Phishing: E-Mail-Betrug als größtes Sicherheitsrisiko

Phishing-Risiko im Branchenvergleich

Die Ergebnisse eines Benchmarking Reports aus dem Jahr 2021 zeigen, was den Unternehmen, Institutionen und Organisationen bereits durchaus bewusst sein sollte: Ohne wirksames Training der Mitarbeiter:innen sind Unternehmen unzureichend auf die gestiegene Cyberkriminalität vorbereitet und deutlich anfälliger für Social-Engineering-Angriffe.

Statistisch betrachtet lag die anfängliche Phishing-Anfälligkeit, ungeachtet der Branche oder Mitarbeiteranzahl, durchschnittlich bei 31,4 % und gibt Aufschluss darüber, wie hoch das Risiko ist, dass Mitarbeiter:innen auf einen Phishing-Versuch hereinfallen. Unternehmen jeder Branche und Größe müssen Mitarbeiter:innen besser im Hinblick auf die Erkennung von Phishing- und die gängigen Social-Engineering-Taktiken der Cyberkriminellen schulen, um eine nachhaltige Sicherheitskultur etablieren zu können.

Phishing-Update: Dieses allgegenwärtige Risiko nimmt immer weiter zu

Phishing hat sich als die am weitesten verbreitete Form der Internetkriminalität etabliert. Im Jahr 2021 waren mehr als ein Drittel (36 %) aller Datenschutzverletzungen zumindest teilweise auf Zugangsdaten von Mitarbeitern zurückzuführen, die durch Phishing-Angriffe gestohlen wurden,[1] von denen 91 % per E-Mail erfolgten.[2]

Jetzt, Ende 2022, breitet sich die Phishing-Bedrohung weiter aus. Seit August:

Eine große US-amerikanische Fluggesellschaft meldete, dass ihre Computersysteme durch einen Phishing-Angriff verletzt wurden. Nachdem der Täter erfolgreich die E-Mail-Konten mehrerer Mitarbeiter gehackt hatte, nutzte er diese, um eine Reihe von Phishing-E-Mails an über 1.700 Mitarbeiter und Kunden zu versenden.[3]

Die US-Steuerbehörde (Internal Revenue Service) hat eine Warnung herausgegeben, dass Phishing-Angriffe per Textnachricht, bei denen Steuergutschriften oder Hilfe bei der Einrichtung eines Kontos angeboten werden, zunehmen. "In den letzten Monaten und insbesondere in den letzten Wochen", so warnte die Behörde, "hat das Smishing mit IRS-Themen exponentiell zugenommen."[4]

In Deutschland führte die Bundespolizei Razzien bei Personen durch, die im Verdacht stehen, groß angelegte Phishing-Kampagnen zu organisieren. Die Angreifer benutzten angeblich gefälschte E-Mails, die von verschiedenen deutschen Banken verschickt worden zu sein schienen, um ihre Opfer um 4 Millionen Euro (4 Millionen US-Dollar) zu betrügen.[5]

Mimecast hat den aktuellen Stand der Phishing-Risiken und -Antworten in einem neuen ebook zusammengefasst: Future-Proofing Your Cybersecurity Strategy: Defending Against Phishing .

Angreifer setzen eine Reihe von Methoden ein

Phishing liegt vor, wenn sich ein Angreifer als vertrauenswürdige Person ausgibt und sich per E-Mail, Sofortnachricht oder SMS meldet. Das Ziel kann sein, an Kreditkarten- oder andere Finanzdaten zu gelangen, aber oft werden Phishing-Mails verschickt, um Mitarbeiter dazu zu verleiten, ihre Passwörter und Logins preiszugeben, damit die Cyberkriminellen Zugang zum Unternehmensnetzwerk erhalten können.

Angreifer verwenden verschiedene Phishing-Taktiken, je nach Ziel und Zweck. Dazu gehören:

E-Mail-Phishing: Betrüger imitieren die E-Mail-Domäne eines Unternehmens und versenden dann Tausende von generischen Mails in der Hoffnung, ein paar Bisse zu bekommen.

Betrüger imitieren die E-Mail-Domäne eines Unternehmens und versenden dann Tausende von generischen Mails in der Hoffnung, ein paar Bisse zu bekommen. Spear-Phishing : Bei dieser gezielteren Form des Angriffs zielt der Täter auf Personen innerhalb eines Unternehmens ab, die über einen hohen Netzwerkzugang verfügen oder befugt sind, finanzielle Transaktionen zu genehmigen.

