Phishing-E-Mail-Betreffzeilen mit den häufigsten Klicks für Q2 2022 

KnowBe4 analysiert „in freier Wildbahn“-Angriffe zu den wichtigsten Themen, die weltweit in Phishing-Tests angeklickt wurden und die wichtigsten Angriffsvektortypen.

Top-Phishing-E-Mails, die „in freier Wildbahn“ gesehen werden, sind meist geschäftsbezogen

Business-Phishing-E-Mails sind weltweit die am häufigsten angeklickte Themenkategorie. Diese sind besonders effektiv, da sie, wenn sie unbeantwortet bleiben, möglicherweise die tägliche Arbeit des Benutzers beeinträchtigen und die Mitarbeiter dazu verleiten könnten, schnell zu reagieren, bevor sie logisch über die Legitimität der E-Mail nachdenken. Die E-Mail-Quelle kann von einer gefälschten Domain ausgeblendet werden, was es noch einfacher macht, sie zu übersehen, und kann sogar den Firmennamen und das Logo (manchmal sogar den Namen des Mitarbeiters) im E-Mail-Text enthalten.

E-Mails von der Personalabteilung werden wahrscheinlich angeklickt

Im letzten Quartal hatte die Hälfte der Phishing-Tests, auf die geklickt wurde, Betreffzeilen, die sich auf die Personalabteilung bezogen, einschließlich Aktualisierungen der Urlaubsrichtlinien, bevorstehende Leistungsüberprüfungen und eine Mitteilung über eine Kostenerstattung.

Inzwischen wissen die meisten Leute, dass sie, wenn sie eine SMS erhalten, die eine Bestellung im Wert von EUR 1.800 bestätigt, die sie nie aufgegeben haben, oder ihnen mitteilen, dass sie gerade einen neuen Grill gewonnen haben, nicht darauf klicken sollten. Aber was ist, wenn es von ihrer Personalabteilung über eine bevorstehende Leistungsbeurteilung geht? Oder was ist, wenn der Anhang ein Entwurf eines strategischen Plans ist, in dem ihr Name erwähnt wird?

„Wir wissen bereits, dass mehr als 80% der Datenschutzverletzungen in Unternehmen weltweit auf menschliches Versagen zurückzuführen sind“, sagte Stu Sjouwerman, CEO von KnowBe4. „Das Sicherheitsbewusstseinstraining Ihrer Mitarbeiter ist eine der kostengünstigsten und effektivsten Methoden, um Social-Engineering-Angriffe zu vereiteln. Schulungen geben Mitarbeitern die Möglichkeit, eine verdächtige E-Mail schnell zu erkennen, auch wenn sie scheinbar von einer internen Quelle stammt, sodass sie vor dem Klicken überlegen. Dieser Moment, in dem sie anhalten und die E-Mail in Frage stellen, ist ein kritisches und oft übersehenes Element der Sicherheitskultur, das Ihre Risikooberfläche erheblich reduzieren könnte.“

Top-Angriffsvektoren sind Phishing-Links und gefälschte Domains

Fast jeder E-Mail-Betreff, den KnowBe4 untersuchte, enthielt einen Phishing-Link. Wenn diese Links angeklickt werden, führen sie oft zu katastrophalen Cyberangriffen  wie  Ransomware und Geschäfts-E-Mail-Kompromittierung. Spoofed Domains sehen aus, als kämen sie aus der Organisation der Benutzer, was der E-Mail eine Illusion von Legitimität und ein Gefühl der Dringlichkeit verleiht.

In Q2 2022 hat KnowBe4 E-Mail-Betreffzeilen untersucht, die zeigen, dass die tatsächlichen E-Mails, die Benutzer erhalten und ihren IT-Abteilungen als verdächtig gemeldet haben, angezeigt werden. KnowBe4 hat auch Zehntausende von E-Mail-Betreffzeilen und -Kategorien aus simulierten Phishing-Tests sowie die wichtigsten Angriffsvektortypen in beiden Kategorien überprüft.  Die Ergebnisse sind unten.

Häufige „In-the-Wild“-E-Mails für Q2 2022:

  • HR: Ihre Leistungsbewertung ist fällig
  • Google: Sie wurden in einem Dokument erwähnt: „Strategic Plan Draft“
  • IT: Inventarformular
  • Microsoft 365: Microsoft 365 hat neue Kennwortanforderungen
  • Amazon: Auf Ihrem Verkäuferkonto bezahlter Restbetrag
  • Xerox: Neues Dokument wurde für [[E-Mail]] verarbeitet
  • Zoom: [[manager_name]] hat Ihnen eine Nachricht über das Zoom-Nachrichtenportal gesendet
  • Facebook: Dein letzter Facebook-Login
  • Ihr Fax steht zur Vorschau aus
  • Das Geld wurde erfolgreich von Ihrem Bankkonto abgehoben

Top-Phishing-E-Mail-Themen weltweit

  1. HR: Aktualisierung der Urlaubsrichtlinien
  2. HR: Wichtig: Änderungen der Kleiderordnung
  3. Passwortprüfung sofort erforderlich
  4. HR: Ihre Leistungsbewertung ist fällig
  5. Wöchentlicher Leistungsbericht
  6. LinkedIn: Wer sucht online nach Ihnen?
  7. IT: Internetbericht
  8. HR: Bitte aktualisieren Sie W4 für Datei
  9. Bestätigen Sie Ihre Bewertung
  10. Erstattung der Mitarbeiterkosten für [[E-Mail]]

Häufigste Angriffsvektortypen

  1. Link – Phishing-Hyperlink in der E-Mail
  2. Spoofs-Domain – scheint von der Domäne des Benutzers zu stammen
  3. Branded – Phishing-Test-Link hat das Logo und den Namen des Benutzers
  4. PDF-Anhang – E-Mail enthält einen PDF-Anhang
  5. Credentials Landing Page – Phishing-Link leitet den Benutzer zur Dateneingabe- oder Login-Zielseite

Die Ergebnisse aller vorherigen Quartale finden Sie hier Top-Clicked Phishing-E-Mail-Betreffe.

Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

  • Starten Sie sofort Ihren Test für bis zu 100 Benutzer
  • Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
  • Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
  • Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
  • Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
  • Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Recommended Posts