Phishing Statistics Facts
Phishing ist nach wie vor eine der größten Bedrohungen für die Cybersicherheit von Unternehmen aller Größenordnungen. Kein Wunder, bei der schieren Menge an E-Mails und Spam - durchschnittlich 78 Milliarden E-Mails pro Tag weltweit, von denen 84 % Spam sind. [i]
Sicher, bei Phishing-Angriffen geht es um Täuschung, ob es sich nun um einen Betrug handelt, bei dem ein Geschenkgutschein im Wert von 100 Dollar erwartet wird, oder um einen Betrüger, der nach dem Passwort für Ihr System fragt. Aber es lohnt sich, hinter die Täuschung zu schauen, um zu verstehen, was an Phishing-Angriffen wahr ist, und dann Schritte zu unternehmen, um sie zu vereiteln.
Phishing ist weit verbreitet
Phishing-Angriffe sind auf dem Vormarsch, insbesondere seit der Umstellung auf Fernarbeit während der COVID-19-Pandemie. Beim Internet Crime Complaint Center (IC3) des FBI gingen im Jahr 2020 241.342 Phishing-Beschwerden ein, mehr als doppelt so viele wie im Jahr 2019 (114.707). Obwohl nur ein Bruchteil der Vorfälle gemeldet wird, geben die FBI-Phishing-Statistiken einen guten Hinweis auf den allgemeinen Wachstumstrend. Phishing war der häufigste Online-Betrug, der dem IC3 gemeldet wurde, weitaus häufiger als Verletzungen der persönlichen Daten oder Identitätsdiebstahl. [ii]
Seit dem Beginn der Pandemie haben Unternehmen berichtet, dass ihre Mitarbeiter dreimal mehr bösartige E-Mails anklicken als zuvor. Die Phishing-Statistiken im Mimecast-Bericht State of Email Security 2021 (SOES) beinhalten sogar einen Anstieg der E-Mail-Bedrohungen um 64 % im Jahr 2020.
Phishing kommt in vielen Formen vor
Cyberkriminelle lernen schnell und passen ihre Betrügereien ständig an neue Kommunikationskanäle an. Beliebte Phishing-Methoden und -Techniken auf die Sie achten sollten, sind
E-Mail-Phishing: Vierzig Prozent der Unternehmen gaben im SOES-Bericht 2021 an, dass ihre E-Mail-Sicherheit unzureichend ist, und 13 Prozent verfügen über kein E-Mail-Sicherheitssystem, um die verschiedenen Arten von E-Mail-Phishing abzuwehren. Der ursprüngliche Phishing-Betrug besteht darin, E-Mail-Postfächer mit Nachrichten zu spammen, die die Benutzer dazu bringen sollen, Geld zu senden, persönliche Informationen preiszugeben oder auf einen Link zu klicken, der Malware in ihrem System ablegt.
Vierzig Prozent der Unternehmen gaben im SOES-Bericht 2021 an, dass ihre E-Mail-Sicherheit unzureichend ist, und 13 Prozent verfügen über kein E-Mail-Sicherheitssystem, um die verschiedenen Arten von E-Mail-Phishing abzuwehren. Der ursprüngliche Phishing-Betrug besteht darin, E-Mail-Postfächer mit Nachrichten zu spammen, die die Benutzer dazu bringen sollen, Geld zu senden, persönliche Informationen preiszugeben oder auf einen Link zu klicken, der Malware in ihrem System ablegt. Spear-Phishing: Hierbei handelt es sich um einen spezielleren Angriff, bei dem persönliche Informationen aus Online-Quellen wie sozialen Medien und Datenbanken mit gestohlenen Informationen aus dem Dark Web verwendet werden. Die E-Mails sind oft so gestaltet, dass sie wie legitime Mitteilungen von einem Kollegen oder Kunden aussehen, einschließlich einer gefälschten Adresse oder Website, die der echten ähnlich sieht.
