Phishing-Zielseiten, Anmeldedatenerfassung und Tracking

Um genau zu verstehen, wie ein Mitarbeitender auf eine simulierte Phishing-E-Mail reagiert, reicht es nicht zu wissen, ob er auf einen Link geklickt hat. Hat er die E-Mail geöffnet? Hat er die Zielseite aufgerufen? Hat er tatsächlich seine Zugangsdaten eingegeben? Hat er die Nachricht als verdächtig gemeldet? Jedes dieser Verhaltensweisen steht für ein sinnvoll unterschiedliches Risikoniveau und einen anderen Schulungsbedarf. Die Tracking-Infrastruktur von empowsec ist darauf ausgelegt, den vollständigen Ablauf einer simulierten Phishing-Interaktion zu erfassen - nicht nur den Klick - damit die resultierenden Daten präzise genug sind, um gezielte Nachschulungen und eine genaue Risikobewertung zu ermöglichen.
Dieser Artikel erläutert, wie empfängerspezifische Tracking-Links, Tracking-Pixel, simulierte Zielseiten und der darauf folgende Lernmoment im empowsec-Phishing-Simulationsmodul zusammenwirken.
Tracking-Pixel und eindeutige Links: Jeden Schritt erfassen
Jede von empowsec generierte simulierte Phishing-E-Mail enthält zwei Tracking-Mechanismen, die speziell für den jeweiligen Empfänger eingebettet sind. Der erste ist ein Tracking-Pixel - ein winziges unsichtbares Bildelement, dessen Laden ein 'Geöffnet'-Ereignis registriert. Wenn der E-Mail-Client die Nachricht rendert und das Pixel anfordert, zeichnet empowsec auf, dass dieser spezifische Empfänger diese spezifische E-Mail zu diesem spezifischen Zeitpunkt geöffnet hat. Öffnungen sind das schwächste Verhaltenssignal, aber sie sind relevant: Ein Mitarbeitender, der eine simulierte Phishing-E-Mail öffnet, beschäftigt sich mit dem Inhalt und ist möglicherweise gefährdet zu klicken.
Der zweite Mechanismus ist ein eindeutiger verfolgter Link. Jeder Empfänger in einer Kampagne erhält eine für ihn spezifische Version des Links, sodass die Plattform beim Durchklicken nicht nur erfasst, dass jemand geklickt hat, sondern genau wer geklickt hat, wann er geklickt hat und aus welchem Kontext. Diese empfängerspezifische Zuordnung ist das, was die Daten für individuelle Nachbereitung nützlich macht und nicht nur für aggregiertes Reporting.
Diese beiden Mechanismen wirken kombiniert. Öffnungs-Tracking sagt Ihnen, ob die E-Mail bemerkt wurde. Klick-Tracking sagt Ihnen, ob der Mitarbeitende überzeugt genug war zu handeln. Die Kombination beider liefert etwas Reichhaltigeres: Ein Mitarbeitender, der geöffnet, aber nicht geklickt hat, hat möglicherweise innegehalten, genauer hingeschaut und sich selbst gestoppt - ein positives Verhalten, das es zu erkennen gilt.
Simulierte Zielseiten und gefälschte Anmeldeformulare
Wenn ein Empfänger auf den verfolgten Link in einer simulierten Phishing-E-Mail klickt, landet er auf einer simulierten Zielseite. Diese Seite ist ein zentraler Teil der Kampagnenkonfiguration und mit der E-Mail-Vorlage verknüpft. Die Zielseite kann ein gefälschtes Anmeldeformular enthalten, das den Mitarbeitenden zur Eingabe von Zugangsdaten auffordert - das Verhalten, das am ehesten dem entspricht, was ein echter Phishing-Angriff zu erreichen versucht.
Es ist wichtig klarzustellen, was 'Anmeldedatenerfassung' in diesem Kontext bedeutet. empowsec ist eine sichere Simulationsplattform. Wenn ein Mitarbeitender das gefälschte Anmeldeformular ausfüllt, zeichnet die Plattform das Ereignis auf - konkret, dass diese Person das Formular zu diesem Zeitpunkt abgesendet hat - aber sie erfasst, speichert oder überträgt keine echten Zugangsdaten. Der Zweck ist edukativer Natur: ein 'Abgesendet'-Ereignis in den Verhaltensdaten zu erfassen, damit die Risikobewertung das volle Ausmaß der Interaktion des Mitarbeitenden mit dem simulierten Angriff widerspiegelt. Echte Zugangsdaten sind niemals gefährdet.