: Bei dieser gezielteren Form des Angriffs zielt der Täter auf Personen innerhalb eines Unternehmens ab, die über einen hohen Netzwerkzugang verfügen oder befugt sind, finanzielle Transaktionen zu genehmigen. Whaling: Ähnlich wie beim Spear-Phishing, aber auf die höchsten Führungskräfte ausgerichtet, können Whaling-E-Mails den Anschein erwecken, von einem Kunden oder Geschäftspartner zu stammen, den die Zielperson kennt, und scheinbar routinemäßige Anfragen nach geschützten Informationen oder Transaktionsgenehmigungen stellen.

Ähnlich wie beim Spear-Phishing, aber auf die höchsten Führungskräfte ausgerichtet, können Whaling-E-Mails den Anschein erwecken, von einem Kunden oder Geschäftspartner zu stammen, den die Zielperson kennt, und scheinbar routinemäßige Anfragen nach geschützten Informationen oder Transaktionsgenehmigungen stellen. Smishing und Vishing: Cyberkriminelle wenden Phishing-Techniken auf Text- und Telefonkanäle an.

Phishing-Schäden nehmen zu

Cyberkriminelle werden immer raffinierter und verwenden je nach Ziel unterschiedliche Phishing-Taktiken. Auch das Volumen der Angriffe und ihre finanziellen Auswirkungen nehmen weiter zu.

Jüngsten Berichten zufolge:

Erstaunliche 84 % der US-Organisationen meldeten kürzlich Phishing- oder Ransomware-Angriffe eine Umfrage aus dem Jahr 2021.

Der jüngste Bericht von Mimecast State of Email Security (SOES) ergab, dass mehr als die Hälfte (55 %) der 1.400 befragten Fachleute aus den Bereichen Informationstechnologie und Cybersicherheit eine deutliche Zunahme von Phishing-Angriffen festgestellt haben.

(SOES) ergab, dass mehr als die Hälfte (55 %) der 1.400 befragten Fachleute aus den Bereichen Informationstechnologie und Cybersicherheit eine deutliche Zunahme von Phishing-Angriffen festgestellt haben. Die öffentlich gemeldeten Phishing-Vorfälle haben sich laut FBI von 114.702 im Jahr 2019 auf 241.324 im Jahr 2020 fast verdoppelt.[6]

Durch Phishing verursachte Sicherheitsverletzungen kosteten Unternehmen im vergangenen Jahr durchschnittlich 4,91 Millionen US-Dollar.[7]

Eine globale Phishing-Simulation aus dem Jahr 2021 ergab, dass 14 % der Angestellten auf einen Phishing-Link in einer E-Mail klicken und dass 70 % von ihnen anschließend ihre Anmeldedaten auf der Website des Angreifers eingeben - beides Steigerungen gegenüber den Ergebnissen von 2020.[8]

Die Quintessenz

Einige der bekanntesten Unternehmen der Welt sind Opfer von Phishing geworden. Phishing ist eine weit verbreitete und wachsende Bedrohung, gegen die sich Unternehmen aller Branchen schützen müssen. Weitere Informationen darüber, wie Sie Ihr Unternehmen vor E-Mail-basierten und anderen Arten von Phishing-Angriffen schützen können, finden Sie im neuen ebook von Mimecast auf Defending Against Phishing .

[1] "2021 Data Breach Investigations Report," Verizon

[2] "91 % aller Cyberangriffe beginnen mit einer Phishing-E-Mail an ein ahnungsloses Opfer," Deloitte

[3] "American Airlines hat erfahren, dass sie von Phishing-Zielen angegriffen wurde," Bleeping Computer

[4] "IRS warnt Amerikaner vor massivem Anstieg von SMS-Phishing-Angriffen," Bleeping Computer

[5] "Deutschland nimmt Hacker fest, der bei Phishing-Angriffen 4 Millionen Euro gestohlen hat," Bleeping Computer

[6] " Internet Crime Report 2020," FBI

[7] "Wie viel kostet eine Datenschutzverletzung?" IBM

[8] "Gone Phishing Tournament," Terranova Security

Phishing: E-Mail-Betrug als größtes Sicherheitsrisiko

96 Prozent aller Unternehmen schätzen Phishing als größte Cybergefahr ein

Eine Studie des amerikanischen Anbieters für Cybersicherheitsschulungen KnowBe4 ergab, dass so gut wie jedes Unternehmen Angriffe mit Phishing-Mails als die größte Bedrohung für die eigene IT-Sicherheit ansieht. Neben Attacken mit Phishing liegen weiterhin Angriffe mit Ransomware oder Social-Engineering-Methoden hoch im Kurs.