Hierbei handelt es sich um einen spezielleren Angriff, bei dem persönliche Informationen aus Online-Quellen wie sozialen Medien und Datenbanken mit gestohlenen Informationen aus dem Dark Web verwendet werden. Die E-Mails sind oft so gestaltet, dass sie wie legitime Mitteilungen von einem Kollegen oder Kunden aussehen, einschließlich einer gefälschten Adresse oder Website, die der echten ähnlich sieht. Whaling: Eine noch speziellere Form des Spear-Phishings zielt auf CEOs, CFOs oder andere "große Fische" ab, die von Betrügern per E-Mail nach sensiblen Daten gefragt oder zur Zahlung einer gefälschten Rechnung aufgefordert werden.
Eine noch speziellere Form des Spear-Phishings zielt auf CEOs, CFOs oder andere "große Fische" ab, die von Betrügern per E-Mail nach sensiblen Daten gefragt oder zur Zahlung einer gefälschten Rechnung aufgefordert werden. Smishing und Vishing: Mit dem Wachstum der Smartphone-Technologie und Kanälen wie SMS war es nur eine Frage der Zeit, bis Betrüger herausfanden, wie sie diese für Betrügereien nutzen können. Beim Smishing werden Textnachrichten oder SMS verwendet, während beim Vishing Sprachnachrichten oder "Robocalls" eingesetzt werden, die in der Regel mit einer Aufforderung zur Eingabe persönlicher Daten oder einem Link zum Anklicken verbunden sind.
Mit dem Wachstum der Smartphone-Technologie und Kanälen wie SMS war es nur eine Frage der Zeit, bis Betrüger herausfanden, wie sie diese für Betrügereien nutzen können. Beim Smishing werden Textnachrichten oder SMS verwendet, während beim Vishing Sprachnachrichten oder "Robocalls" eingesetzt werden, die in der Regel mit einer Aufforderung zur Eingabe persönlicher Daten oder einem Link zum Anklicken verbunden sind. Angler-Phishing: Social-Media-Aktivitäten können Teil eines Social-Engineering-Angriffs sein, um Zugang oder persönliche Informationen zu erhalten. Zum Beispiel könnte ein Angler eine Social-Media-Nachricht abfangen, in der er sich über ein Produkt beschwert. Dann sendet der Betrüger dem verärgerten Kunden eine Direktnachricht und bietet ihm an, die Sache wieder in Ordnung zu bringen, wenn er einige Informationen mit ihm teilt oder auf einen angegebenen Link klickt. Schließlich sahnt der Betrüger persönliche Daten ab oder platziert Malware auf dem System des Opfers.
Phishing nimmt zu
Einige alarmierende Phishing-Statistiken und Trends zeigen, dass diese Bedrohung nicht nachlässt.
Laut Osterman Research haben gerade einmal 16 % der Unternehmen das vergangene Jahr ohne mindestens einen Phishing- oder Ransomware-Vorfall überstanden, .
Dem SOES-Bericht 2021 zufolge waren viele Unternehmen im vergangenen Jahr mehrfach von Angriffen betroffen, und 70 % erwarten, dass ihr Geschäft in diesem Jahr durch eine Cybersecurity-Bedrohung per E-Mail gestört wird.
Laut einer Statistik brach der Januar 2021 mit 245.771 an die Anti Phishing Working Group (APWG) gemeldeten Angriffen den monatlichen Rekord für Phishing-Statistiken weltweit.[iii]
Die Verteidiger haben immer noch Nachholbedarf bei den bösen Jungs. Im Osterman-Bericht zeigten sich nur 45 % der Befragten zuversichtlich, dass alle Mitarbeiter in ihrem Unternehmen Phishing-E-Mails erkennen können. Bei der Frage nach ihrer Fähigkeit, Smishing, Vishing, betrügerische Apps und bösartige Popup-Werbung im Internet zu erkennen, sank ihr Vertrauen auf 34 %.
