Crime-as-a-Business: Phishing hat sich professionalisiert und ist Unternehmensalltag

Security TipsTechnologiePhishing

Sophos hat den Aufstieg von Phishing-Angriffen im letzten Jahr untersucht. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-Emails aus. Die Angreifer haben die Vorteile von Malware-as-a-Service (MaaS) entdeckt – ein Cousin von Ransomware-as-a-Service (RaaS), beide wohnhaft im Dark Web – um die Effizienz und das Volumen von Attacken zu steigern. Lieblings-Ziel: die Mitarbeiter. In der Simulations- und Trainings-Umgebung „Sophos Phish Threat“ werden Nutzer darin geschult, wie sie Phishing-Emails erkennen können. Die gesammelten Erkenntnisse liegen nun in einem White Paper vor. Daraus geht hervor, dass die beste Verteidigung gegen Phishing-Attacken eine duale Strategie ist:

  1. Einsatz moderner Sicherheits-Technologien
  2. Sensibilisierung der Mitarbeiter für Angriffswege und Verhalten

Tägliche Angriffe bei 41 Prozent der Unternehmen
Traditionell lässt sich Phishing im Online Banking verorten. Aber die Angriffstechnik ist weit mehr als eine gefälschte Seite zum Abgreifen sensibler Bankdaten. Cyberkriminelle erlangen mit Phishing auch andere wertvolle User-Informationen oder gar Systemzugriff. Angesichts des exorbitant gestiegenen Volumens, angefeuert durch Dark-Web-Angebote wie kostenlose Phishing-Bausätze und PaaS (Phishing-as-a-Service), lässt sich feststellen: Phishing ist Big Business und täglicher Bestandteil des Geschäftslebens. 41 Prozent der IT-Fachleute geben an, dass ihre Organisation zumindest täglich Phishing-Angriffe erwartet. Mehr als Dreiviertel (77 Prozent) rechnet zumindest monatlich mit einer Attacke.

Phishing ist Big Business
89 Prozent der Phishing-Angriffe sind krimineller Natur, das Phishing hat sich professionalisiert. Dafür sorgen effizientere Verteilungsmethoden inklusive On-demand-Phishing-Service, Bausätze von der Stange und neue Wellen von Angriffsarten wie Business Email Compromise (BEC), das eine noch weitere Verbreitung via Social-Engineering anstrebt. Das Phishing-Ökosystem nährt dank seiner Dienstleistungsmentalität auch Kriminelle ohne jegliches IT-Verständnis. Ganze Kampagnen und dazu gehörige Kontrollpanels lassen sich im Dark Web mittlerweile erwerben. So bleibt noch Zeit fürs perfide Feintuning und die Businessauswertung: die Klickrate von Phishing-Emails liegt bei 14 Prozent – sechsmal höher als bei gängigen Marketing-Emails (2,4 Prozent). Die Bausätze und Services sparen viel Zeit und lassen den Angreifern wiederum Raum für weitere Ideen wie beispielsweise Business Email Compromise (BEC).

Zielgruppe: Buchhalter und Finanzabteilungen
Geld ist der Hauptmotivator für Phishing-Angriffe (59 Prozent laut „The Verizon 2018 Data Breach Investigations Report“). Das beinhaltet das Sammeln von Zugangsdaten für den Wiederverkauf im Dark Web, die Infektion von Systemen mit Ransomware oder die Imitation als beispielsweise Senior Manager, um Mitarbeiter zu überreden, Spenden oder interne Daten zu transferieren. 41 Prozent der Phishing-Attacken streben unautorisierten Systemzugang an, um Daten zu stehlen oder die Kontrolle zu übernehmen.

Angesichts dieser Motivation ist es nicht verwunderlich, dass die Angreifer es mit ihrer Phishing-Taktik auf Mitarbeiter abgesehen haben. So sind Buchhaltungs- und Finanzabteilungen am stärksten von Phishing-Angriffen betroffen (58 Prozent), Verwaltung und Management kommen mit 40 Prozent danach. An dritter Position stehen IT-Mitarbeiter mit einer Angriffsrate von 23 Prozent.

Mitarbeiterschulung besonders wichtig
Im Sophos Trainingscenter lernen die Schulungsteilnehmer, worauf die Opfer von Phishing-Emails am häufigsten hereinfallen – die Top 3 der höchsten Phishing-Klickraten sind:

  • einfache, Aufgaben-basierte Betreffzeilen, wie „[JIRA] Eine Aufgabe wurden Ihnen zugewiesen“ (Klickrate 38,5 Prozent)
  • alltägliche Themen, wie „Meeting nächste Woche“ (29,1 Prozent)
  • andeutung von Fehlverhalten, wie „Belästigungs-Achtsamkeits-Training“ (26,0 Prozent)

Unser Fazit
Die Beobachtungen markieren einen kritischen Punkt für alle Organisationen. Während wir viele Zu-schön-um-wahr–zu- sein-Angebote und Skurriles sofort durchschauen, scheinen unsere Abwehrmechanismen bei Emails, die die tägliche Arbeit betreffen, zu pausieren. Hier heißt es – und das macht es umso schwieriger – immer auf der Hut sein. Denn die Nutzer selbst sind die erste Defensive gegen eine Phishing-Attacke. Während Fortbildungen ein wichtiger Bestandteil für ein sicheres Unternehmen sind, sind es ebenso die Fähigkeiten der Mitarbeiter, verdächtige Phishing-Versuche anzuzeigen. Deswegen sollten Unternehmen Reportmöglichkeiten für ihre Belegschaft auf einfache Art und ohne Schuldzuweisungen implementieren – auch dann, wenn sie bereits Opfer einer Attacke wurden. Denn neben den technischen Anti-Phishing-Technologien wie Vorab-Check auf dem Email-Gateway und Real-Check via Next-gen Endpoint Schutz ist die Mitarbeiterschulung essentieller Bestandteil, um Unternehmen schnell und effektiv gegen Phishing-Angriffe zu schützen.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.