könnte, indem Sie die Kontoberechtigungen in Ihrem Unternehmen einschränken. Mitarbeiter sollten nur auf das zugreifen können, was sie zur Erfüllung ihrer Aufgaben benötigen.
Wenn ein Cyberkrimineller sein Konto hacken sollte, kann er auf diese Weise nicht auf alle sensiblen Daten des Unternehmens zugreifen und die Verletzung kann eingedämmt werden. Administratorkonten sollten für die Verwaltung auf oberster Ebene reserviert werden. Um Ihre Konten weiter vor Sicherheitsverletzungen zu schützen, üben Sie eine gute Passwortsicherheit aus und stellen Sie sicher, dass die Multi-Faktor-Authentifizierung aktiviert ist.
Datensicherung
Die regelmäßige Sicherung aller sensiblen Daten in Ihrem Unternehmen bedeutet, dass nicht alles verloren ist, wenn es einem Hacker gelingt, sich über einen Phishing-Versuch Zugang zu verschaffen. Idealerweise sollte Ihre Backup-Strategie der Best Practice von drei Kopien entsprechen: zwei auf unterschiedlichen Medien, eine davon extern, und alle Backups sollten für zusätzliche Sicherheit verschlüsselt werden. Sie können wählen, ob Sie die Sicherung über einen Cloud-Anbieter oder ein externes Laufwerk durchführen möchten, aber unabhängig von der Methode sollten diese regelmäßig überwacht und überprüft werden, um sicherzustellen, dass eine Wiederherstellung möglich ist.
Sicherheitssoftware
Sicherstellen, dass Sicherheitssoftware immer auf dem neuesten Stand ist, ist ein Muss, um sich vor Datenschutzverletzungen und Phishing-Angriffen zu schützen. Diese sind oft so eingestellt, dass sie automatisch aktualisiert werden, aber es lohnt sich immer, die neuesten Patches zu überprüfen. Obwohl die Mitarbeiterschulung die größte Rolle bei der Verhinderung von Phishing-Angriffen spielen wird, sind zusätzliche Sicherheitsvorkehrungen nützlich, da Sie nicht immer garantieren können, dass Menschen es richtig machen, egal wie viel Training und Cyber-Wachsamkeit sie haben.
Sicherheitslösungen von Drittanbietern können so implementiert werden, dass sie im Hintergrund arbeiten und die E-Mail-Aktivitäten der Benutzer, Anmeldeversuche und Dateidownloads überwachen, sodass Anomalien oder gehackte Konten schnell gefunden und gemeldet werden. Diese können dazu beitragen, ein Sicherheitsnetz zu schaffen, damit selbst ein Fehler eines Unternehmensmitarbeiters nicht katastrophal sein muss.
Fazit
Der Schutz Ihres Unternehmens vor Phishing-Angriffen muss nicht kostspielig oder zeitaufwändig sein, aber für kleine und mittlere Unternehmen ist ein mehrschichtiger Ansatz von entscheidender Bedeutung, um sicherzustellen, dass die Mitarbeiter die richtige Schulung erhalten und die Software für den weiteren Ausbau ordnungsgemäß verwaltet und konfiguriert wird Ihre Abwehrkräfte.
Haben Sie irgendwelche Gedanken dazu? Lassen Sie es uns unten in den Kommentaren wissen oder übertragen Sie die Diskussion auf unseren Twitter oder Facebook.