KnowBe4 vertieft sein Verständnis von Phishing mit Hilfe des neuen Phishing Reply Tests

KnowBe4 hat ein neues, kostenloses Tool angekündigt, mit dem ermittelt werden kann, wie viele Mitarbeiter auf eine Phishing-E-Mail namens Phishing Reply Test (PRT) antworten. Gezielte Phishing-Angriffe, bekannt als Business E-Mail Compromise oder CEO-Betrug, werden häufig genutzt. Meist handelt es sich um eine gute gefälschte E-Mail, die angeblich von der Unternehmensführung stammt und sowohl risikoreiche Nutzer als auch Kollegen aus Buchhaltungs-, Personal- und sogar IT-Abteilungen auffordert, etwas zu tun, beispielsweise Überweisungen vorzunehmen. PRT ist ein webbasiertes Tool, mit dem Cybersicherheitsexperten Mitarbeiter in diesen gängigen Szenarien auf gezielte Angriffe künftig testen können.

Screenshot: Sysbus

Der IT-Pro kann eine E-Mail-Vorlage auswählen (die Vorlagen sind zur Zeit leider nur auf Englisch verfügbar) und an Benutzer unter dem Deckmantel eines vertrauenswürdigen Absenders innerhalb des Unternehmens senden und Phishing für eine Antwort durchführen. Dieses Tool gibt Aufschluss darüber, wie viele Benutzer eines Unternehmens auf diese Art von Phishing-Szenario reagieren. Im Nachgang wird dann eine Schulung durchgeführt, in der gelehrt wird, wie ein tatsächlicher Phishing-Angriff verhindert werden kann. 

„Bei KnowBe4 ist es unser Ziel, die Arbeit der Cybersicherheitsexperten zu erleichtern, indem wir ihnen Tools zur Verfügung stellen, die ihnen helfen, ihre Benutzer besser zu schulen“, sagt Stu Sjouwerman, CEO von KnowBe4. „Unser neues Phishing Antwort-Tool wird dazu beitragen, Mitarbeiter darüber aufzuklären, wie wichtig es ist, Anfragen nach sensiblen und/oder vertraulichen Informationen immer zu überprüfen, bevor sie auf den Antwort-Button klicken.“ 

Die Mehrheit der vermeintlichen E-Mail-Angriffe enthält keinen Link: Es handelt sich lediglich um eine Plantext-E-Mail. Das Problem bei dieser Art von Angriff ist, dass Menschen unwissentlich sensible und/oder vertrauliche Informationen weitergeben. 

Diese sehr zielgerichteten Angriffe sind clever, weil sie traditionelle Ansätze zur E-Mail-Sicherheit umgehen, die sich auf das Scannen und Filtern des E-Mail-Inhalts konzentrieren. Es sind reine Social-Engineering-Angriffe, die auf Benutzer und ihre Anfälligkeit für Täuschung abzielen. 

Im Juli 2018 berichtete das FBI, dass Unternehmen seit 2013 über 12,5 Milliarden Dollar durch den Einsatz technisch einfacher, aber sehr effektiver E-Mails verloren haben, die sich als C-Level-Manager oder andere hochkarätige Mitarbeiter ausgeben.

Weitere Informationen: https://info.knowbe4.com/phishing-reply-test