Fakten und Statistiken zu Phishing, die Sie kennen sollten

Phishing ist nach wie vor eine der größten Bedrohungen für die Cybersicherheit von Unternehmen aller Größenordnungen. Kein Wunder, bei der schieren Menge an E-Mails und Spam - durchschnittlich 78 Milliarden E-Mails pro Tag weltweit, von denen 84 % Spam sind. [i]

Sicher, bei Phishing-Angriffen geht es um Täuschung, ob es sich nun um einen Betrug handelt, bei dem ein Geschenkgutschein im Wert von 100 Dollar erwartet wird, oder um einen Betrüger, der nach dem Passwort für Ihr System fragt. Aber es lohnt sich, hinter die Täuschung zu schauen, um zu verstehen, was an Phishing-Angriffen wahr ist, und dann Schritte zu unternehmen, um sie zu vereiteln.

Phishing ist weit verbreitet

Phishing-Angriffe sind auf dem Vormarsch, insbesondere seit der Umstellung auf Fernarbeit während der COVID-19-Pandemie. Beim Internet Crime Complaint Center (IC3) des FBI gingen im Jahr 2020 241.342 Phishing-Beschwerden ein, mehr als doppelt so viele wie im Jahr 2019 (114.707). Obwohl nur ein Bruchteil der Vorfälle gemeldet wird, geben die FBI-Phishing-Statistiken einen guten Hinweis auf den allgemeinen Wachstumstrend. Phishing war der häufigste Online-Betrug, der dem IC3 gemeldet wurde, weitaus häufiger als Verletzungen der persönlichen Daten oder Identitätsdiebstahl. [ii]

Seit dem Beginn der Pandemie haben Unternehmen berichtet, dass ihre Mitarbeiter dreimal mehr bösartige E-Mails anklicken als zuvor. Die Phishing-Statistiken im Mimecast-Bericht State of Email Security 2021 (SOES) beinhalten sogar einen Anstieg der E-Mail-Bedrohungen um 64 % im Jahr 2020.

Phishing kommt in vielen Formen vor

Cyberkriminelle lernen schnell und passen ihre Betrügereien ständig an neue Kommunikationskanäle an. Beliebte Phishing-Methoden und -Techniken auf die Sie achten sollten, sind

• E-Mail-Phishing: Vierzig Prozent der Unternehmen gaben im SOES-Bericht 2021 an, dass ihre E-Mail-Sicherheit unzureichend ist, und 13 Prozent verfügen über kein E-Mail-Sicherheitssystem, um die verschiedenen Arten von E-Mail-Phishing abzuwehren. Der ursprüngliche Phishing-Betrug besteht darin, E-Mail-Postfächer mit Nachrichten zu spammen, die die Benutzer dazu bringen sollen, Geld zu senden, persönliche Informationen preiszugeben oder auf einen Link zu klicken, der Malware in ihrem System ablegt.
• Spear-Phishing: Hierbei handelt es sich um einen spezielleren Angriff, bei dem persönliche Informationen aus Online-Quellen wie sozialen Medien und Datenbanken mit gestohlenen Informationen aus dem Dark Web verwendet werden. Die E-Mails sind oft so gestaltet, dass sie wie legitime Mitteilungen von einem Kollegen oder Kunden aussehen, einschließlich einer gefälschten Adresse oder Website, die der echten ähnlich sieht.
• Whaling: Eine noch speziellere Form des Spear-Phishings zielt auf CEOs, CFOs oder andere "große Fische" ab, die von Betrügern per E-Mail nach sensiblen Daten gefragt oder zur Zahlung einer gefälschten Rechnung aufgefordert werden.
• Smishing und Vishing: Mit dem Wachstum der Smartphone-Technologie und Kanälen wie SMS war es nur eine Frage der Zeit, bis Betrüger herausfanden, wie sie diese für Betrügereien nutzen können. Beim Smishing werden Textnachrichten oder SMS verwendet, während beim Vishing Sprachnachrichten oder "Robocalls" eingesetzt werden, die in der Regel mit einer Aufforderung zur Eingabe persönlicher Daten oder einem Link zum Anklicken verbunden sind.
• Angler-Phishing: Social-Media-Aktivitäten können Teil eines Social-Engineering-Angriffs sein, um Zugang oder persönliche Informationen zu erhalten. Zum Beispiel könnte ein Angler eine Social-Media-Nachricht abfangen, in der er sich über ein Produkt beschwert. Dann sendet der Betrüger dem verärgerten Kunden eine Direktnachricht und bietet ihm an, die Sache wieder in Ordnung zu bringen, wenn er einige Informationen mit ihm teilt oder auf einen angegebenen Link klickt. Schließlich sahnt der Betrüger persönliche Daten ab oder platziert Malware auf dem System des Opfers.

Phishing nimmt zu

Einige alarmierende Phishing-Statistiken und Trends zeigen, dass diese Bedrohung nicht nachlässt.

• Laut Osterman Research haben gerade einmal 16 % der Unternehmen das vergangene Jahr ohne mindestens einen Phishing- oder Ransomware-Vorfall überstanden, .
• Dem SOES-Bericht 2021 zufolge waren viele Unternehmen im vergangenen Jahr mehrfach von Angriffen betroffen, und 70 % erwarten, dass ihr Geschäft in diesem Jahr durch eine Cybersecurity-Bedrohung per E-Mail gestört wird.
• Laut einer Statistik brach der Januar 2021 mit 245.771 an die Anti Phishing Working Group (APWG) gemeldeten Angriffen den monatlichen Rekord für Phishing-Statistiken weltweit.[iii]
• Die Verteidiger haben immer noch Nachholbedarf bei den bösen Jungs. Im Osterman-Bericht zeigten sich nur 45 % der Befragten zuversichtlich, dass alle Mitarbeiter in ihrem Unternehmen Phishing-E-Mails erkennen können. Bei der Frage nach ihrer Fähigkeit, Smishing, Vishing, betrügerische Apps und bösartige Popup-Werbung im Internet zu erkennen, sank ihr Vertrauen auf 34 %.

Phishing-Statistiken zeigen Verluste

Die Auswirkungen von Phishing auf Unternehmen waren in den letzten Jahren schwerwiegend. Nach einer jährlichen Erhebung des Ponemon Institute belaufen sich die durchschnittlichen Gesamtkosten einer Datenschutzverletzung für ein Unternehmen, einschließlich Schäden wie Umsatzeinbußen, auf etwa 3,86 Millionen US-Dollar. Und je größer die Verstöße werden, desto höher sind auch die Kosten. Ein Verlust von 5 bis 10 Millionen Datensätzen kann ein Unternehmen im Durchschnitt 50 Millionen Dollar kosten; ein Verlust von 50 Millionen oder mehr kann 392 Millionen Dollar kosten. [iv]

Die Kosten werden zum Teil durch die höheren Forderungen der Angreifer getrieben. Der APWG-Bericht stellte fest, dass die durchschnittliche Überweisungsanforderung bei Spear-Phishing-/Business-E-Mail-Angriffen im ersten Quartal 2021 um 14 % auf 85.000 US-Dollar gestiegen ist, gegenüber 75.000 US-Dollar im vorherigen Quartal. [v]

Wie man Phishing verhindern kann

Zu den besten Praktiken zum Schutz Ihres Unternehmens vor Phishing-Angriffen gehören die folgenden:

• In Schulungen zum Sicherheitsbewusstsein können Mitarbeiter lernen, wie sie Phishing-E-Mails erkennen und verdächtig aussehende Links oder Anhänge vermeiden können.
• Phishing-Übungen und andere Echtzeit-Schulungen, die einen tatsächlichen Angriff simulieren, halten die Benutzer auf der Hut vor Betrug.
• Die Installation von Sicherheitstechnologien wie z. B. Phishing-Filtern in E-Mail-Anwendungen und Webbrowsern verringert Phishing-Versuche, und Popup-Blocker können helfen, ein weiteres von Betrügern häufig eingesetztes Mittel zu stoppen.
• Aktualisieren Sie alle Arbeitsstationen und Geräte auf die neueste Software und stellen Sie sicher, dass alle Software-Patches und -Updates installiert werden, sobald sie veröffentlicht werden. Stellen Sie sicher, dass die Betriebssysteme auf allen Geräten auf dem neuesten Stand sind.
• Denken Sie an die Automatisierung. Neue Tools, die auf künstlicher Intelligenz und maschinellem Lernen basieren, können E-Mails nach verräterischen Mustern durchsuchen, die auf Betrug hindeuten.

Die Quintessenz

Phishing ist leider eine traurige Tatsache in der heutigen digitalen Umgebung. Auch wenn die E-Mail Unternehmen effizienter gemacht hat, ist sie zum bevorzugten Kanal für Cyberkriminalität geworden. Auch wenn die Angreifer ihre Täuschungsmanöver immer weiter verfeinern, gilt für Phishing-Angriffe, dass ihre Verhinderung mit der Sensibilisierung beginnt.

[i] " Globales E-Mail-Gesamtvolumen & Spam-Volumen für August 2021 ," Cisco

[ii] " Internet Crime Report 2020 , " FBI Internet Crime Complaint Center

[iii] " Bericht über Phishing-Aktivitäten im ersten Quartal 2021 ," Anti-Phishing-Arbeitsgruppe

[iv] " Bericht über die Kosten von Datenschutzverletzungen 2020 , " Ponemon Institute

[v] " Phishing Activity Trends Report 1st Quarter 2021 ," Anti-Phishing Working Group