Wir fassen Ihnen die wichtigsten Ergebnisse der Studie zusammen.

Die Hintergründe

In der Studie von KnowBe4 wurden etwa 600 Unternehmen zu Themen wie der aktuellen Bedrohungslage, Einschätzungen zu Malware-Trends und den eigenen IT-Sicherheitsvorkehrungen befragt. Dabei wurde deutlich, dass Phishing-Mails, Angriffe mit Erpressungstrojanern und Social Engineering (hier vor allem Chefbetrug) als die größten Risiken in Bezug auf die IT-Sicherheit angesehen werden.

Gleichzeitig bemühen sich Unternehmen immer konsequenter um den Schutz der eigenen IT:

Etwa 86 Prozent der Befragten hat im vergangenen Jahr vorausschauende Maßnahmen ergriffen, um der steigenden Bedrohung entgegenzuwirken.

Knapp 90 Prozent sind demnach der Auffassung, besser geschützt und vorbereitet zu sein, als noch im Jahr 2018.

Unter den befragten Unternehmen sehen 76 Prozent die den Großteil der Gefahr im eigenen Haus oder in der Produktionskette: Hier sind es Mitarbeiter, Kunden und Partner, die als höchstes Risiko eingeschätzt werden.

Rund die Hälfte aller Unternehmen gibt ein mangelndes Budget für als ständiges Hindernis beim Ausbau der eigenen IT-Sicherheit an.

Phishing ist und bleibt beliebt

Dass Unternehmen Phishing als eines der größten Risiken ansehen, kommt nicht von ungefähr:

Die Email stellt den beliebtesten Angriffsweg für Cyberkriminelle dar.

Phishing

Beim Phishing versuchen Angreifer, an Anmeldedaten oder persönliche Informationen des Opfers zu gelangen, um mit dessen Identität beispielsweise Bankkonten leerzuräumen oder Bestellungen durchzuführen. Oft funktioniert das über präparierte Webseiten. So kann z.B. eine Email – neben einem Text, der unter falschen Vorwänden zum Handeln bewegen soll – einen Link erhalten, der zu der vermeintlichen Anmeldeseite einer Bank oder eines Onlineversandhauses führt. Allerdings handelt es sich um gefälschte Seiten. Der Nutzer gibt seine Anmeldedaten in das Login-Formular ein und gibt somit diese Informationen an die Angreifer weiter.

Dynamite-Phishing

Eine komplexere Methode des Phishings ist das so genannte Dynamite-Phishing. Bei vielen Cyberangriffen wird das Dynamite-Phishing als Vorstufe zur eigentlichen Attacke eingesetzt: Dabei werden täuschend echte Mails entworfen, die ebenso über eine real wirkende Absenderadresse verfügen. Das soll dem potentiellen Opfer vorgaukeln, es handle sich um einen vertrauten Absender und soll ihn somit zum Öffnen der Mail sowie des beigefügten Anhangs bewegen.

Um das so überzeugend wie möglich zu gestalten, spionieren die Angreifer mit einem Schädling (wie bspw. Emotet), welcher vorher in einer großen Welle von Spam-Mails verschickt wird, die Email-Postfächer der Zielnutzer aus. So lassen sich nicht nur vermeintlich vertraute Absender finden, sondern sogar Inhalte der im Postfach befindlichen Mails für die Angriffe missbrauchen.

Malware

Auf diese Weise können Nutzer auch dazu gebracht werden, Dateianhänge zu öffnen, die mit Malware verseucht sind. Unter dem Vorwand von Zahlungsproblemen soll eine vermeintliche Rechnung überprüft werden, die sich im Anhang der Email befindet. Beim Öffnen des Anhangs infiziert sich der Rechner allerdings mit einem Trojaner, Fileless Malware, Ransomware oder anderen Schädlingen.

CEO-Fraud

Bei der Social Engineering Methode des Chefbetrugs geben sich die Angreifer als Mitglieder der Geschäftsführung aus. Unter Vorwänden wie Geheimhaltung und Vertraulichkeit werden besonders Mitarbeiter aus der Buchhaltung oder dem Finanzbereich ins Visier genommen und unter Druck gesetzt. Wichtig für die Angreifer ist, dass die Mitarbeiter zum Überweisen von hohen Geldsummen berechtigt sind. Für diese Angriffsmethode investieren die Angreifer oft viel Zeit in die Recherche über das Zielunternehmen. Onlineauftritte - wie Firmenwebseiten und soziale Netzwerke - dienen dabei als erster Anlaufpunkt. Seien Sie also vorsichtig, was Sie im Internet über sich und Ihr Unternehmen preisgeben.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels