Sophos hat den Aufstieg von Phishing-Angriffen im letzten Jahr untersucht. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-E-Mails aus. Die Angreifer haben die Vorteile von Malware-as-a-Service (MaaS) entdeckt – ein Cousin von Ransomware-as-a-Service (RaaS), beide wohnhaft im Dark-Web – um die Effizienz und das Volumen von Attacken zu steigern. Lieblings-Ziel: die Mitarbeiter. In der Simulations- und Trainings-Umgebung „Sophos Phish Threat“ werden Nutzer darin geschult, wie sie Phishing-E-Mails erkennen können. Die gesammelten Erkenntnisse liegen nun in einem White-Paper vor. Daraus geht hervor, dass die beste Verteidigung gegen Phishing-Attacken eine duale Strategie ist:
- Einsatz moderner Sicherheits-Technologien.
- Sensibilisierung der Mitarbeiter für Angriffswege und Verhalten.
Tägliche Angriffe bei 41 Prozent der Unternehmen
Traditionell lässt sich Phishing im Online-Banking verorten. Aber die Angriffstechnik ist weit mehr als eine gefälschte Seite zum Abgreifen sensibler Bankdaten. Cyberkriminelle erlangen mit Phishing auch andere wertvolle User-Informationen oder gar Systemzugriff. Angesichts des exorbitant gestiegenen Volumens, angefeuert durch Dark-Web-Angebote wie kostenlose Phishing-Bausätze und PaaS (Phishing-as-a-Service), lässt sich feststellen: Phishing ist Big-Business und täglicher Bestandteil des Geschäftslebens. 41 Prozent der IT-Fachleute geben an, dass ihre Organisation zumindest täglich Phishing-Angriffe erwartet. Mehr als Dreiviertel (77 Prozent) rechnet zumindest monatlich mit einer Attacke.
Phishing ist Big-Business
89 Prozent der Phishing-Angriffe sind krimineller Natur, das Phishing hat sich professionalisiert. Dafür sorgen effizientere Verteilungsmethoden inklusive On-demand-Phishing-Service, Bausätze von der Stange und neue Wellen von Angriffsarten wie Business-E-Mail-Compromise (BEC), das eine noch weitere Verbreitung via Social-Engineering anstrebt. Das Phishing-Ökosystem nährt dank seiner Dienstleistungsmentalität auch Kriminelle ohne jegliches IT-Verständnis. Ganze Kampagnen und dazu gehörige Kontrollpanels lassen sich im Dark-Web mittlerweile erwerben. So bleibt noch Zeit fürs perfide Feintuning und die Businessauswertung: die Klickrate von Phishing-E-Mails liegt bei 14 Prozent – sechsmal höher als bei gängigen Marketing-E-Mails (2,4 Prozent). Die Bausätze und Services sparen viel Zeit und lassen den Angreifern wiederum Raum für weitere Ideen wie beispielsweise Business-E-Mail-Compromise (BEC).
Zielgruppe: Buchhalter und Finanzabteilungen
Geld ist der Hauptmotivator für Phishing-Angriffe (59 Prozent laut „The Verizon 2018 Data Breach Investigations Report“). Das beinhaltet das Sammeln von Zugangsdaten für den Wiederverkauf im Dark-Web, die Infektion von Systemen mit Ransomware oder die Imitation als beispielsweise Senior Manager, um Mitarbeiter zu überreden, Spenden oder interne Daten zu transferieren. 41 Prozent der Phishing-Attacken streben unautorisierten Systemzugang an, um Daten zu stehlen oder die Kontrolle zu übernehmen.
Angesichts dieser Motivation ist es nicht verwunderlich, dass die Angreifer es mit ihrer Phishing-Taktik auf Mitarbeiter abgesehen haben. So sind Buchhaltungs- und Finanzabteilungen am stärksten von Phishing-Angriffen betroffen (58 Prozent), Verwaltung und Management kommen mit 40 Prozent danach. An dritter Position stehen IT-Mitarbeiter mit einer Angriffsrate von 23 Prozent.
Mitarbeiterschulung besonders wichtig
Im Sophos Trainingscenter lernen die Schulungsteilnehmer, worauf die Opfer von Phishing-E-Mails am häufigsten hereinfallen – die Top 3 der höchsten Phishing-Klickraten sind:
- einfache, Aufgaben-basierte Betreffzeilen, wie „[JIRA] Eine Aufgabe wurden Ihnen zugewiesen“ (Klickrate 38,5 Prozent),
- alltägliche Themen, wie „Meeting nächste Woche“ (29,1 Prozent),
- Andeutung von Fehlverhalten, wie „Belästigungs-Achtsamkeits-Training“ (26,0 Prozent).
„Diese Beobachtungen markieren einen kritischen Punkt für alle Organisationen“, gibt Michael Veit, Security Experte bei Sophos zu Bedenken. „Während wir viele Zu-schön-um-wahr–zu- sein-Angebote und Skurriles sofort durchschauen, scheinen unsere Abwehrmechanismen bei E-Mails, die die tägliche Arbeit betreffen, zu pausieren. Hier heißt es – und das macht es umso schwieriger – immer auf der Hut sein. Denn die Nutzer selbst sind die erste Defensive gegen eine Phishing-Attacke. Während Fortbildungen ein wichtiger Bestandteil für ein sicheres Unternehmen sind, sind es ebenso die Fähigkeiten der Mitarbeiter, verdächtige Phishing-Versuche anzuzeigen. Deswegen sollten Unternehmen Reportmöglichkeiten für ihre Belegschaft auf einfache Art und ohne Schuldzuweisungen implementieren – auch dann, wenn sie bereits Opfer einer Attacke wurden. Denn neben den technischen Anti-Phishing-Technologien wie Vorab-Check auf dem E-Mail-Gateway und Real-Check via Next-gen-Endpoint-Schutz ist die Mitarbeiterschulung essentieller Bestandteil, um Unternehmen schnell und effektiv gegen Phishing-Angriffe zu schützen.“
#Netzpalaver #Sophos