Das 'Abgesendet'-Ereignis wird in der Risikobewertung anders gewichtet als ein 'Geklickt'-Ereignis, weil es ein höheres Engagement mit dem Köder darstellt. Ein Mitarbeitender, der das Formular abgesendet hat, ist nicht nur neugierig auf den Link - er hat den ganzen Weg bis zur Eingabe vertraulicher Informationen auf dem genommen, was er für ein legitimes Formular hielt.
Der Lernmoment: Was unmittelbar danach passiert
Der Moment, in dem ein Mitarbeitender auf einer simulierten Zielseite klickt oder ein Formular absendet, ist der bestmögliche Zeitpunkt, eine Sicherheitslektion zu vermitteln. Er hat gerade in einer sicheren Umgebung einen Fehler gemacht, und seine Aufmerksamkeit ist voll engagiert. empowsec nutzt diesen Moment auf zwei Arten. Erstens kann die Zielseite selbst eine 'Dies war eine Simulation'-Offenlegung anzeigen, die die Übung erklärt und die spezifischen Warnsignale hervorhebt, die der Mitarbeitende hätte erkennen sollen. Diese sofortige, kontextgebundene Erklärung ist der effektivste einzelne Berührungspunkt in einem Phishing-Simulationsprogramm.
Zweitens kann das Klick- oder Absendeereignis automatisch die Zuweisung einer Nachschulung auslösen. Der Mitarbeitende sieht nicht einfach ein Banner und macht weiter - er erhält ein kurzes, gezieltes Schulungsmodul, das tiefer in den gerade erlebten Angriffstyp eintaucht. Diese Zuweisung wird auf Kampagnenebene konfiguriert: Bei der Kampagnenerstellung entscheiden Sie, welches Schulungsmodul mit einem Fehlverhalten gepaart werden soll, und die Plattform übernimmt die Zuweisung automatisch, wenn das Fehlverhalten auftritt.
Das Antwort-Ereignis - wenn ein Mitarbeitender auf die simulierte Phishing-E-Mail antwortet, anstatt auf einen Link zu klicken - kann ebenfalls eine Schulungszuweisung auslösen. Das ist wichtig, weil das Antworten auf eine verdächtige E-Mail ebenfalls ein Hochrisikoverhalten ist: Es kann Organisationsinformationen preisgeben und stellt Kontakt mit einem potenziellen Angreifer her.
Wie Tracking-Ereignisse die Risikobewertung speisen
Jedes während einer Simulation erfasste Ereignis - Geöffnet, Geklickt, Formular abgesendet, Geantwortet, Gemeldet - fließt mit einer gewichteten Beitrag in die Risikobewertungs-Engine von empowsec ein. Die Gewichtungen spiegeln die Verhaltensrisikohierarchie wider: Die Eingabe von Zugangsdaten trägt ein höheres Risikogewicht als das bloße Öffnen der E-Mail. Das Melden einer Simulation ist ein positives Ereignis, das die Risikobewertung senkt. Das bedeutet, die Risikobewertung jedes Mitarbeitenden ist nicht nur eine Zählung der fehlgeschlagenen Simulationen; sie spiegelt den Schweregrad jedes Fehlverhaltens und die Aktualität jedes Ereignisses wider, da die Bewertungs-Engine Zeitabfall anwendet, sodass älteres Verhalten weniger Einfluss hat als neueres.
Im großen Maßstab aggregieren diese individuellen Bewertungen zu Abteilungs- und Unternehmensebenen-Ansichten. Eine Abteilung, deren Mitglieder überwiegend geklickt, aber kein Formular abgesendet haben, befindet sich in einer sinnvoll anderen Lage als eine Abteilung, deren Mitglieder häufig Zugangsdaten eingegeben haben. Die Granularität des Ereignis-Trackings macht diesen Unterschied sichtbar und macht die Risikobewertung zu einem echten nützlichen Werkzeug zur Priorisierung, wo Schulungsressourcen als nächstes eingesetzt werden sollen.
Was das für Ihr Team bedeutet
- Empfängerspezifische Tracking-Pixel und eindeutige Links liefern Ihnen Verhaltensdaten auf Individualebene, nicht nur Kampagnenaggregate.
- Simulierte Zielseiten mit gefälschten Anmeldeformularen erfassen die volle Tiefe des Engagements, einschließlich Formularabsendungen - sicher, ohne dass echte Zugangsdaten gefährdet sind.
- Sofortige Simulationsoffenlegung auf der Zielseite verwandelt den Moment des Fehlverhaltens in den effektivsten Lernmoment im Programm.
- Automatische Zuweisung von Nachschulungen bei Klick, Formularabsendung oder Antwort löst die Nachbereitung ohne manuelle Administrationsschritte aus.
- Ereignisgewichtete Risikobewertung bedeutet, dass die Risikodaten nicht nur widerspiegeln, wer gescheitert ist, sondern wie intensiv er mit dem Köder interagiert hat.


