Wie Sie vielleicht schon von unserem Wombat-Advantage-Programm wissen, sind wir sehr kundenorientiert. Wir suchen aktiv nach Gelegenheiten, um mit unseren Kunden in Kontakt zu treten (und von ihnen zu lernen), und wir bitten auch aktiv um Feedback von den Programmadministratoren, die unsere Produkte zur Schulung der Security Awareness verwenden.
Als Teil dieses Kundenengagements erhalten wir manchmal Anfragen für bestimmte Inhalte, unter anderem Materialien und Blog-Einträge. Eine Anfrage, die wir in der Vergangenheit erhalten haben, betrifft die Entwicklung von Inhalten, damit Benutzer besser zwischen Spam- und Phishing-E-Mails unterscheiden können. Unsere Frage zurück an diejenigen, die sich dieses Thema wünschen, lautet: Ist die Unterscheidung letztendlich wirklich wichtig, wenn es um E-Mail-Hygiene geht?
Die Gewässer sind trüber als sie scheinen
Wir haben eine Reihe von Quellen gesehen, die Spam mit „lästigen E-Mails“ gleichsetzen und als unerwünschte Massen-E-Mails definieren, die nicht versuchen, sensible Informationen abzugreifen.
Sorry, aber diese Definition ist so 2008.
In Wahrheit ist der Versuch, den Benutzern die Unterschiede zwischen Spam und Phishing beizubringen, eine vergebliche Mühe, denn die Unterschiede sind so klar wie Schlamm. Dieser Auszug aus der Website von Kaspersky Labs ist ein großartiges Beispiel hierfür:
Spam ist das elektronische Äquivalent der „unerwünschten Post“, die auf Ihrer Fußmatte oder in Ihrem Briefkasten ankommt. Spam ist jedoch mehr als nur lästig. Er kann auch gefährlich sein – vor allem, wenn er Teil eines Phishing-Betrugs ist.
Spam-E-Mails werden in großen Mengen von Spammern und Cyberkriminellen verschickt, die eine oder mehrere der folgenden Aktionen durchführen wollen:
- Geld verdienen mit dem kleinen Prozentsatz der Empfänger, die tatsächlich auf die E-Mail reagieren
- Phishing-Betrügereien durchführen – um an Passwörter, Kreditkartennummern, Bankkontodaten und mehr zu gelangen
- Verbreitung von bösartigem Code auf den Computern der Empfänger
Also... Spam kann Spam sein. Aber Spam kann auch Phishing sein. Das bedeutet, dass Ihre Endbenutzer eine „Spam-vs.-Phishing“-Lektion wahrscheinlich genauso genießen werden, wie Sie die Beantwortung der Fragen, die sich daraus ergeben.
Ihre Bildungsanstrengungen sind anderswo besser aufgehoben
Wir sind der Meinung, dass Sie mehr Nutzen daraus ziehen, wenn Sie Ihre Mitarbeiter über die potenziellen Gefahren von unerwünschten E-Mails allgemein aufklären, anstatt zu versuchen, ihnen den Unterschied zwischen Phishing-E-Mails und Spam-E-Mails beizubringen. Unabhängig davon, ob sie von einer (letztlich) seriösen Quelle stammt oder nicht, sollte eine unbekannte E-Mail immer als eine mögliche Phishing-E-Mail behandelt werden. Das ist der effektivere (und geradlinigere) Weg zur Verbesserung des Phishing-Bewusstseins und zur Reduzierung erfolgreicher Phishing-Angriffe.