Phishing-Statistiken zeigen Verluste
Die Auswirkungen von Phishing auf Unternehmen waren in den letzten Jahren schwerwiegend. Nach einer jährlichen Erhebung des Ponemon Institute belaufen sich die durchschnittlichen Gesamtkosten einer Datenschutzverletzung für ein Unternehmen, einschließlich Schäden wie Umsatzeinbußen, auf etwa 3,86 Millionen US-Dollar. Und je größer die Verstöße werden, desto höher sind auch die Kosten. Ein Verlust von 5 bis 10 Millionen Datensätzen kann ein Unternehmen im Durchschnitt 50 Millionen Dollar kosten; ein Verlust von 50 Millionen oder mehr kann 392 Millionen Dollar kosten. [iv]
Die Kosten werden zum Teil durch die höheren Forderungen der Angreifer getrieben. Der APWG-Bericht stellte fest, dass die durchschnittliche Überweisungsanforderung bei Spear-Phishing-/Business-E-Mail-Angriffen im ersten Quartal 2021 um 14 % auf 85.000 US-Dollar gestiegen ist, gegenüber 75.000 US-Dollar im vorherigen Quartal. [v]
Wie man Phishing verhindern kann
Zu den besten Praktiken zum Schutz Ihres Unternehmens vor Phishing-Angriffen gehören die folgenden:
In Schulungen zum Sicherheitsbewusstsein können Mitarbeiter lernen, wie sie Phishing-E-Mails erkennen und verdächtig aussehende Links oder Anhänge vermeiden können.
Phishing-Übungen und andere Echtzeit-Schulungen, die einen tatsächlichen Angriff simulieren, halten die Benutzer auf der Hut vor Betrug.
Die Installation von Sicherheitstechnologien wie z. B. Phishing-Filtern in E-Mail-Anwendungen und Webbrowsern verringert Phishing-Versuche, und Popup-Blocker können helfen, ein weiteres von Betrügern häufig eingesetztes Mittel zu stoppen.
Aktualisieren Sie alle Arbeitsstationen und Geräte auf die neueste Software und stellen Sie sicher, dass alle Software-Patches und -Updates installiert werden, sobald sie veröffentlicht werden. Stellen Sie sicher, dass die Betriebssysteme auf allen Geräten auf dem neuesten Stand sind.
Denken Sie an die Automatisierung. Neue Tools, die auf künstlicher Intelligenz und maschinellem Lernen basieren, können E-Mails nach verräterischen Mustern durchsuchen, die auf Betrug hindeuten.
Die Quintessenz
Phishing ist leider eine traurige Tatsache in der heutigen digitalen Umgebung. Auch wenn die E-Mail Unternehmen effizienter gemacht hat, ist sie zum bevorzugten Kanal für Cyberkriminalität geworden. Auch wenn die Angreifer ihre Täuschungsmanöver immer weiter verfeinern, gilt für Phishing-Angriffe, dass ihre Verhinderung mit der Sensibilisierung beginnt.
[i] " Globales E-Mail-Gesamtvolumen & Spam-Volumen für August 2021 ," Cisco
[ii] " Internet Crime Report 2020 , " FBI Internet Crime Complaint Center
[iii] " Bericht über Phishing-Aktivitäten im ersten Quartal 2021 ," Anti-Phishing-Arbeitsgruppe
[iv] " Bericht über die Kosten von Datenschutzverletzungen 2020 , " Ponemon Institute
Phishing erkennen: Die häufigsten Social-Engineering-Methoden
1. Suspekte Absenderadresse: Ist der Absender frei von Rechtschreibfehlern und eindeutig als institutionszugehörig erkennbar? Sollte dies nicht zutreffen, ist dies ein deutliches Indiz für eine Phishing-Mail.
2. Sprachliche Fehler & unpersönliche Ansprache: Eine Institution, mit der Sie in Verbindung stehen, kennt in der Regel Ihren Namen und wird Sie auch mit diesem ansprechen. Unpersönliche Ansprache und Rechtschreibmängel stellen Anzeichen für Phishing dar. Allerdings werden Phishing-Mails zunehmend dahingehend professionalisiert, dass es kaum mehr zu sprachlichen Auffälligkeiten kommt.
3. Abfrage vertraulicher Daten: Werden Sie zur Eingabe vertraulicher Daten aufgefordert oder sogar Passwörter abgefragt? Seriöse Institutionen wenden sich niemals mit diesem Anliegen bei Ihnen. Geben Sie Ihre Daten keinesfalls weiter.
4. Verdächtige Links: So können Sie Phishing erkennen: Achten Sie darauf, zu welcher Website Links führen. Beliebt sind kleine Buchstabendreher, sodass sich die URL nur minimal von der Original-Website unterscheidet. Suchen Sie lieber direkt die Seite der betreffenden Institution auf und prüfen Sie, ob tatsächlich Unstimmigkeiten vorliegen.
5. Unbekannte Anhänge: Die Mail kommt mit einem Anhang, dessen Inhalt oder Dateityp Ihnen unbekannt ist? Laden Sie auf keinen Fall verdächtige Anhänge herunter.
6. Dringender Handlungsbedarf: Wird Ihnen in der E-Mail Druck gemacht, sollten Sie skeptisch sein. Ist es überhaupt möglich, dass Sie eine Mahnung erhalten? Fragen Sie sich immer, ob generelle Relevanz und Zeitpunkt der Nachricht zu Ihrer persönlichen Situation passen.
Häufige Arten von E-Mail-Phishing-Angriffen – GlobalSign
Täglich werden etwa 319 Milliarden E-Mails gesendet und empfangen, und diese Zahl wird bis 2025 voraussichtlich auf 376 Milliarden ansteigen. Das ist schon eine Menge E-Mails! Aber seien wir ehrlich, diese schwindelerregende Zahl zeigt, dass E-Mails jetzt und in Zukunft eine Schlüsselfunktion für Ihr Unternehmen haben. Schon ein einziges Abfangen einer E-Mail kann genügen, damit ein Täter in den Besitz Ihrer Anmeldedaten gelangt oder einen bösartigen Link oder eine Software platziert, um Ihr Unternehmen zu gefährden.
Häufige Arten von E-Mail-Phishing-Angriffen
Werfen wir einen Blick auf vier der häufigsten Arten von Phishing-Angriffen per E-Mail, die Ihr Unternehmen treffen könnten:
Was ist E-Mail-Bombing?
E-Mail-Bombing ist eine Taktik, die von Cyberkriminellen angewendet wird, wenn ein Konto bereits kompromittiert wurde, z. B. wenn der Täter sich Ihre Anmeldedaten verschafft hat. Der Posteingang des Opfers wird daraufhin mit unzähligen E-Mails überflutet, die das Postfach schnell füllen. Der eigentliche Angriff wird dadurch verschleiert, z. B. wenn es um Bestätigungs-E-Mails für finanzielle Transaktionen über Ihr Konto geht.
Was sind Phishing-E-Mails?
Phishing emails sind Angriffe, die Menschen dazu verleiten, über E-Mails und Nachrichtendienste eine Aktion auszuführen. Das geschieht beispielsweise über bösartige Links oder Anhänge.
Lesen Sie dazu auch: Erkennen und Verhindern von Phishing-Angriffen
Was ist Spear Phishing?
Spear phishing ist eine spezielle Art von Phishing-Angriff, der fortgeschrittener ist und sich an gezielte Benutzer richtet. Cyberkriminelle geben sich dabei als eine vertrauenswürdige Einrichtung aus, um vertrauliche Informationen zu erhalten oder Geld zu stehlen.
Was ist Business Email Compromise (BEC)?
Business Email Compromise (BEC) ist eine spezielle Art von Phishing-Angriff, bei dem Social Engineering und menschliche Schwachstellen genutzt werden, um an sensible Daten und Informationen zu gelangen. BEC zielt in der Regel auf hochrangige Führungskräfte, CEOs oder Manager in den Personal- oder Finanzabteilungen ab.
