Phishing-Angriffe sind der am meisten genutzte Angriffsvektor. Daten verschiedener Anbieter zeigen, dass Angreifer weiterhin bewährte Techniken als Mittel für erfolgreiche Angriffe verwenden, wie ein Bericht des Unternehmens Cloudflare zeigt. Das Unternehmen analysierte 13 Milliarden E-Mails, die von Mai 2022 bis Mai 2023 versendet wurden, um nach Gemeinsamkeiten bei den Bedrohungen zu suchen. Die Ergebnisse wurden im Phishing-Bedrohungsbericht 2023 vorgestellt. Dem Bericht zufolge hat die Analyse gezeigt, dass Bedrohungsakteure weiterhin dieselben Techniken anwenden, um Opfer zur Preisgabe von Anmeldeinformationen, zum Herunterladen und Öffnen von Dateien zu bewegen.
Zu den größten Bedrohungen gehören betrügerische Links, Markenimitation und Identitätsbetrug. Betrügerische Links tauchten in fast 36 Prozent aller Phishing-Angriffe auf. Darunter sind Links, die vorgeben, Office-Dokumente anzuzeigen, die digitale Unterzeichnung von Verträgen zu starten und mehr. Die Markenimitation umfasste mehr als 1.000 bekannte Marken, wobei sich mehr als die Hälfte aller Angriffe auf nur 20 Marken konzentrierte. Dazu gehören Microsoft, Google, Apple und Amazon. Identitätsbetrug kam bei 14 Prozent der Angriffe vor – eine überraschend niedrige Zahl, wenn man bedenkt, dass lediglich ein wenig Sorgfalt erforderlich ist, um die richtige Identität zu identifizieren und den angezeigten Absendernamen zu ändern, um die Wahrscheinlichkeit zu erhöhen, dass das Opfer die E-Mail öffnet und mit ihr interagiert.
Immer beliebter werden zudem Angriffe auf Zwei-Faktor-Authentifizierungssysteme (2FA). Richtig eingesetzt, sichert 2FA Systeme gegen Angriffe effektiv ab. Dabei wird als zweiter Faktor der Authentifizierung neben einem Passwort oftmals auf einen per SMS gesendeten Pin oder in einer App generierten Einmalcode verwendet. SIM-Karten werden daher durch Angreifer gefälscht (SIM-Spoofing), sodass die Angreifer das Einmalpasswort erhalten.
Neu sind Phishing E-Mails, die gängige Authentifizierungsverfahren wie Microsoft oder Google und dabei versuchen eine Man-In-The-Middle-Attacke zu starten. Dazu geben die E-Mails vor, dass eine Aktualisierung der Authentifizierungsapp notwendig ist. Die E-Mail liefert dabei einen QR-Code, welcher auf eine gefälschte Webseite verlinkt. In der dort vorhandenen Anmeldemaske greifen Cyberkriminelle notwendige Informationen ab, um eigene 2FA-Codes für das Konto des Benutzers generieren zu können. Der Benutzer selbst muss davon nicht unbedingt etwas mitbekommen.
Im „Phishing by Industry Benchmarking Report 2023″ von KnowBe4 zeigt sich, dass ohne Security-Awareness-Trainings branchenübergreifend 33,1 Prozent der Mitarbeiter wahrscheinlich auf einen verdächtigen Link klicken oder einer betrügerischen Anfrage Folge leisten. Der Anstieg im Vergleich zum Vorjahr betrug knapp einen vollen Prozentpunkt. Als die untersuchten Unternehmen nach der ersten Messung des Phish-Prone-Percentage eine Kombination aus Schulungen und simulierten Phishing-Sicherheitstests durchführten, änderten sich die Ergebnisse drastisch. 90 Tage nach der Durchführung von monatlichen oder häufigeren Sicherheitsschulungen sank die durchschnittliche PPP auf 18,5 Prozent. Nach zwölf Monaten Sicherheitstraining und simulierten Phishing-Sicherheitstests sank der durchschnittliche PPP auf 5,4 Prozent. Dies lässt sich darauf zurückführen, dass Verhaltensänderungen sich durchsetzen und in den Unternehmen die Sicherheitskultur stärker gefördert wird.
#KnowBe4