Email Security & Resilience

    Phishing-Update: Dieses allgegenwärtige Risiko nimmt immer weiter zu

    E-Mail-Phishing ist eine hartnäckige und kostspielige Cyber-Bedrohung, die sich immer weiter ausbreitet und immer raffinierter wird.

    by Elliot Kass
    22BLOG_1.jpg

    Wichtige Punkte

    • Mehr als ein Drittel aller Datenschutzverletzungen beginnt mit Phishing-Angriffen - die meisten davon per E-Mail.
    • Phisher sind Betrüger, die sich als vertrauenswürdige Personen ausgeben, um ihre Opfer zu täuschen.
    • Phishing-Angriffe werden immer raffinierter, und die Angreifer setzen neue und andere Taktiken ein, um ihre Ziele zu verwirren.

    Phishing hat sich als die am weitesten verbreitete Form der Internetkriminalität etabliert. Im Jahr 2021 waren mehr als ein Drittel (36 %) aller Datenschutzverletzungen zumindest teilweise auf Zugangsdaten von Mitarbeitern zurückzuführen, die durch Phishing-Angriffe gestohlen wurden,[1] von denen 91 % per E-Mail erfolgten.[2]

    Jetzt, Ende 2022, breitet sich die Phishing-Bedrohung weiter aus. Seit August:

    • Eine große US-amerikanische Fluggesellschaft meldete, dass ihre Computersysteme durch einen Phishing-Angriff verletzt wurden. Nachdem der Täter erfolgreich die E-Mail-Konten mehrerer Mitarbeiter gehackt hatte, nutzte er diese, um eine Reihe von Phishing-E-Mails an über 1.700 Mitarbeiter und Kunden zu versenden.[3]
    • Die US-Steuerbehörde (Internal Revenue Service) hat eine Warnung herausgegeben, dass Phishing-Angriffe per Textnachricht, bei denen Steuergutschriften oder Hilfe bei der Einrichtung eines Kontos angeboten werden, zunehmen. "In den letzten Monaten und insbesondere in den letzten Wochen", so warnte die Behörde, "hat das Smishing mit IRS-Themen exponentiell zugenommen."[4]
    • In Deutschland führte die Bundespolizei Razzien bei Personen durch, die im Verdacht stehen, groß angelegte Phishing-Kampagnen zu organisieren. Die Angreifer benutzten angeblich gefälschte E-Mails, die von verschiedenen deutschen Banken verschickt worden zu sein schienen, um ihre Opfer um 4 Millionen Euro (4 Millionen US-Dollar) zu betrügen.[5]

    Mimecast hat den aktuellen Stand der Phishing-Risiken und -Antworten in einem neuen ebook zusammengefasst: Future-Proofing Your Cybersecurity Strategy: Defending Against Phishing .

    Angreifer setzen eine Reihe von Methoden ein

    Phishing liegt vor, wenn sich ein Angreifer als vertrauenswürdige Person ausgibt und sich per E-Mail, Sofortnachricht oder SMS meldet. Das Ziel kann sein, an Kreditkarten- oder andere Finanzdaten zu gelangen, aber oft werden Phishing-Mails verschickt, um Mitarbeiter dazu zu verleiten, ihre Passwörter und Logins preiszugeben, damit die Cyberkriminellen Zugang zum Unternehmensnetzwerk erhalten können.

    Angreifer verwenden verschiedene Phishing-Taktiken, je nach Ziel und Zweck. Dazu gehören:

    • E-Mail-Phishing: Betrüger imitieren die E-Mail-Domäne eines Unternehmens und versenden dann Tausende von generischen Mails in der Hoffnung, ein paar Bisse zu bekommen.
    • Spear-Phishing: Bei dieser gezielteren Form des Angriffs zielt der Täter auf Personen innerhalb eines Unternehmens ab, die über einen hohen Netzwerkzugang verfügen oder befugt sind, finanzielle Transaktionen zu genehmigen.
    • Whaling: Ähnlich wie beim Spear-Phishing, aber auf die höchsten Führungskräfte ausgerichtet, können Whaling-E-Mails den Anschein erwecken, von einem Kunden oder Geschäftspartner zu stammen, den die Zielperson kennt, und scheinbar routinemäßige Anfragen nach geschützten Informationen oder Transaktionsgenehmigungen stellen.
    • Smishing und Vishing: Cyberkriminelle wenden Phishing-Techniken auf Text- und Telefonkanäle an.

    Phishing-Schäden nehmen zu

    Cyberkriminelle werden immer raffinierter und verwenden je nach Ziel unterschiedliche Phishing-Taktiken. Auch das Volumen der Angriffe und ihre finanziellen Auswirkungen nehmen weiter zu.

    Jüngsten Berichten zufolge:

    • Erstaunliche 84 % der US-Organisationen meldeten kürzlich Phishing- oder Ransomware-Angriffe eine Umfrage aus dem Jahr 2021.
    • Der jüngste Bericht von Mimecast State of Email Security (SOES) ergab, dass mehr als die Hälfte (55 %) der 1.400 befragten Fachleute aus den Bereichen Informationstechnologie und Cybersicherheit eine deutliche Zunahme von Phishing-Angriffen festgestellt haben.
    • Die öffentlich gemeldeten Phishing-Vorfälle haben sich laut FBI von 114.702 im Jahr 2019 auf 241.324 im Jahr 2020 fast verdoppelt.[6]
    • Durch Phishing verursachte Sicherheitsverletzungen kosteten Unternehmen im vergangenen Jahr durchschnittlich 4,91 Millionen US-Dollar.[7]
    • Eine globale Phishing-Simulation aus dem Jahr 2021 ergab, dass 14 % der Angestellten auf einen Phishing-Link in einer E-Mail klicken und dass 70 % von ihnen anschließend ihre Anmeldedaten auf der Website des Angreifers eingeben - beides Steigerungen gegenüber den Ergebnissen von 2020.[8]

    Die Quintessenz

    Einige der bekanntesten Unternehmen der Welt sind Opfer von Phishing geworden. Phishing ist eine weit verbreitete und wachsende Bedrohung, gegen die sich Unternehmen aller Branchen schützen müssen. Weitere Informationen darüber, wie Sie Ihr Unternehmen vor E-Mail-basierten und anderen Arten von Phishing-Angriffen schützen können, finden Sie im neuen ebook von Mimecast auf Defending Against Phishing .


     

    [1] "2021 Data Breach Investigations Report," Verizon

    [2] "91 % aller Cyberangriffe beginnen mit einer Phishing-E-Mail an ein ahnungsloses Opfer," Deloitte

    [3] "American Airlines hat erfahren, dass sie von Phishing-Zielen angegriffen wurde," Bleeping Computer

    [4] "IRS warnt Amerikaner vor massivem Anstieg von SMS-Phishing-Angriffen," Bleeping Computer

    [5] "Deutschland nimmt Hacker fest, der bei Phishing-Angriffen 4 Millionen Euro gestohlen hat," Bleeping Computer

    [6] " Internet Crime Report 2020," FBI

    [7] "Wie viel kostet eine Datenschutzverletzung?" IBM

    [8] "Gone Phishing Tournament," Terranova Security

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang