Was ist Spear-Phishing?
Bei Spear-Phishing handelt es sich um eine Betrugsmasche per elektronischer Kommunikation, die auf bestimmte Personen, Organisationen oder Unternehmen abzielt. Obwohl hierbei hauptsächlich Daten für kriminelle Zwecke entwendet werden sollen, haben Cyberkriminelle möglicherweise auch vor, Malware auf dem angegriffenen Computer installieren.
Und so funktioniert es: Es geht eine E-Mail ein, die von einer vertrauenswürdigen Quelle zu stammen scheint. In Wahrheit leitet sie den Benutzer jedoch auf eine gefälschte Webseite um, die voller Malware steckt. Bei diesen E-Mails gehen die Betrüger oft sehr clever vor, um die Aufmerksamkeit ihrer Opfer zu erregen. Das FBI hat beispielsweise vor Spear-Phishing-Betrug gewarnt, bei dem die E-Mails angeblich vom nationalen Zentrum für vermisste und misshandelte Kinder stammten.
Oft stecken von Regierungen bezahlte Hacker und Hacktivisten hinter diesen Attacken. Cyberkriminelle nutzen ähnliche Maschen und bieten Regierungen und Privatunternehmen vertrauliche Daten zum Rückkauf an. Sie setzen individuell gestaltete Methoden und Social Engineering-Techniken ein, um Nachrichten und Webseiten für das jeweilige Opfer maßzuschneidern. So kommt es, dass selbst hochrangige Ziele, z. B. leitende Angestellte von Firmen, als vertrauenswürdig angesehene E-Mails öffnen. Ein solches Versehen ermöglicht es den Cyberkriminellen dann, an die Informationen zu gelangen, die sie für einen Angriff auf das Unternehmensnetzwerk benötigen.
Empfohlene Schutzmaßnahmen
Herkömmliche Sicherheitsmaßnahmen sind oft nicht in der Lage, diese Art von Angriff abzuwehren, weil die Angriffe so geschickt auf die Zielpersonen zugeschnitten wurden. Daraus folgt, dass sie nur sehr schwer zu erkennen sind. Der Fehler eines Mitarbeiters kann ernste Konsequenzen für Unternehmen, Behörden und sogar gemeinnützige Organisationen haben. Mit gestohlenen Daten könnten Betrüger z. B. vertrauliche Geschäftsdaten publik machen, Börsenkurse manipulieren oder unterschiedliche Arten von Spionage betreiben. Darüber hinaus können sie bei Spear-Phishing-Angriffen Malware installieren, um Computer zu übernehmen und sie so zu Teilen eines sogenannten Botnets zu machen, das für DDoS-Angriffe (Distributed Denial-of-Service) genutzt werden kann.
Um Spear-Phishing-Versuche abzuwehren, müssen Mitarbeiter die Bedrohungen, z. B. gefälschte E-Mails, kennen. Neben Aufklärung und Schulung ist eine spezielle Technologie zur Verbesserung der E-Mail-Sicherheit erforderlich.
Datendiebstahl/Phishing
Ihre Daten gehören Ihnen. Und nicht in fremde Hände.
„Sie müssen Ihre Zugangsdaten aktualisieren“, „Ihr Konto wurde vorübergehend gesperrt“, „Sie haben gewonnen“. Was so daherkommt, ist meist eine Betrugsmasche. Sie werden damit aufgefordert, einen Link zu klicken und dort persönliche Kontodaten wie Anmeldename, TAN oder PIN einzugeben. Oder Sie bekommen einen Anruf oder eine SMS, die genau das Gleiche wollen: Ihre Daten oder direkt Ihr Geld stehlen.
Hier gilt ganz einfach: Geben Sie diese Daten nicht weiter. Auch wenn die Aufforderung noch so echt klingt, Ihre Daten gehören Ihnen und werden niemals von der Sparkasse, der Polizei, Ihrem Finanzamt oder Firmen wie Microsoft oder Amazon abgefragt.
Wenn Sie nicht reagieren, kann in diesen Fällen auch nichts passieren. Wenn Sie also unsicher sind, warten Sie immer, bis Ihre Sparkasse oder der angebliche Absender geöffnet haben oder erreichbar ist. Fragen Sie dann dort nach. So viel Zeit ist immer.
Der wahre Grund für erfolgreiche Phishing-Angriffe
Erfolgreiche Phishing-Angriffe nehmen rasant zu und damit auch die Vielfalt ihrer Formen.
Millionen von Benutzern weltweit sind jeden Tag einem Risiko ausgesetzt (genauer gesagt alle 30 Sekunden). Einfach ausgedrückt – Cyberkriminelle entwickeln sich weiter, ebenso wie ihre Techniken.
Aber es ist nicht nur Ihr herkömmlicher Phishing-Betrug, der von einer Reihe von Unternehmen seinen Tribut fordert. Spear-Phishing und CEO-Betrug bieten jetzt eine viel schädlichere Angriffsfläche. Zweifellos zappeln IT-Entscheidungsträger vor der Möglichkeit, eine weitere Geschichte im endlosen Buch der Sicherheitsverletzungen zu werden.
Aber was macht diese Phishing-Angriffe so erfolgreich? Laut einem Bericht von Osterman Research sind 6 Hauptfaktoren dafür verantwortlich...
#1 Ihren Benutzern fehlt das Sicherheitsbewusstsein
Die größte Tür, die Cyberkriminellen geöffnet wird, ist ohne Zweifel die mit "Sicherheitsbewusstsein". Der Hauptgrund für den Erfolg dieser Angriffe ist insbesondere das Fehlen von Mitarbeiterschulungen zu Themen wie Phishing und Ransomware.