Wie Sie Ihre E-Mails vor Cyber-Angriffen schützen können
Es gibt mehrere Möglichkeiten, wie Sie Ihr Unternehmen vor Cyberangriffen schützen können, von denen wir uns mit den folgenden befassen: Implementierung eines mehrschichtigen Sicherheitsansatzes und digitales Signieren und Verschlüsseln Ihrer E-Mails..
Implementierung eines mehrschichtigen Sicherheitsansatzes
Ein mehrschichtiger Ansatz kann Ihre Widerstandsfähigkeit gegen Phishing verbessern, während zugleich Störungen minimiert und die Gelegenheiten zur Entdeckung eines E-Mail-Angriffs maximiert werden können.
Beginnen Sie damit, den Angreifern den Zugang zu den Benutzern zu erschweren, indem Sie Anti-Spoofing-Kontrollen implementieren und eingehende Phishing-E-Mails filtern oder blockieren. Sie sollten auch überlegen, welche Informationen Sie über Instrumente wie Ihre Website oder soziale Medien öffentlich zugänglich machen wollen.
Dann sollten Sie die Benutzer/innen und Mitarbeitende darüber aufklären, wie sie verdächtige Phishing-E-Mails erkennen und melden können und welche Schritte sie unternehmen müssen, wenn sie den Verdacht haben, dass es sich um eine Angriffs-E-Mail handelt.
Auf der dritten Ebene sollten Sie Ihr Unternehmen vor den Auswirkungen unentdeckter Phishing-E-Mails schützen, indem Sie eine Multi-Faktor-Authentifizierung nutzen, regelmäßig Backups von Dateien und wichtigen Daten erstellen und Prozesse überprüfen, die eventuell ausgenutzt werden könnten.
Und nicht zuletzt: Reagieren Sie schnell auf Vorfälle. Erstellen Sie einen Incident Response Plan (IRP) und proben Sie diesen, damit die Mitarbeitenden sich ihrer Verantwortung bewusst sind.
E-Mails digital signieren und verschlüsseln
Normalerweise fällt dies unter die dritte Ebene, den Schutz Ihres Unternehmens. Aber sehen wir uns das Ganze etwas genauer an. Am Ende einer E-Mail geben Sie gewöhnlich Ihren Namen und die wichtigsten Unternehmensdaten (Website, Telefonnummer usw.) an. Aber woher weiß der Empfänger, dass das wirklich von Ihnen stammt? Und wenn wichtige Informationen per E-Mail verschickt werden, woher weiß man, dass sie nicht manipuliert wurden?
Kurz gesagt, man weiß es nicht.
Hier kommt ein Protokoll namens S/MIME, kurz für Secure/Multipurpose Internet Mail Extensions, ins Spiel.
S/MIME basiert auf der Technologie „Public Key Infrastructure (PKI)“ und stützt sich auf zwei kryptografische Funktionen: digitale Signaturen und Verschlüsselung.
Digitale Signaturen - Inhalt wird digital mit dem privaten Schlüssel einer Person signiert und vom öffentlichen Schlüssel der Person verifiziert
- Inhalt wird digital mit dem privaten Schlüssel einer Person signiert und vom öffentlichen Schlüssel der Person verifiziert Verschlüsselung - Inhalt wird mit dem öffentlichen Schlüssel einer Person verschlüsselt und kann nur mit dem privaten Schlüssel der Person entschlüsselt werden
Die Implementierung von S/MIME bringt Ihrem Unternehmen automatisch eine Vielzahl von Vorteilen in Bezug auf Sicherheit und Verwaltung und geht die wichtigsten Angriffsvektoren für E-Mails an, ohne umfangreiche Benutzerschulungen oder IT-Ressourcen zur Bereitstellung und Verwaltung zu benötigen.