Laut Osterman haben 6 % der Nutzer noch nie eine Schulung zum Sicherheitsbewusstsein erhalten. Dies ist ziemlich vernichtend, wenn es um das Selbstvertrauen und die Fähigkeit eines Mitarbeiters geht, Phishing-Angriffe zu erkennen und angemessen zu handeln. Benutzer sollten darin geschult werden, bei unerwarteten E-Mails und Betrügereien, denen sie auf verschiedenen Plattformen ausgesetzt sein könnten, vorsichtig zu sein.
#2 Kriminelle verfolgen (wenig überraschend) das Geld
Die Nutzung und Bekanntheit des Dark Web haben den kommerziellen Wert gestohlener Daten verringert. Der Preis für einen Zahlungskartendatensatz ist von 25 $ im Jahr 2011 auf 6 $ im Jahr 2016 gefallen.
Folglich ist die fruchtbare Natur der Informationsinhaber der Bereich, dem sie sich jetzt zuwenden. Angriffe wie Ransomware, bei denen Informationsinhaber Angst haben, ihre Daten zu verlieren, bedeuten, dass Opfer nicht zweimal überlegen, bevor sie die Forderungen des Kriminellen bezahlen.
#3 Sie führen nicht die erforderliche Sorgfalt aus
Unternehmen tun einfach nicht genug, um die mit Phishing und Schadsoftware verbundenen Risiken zu reduzieren. Es fehlen angemessene Sicherungsprozesse und es ist nicht möglich, die schwächsten Nutzer zu identifizieren, die weitere Schulungen benötigen.
Außerdem fehlen oft starke interne Kontrollprozesse, wie z. B. eine doppelte Bestätigung für jede Banküberweisungsanfrage (die der Schlüssel zur Verhinderung von CEO-Betrug sein kann). Die Vernachlässigung dieser Prozesse spielt einige der gängigsten betrügerischen Techniken direkt in die Hände.
Wusstest du schon...
Die durchschnittlichen Kosten eines Phishing-Angriffs für mittelständische Unternehmen betragen 1,6 Millionen US-Dollar.
#4 Kriminelle Organisationen sitzen auf einem Berg von Geldern
Viele Cyberkriminelle haben Zugang zu großen Geldern, wodurch ihre Fähigkeit erweitert wird, ihre technischen Fähigkeiten zu verbessern und ausgeklügeltere Phishing-Angriffe zu ermöglichen.
Tatsächlich wird behauptet, dass einige Cyberkriminelle durch ihre schädlichen Programme bis zu 7.500 US-Dollar pro Monat verdienen können und dass die Branche jetzt profitabler ist als der Drogenhandel.
#5 Günstige Phishing- und Ransomware-Tools sind leicht zu bekommen
Die Verfügbarkeit von Phishing-Kits und der Aufstieg von Ransomware-as-a-Service (RaaS) haben Möchtegern-Hackern eine einfache Möglichkeit gegeben, in den Markt einzudringen und mit ausgeklügelten kriminellen Organisationen zu konkurrieren.
Der besorgniserregendste Teil dieses wachsenden Trends ist, dass selbst Menschen mit wenig oder keiner IT-Erfahrung die Früchte dieser einfach zu beschaffenden Tools ernten. Bei dieser Art von Verdienstmöglichkeiten ist es nicht schwer zu verstehen, warum Kriminelle in das lukrative Geschäft gezogen werden.
#6 Malware wird immer raffinierter
Die alte (aber immer noch sehr effektive) Technik, Benutzer zum Klicken auf bösartige Links zu verleiten, wird bald von viel listigeren und schwer zu vermeidenden Taktiken überschattet.
Es gibt sicherlich keine große Eile, von den aktuellen Malware-Techniken abzuweichen, obwohl viele vorhergesagt haben, dass dieses Jahr neue Bedrohungen wie „Ransomworms“ (selbstreplizierende Ransomware) entstehen werden.
Jetzt ist es an der Zeit, Phishing- und Ransomware-Angriffe mit einem zusammenhängenden Ansatz zu bekämpfen
Der Schlüssel, um diese Angriffe zu verhindern, das Bewusstsein der Mitarbeiter für Phishing zu erhöhen oder ihr Ausmaß zu verringern, liegt in der Entwicklung einer zusammenhängenden Strategie, die Menschen, Prozesse und Technologie umfasst:
Sensibilisierung der Mitarbeiter für diese Bedrohungen durch Programme zur Sensibilisierung der Mitarbeiter oder spezielle E-Learning-Kurse;
Entwickeln Sie Prozesse, die den Mitarbeitern helfen, im Falle eines Angriffs die besten Maßnahmen zu ergreifen;
Implementieren Sie Technologien, die diese Angriffe von vornherein verhindern können.
Beginne damit, Menschen in deine stärkste Verteidigungslinie zu verwandeln
usecure ist die Menschliches Risikomanagement (MRM)-Lösung, die es Unternehmen ermöglicht, benutzerbezogene Sicherheitsvorfälle zu reduzieren, eine cyberresistente Belegschaft aufzubauen und Compliance-Standards durch automatisierte Benutzerschulungsprogramme zu erreichen.
Von führenden IT-Profis und Managed-Service-Providern (MSPs) vertraut, usecure analysiert, reduziert und überwacht das menschliche Cyberrisiko durch risikoorientierte Schulungsprogramme zum Sicherheitsbewusstsein, simulierte Phishing-Kampagnen, vereinfachtes Richtlinienmanagement und kontinuierliche Überwachung von Dark-Web-Verletzungen – alles von einer Plattform aus.
Erfahren Sie mehr über usecure