Phishing gibt es schon seit Jahrzehnten und ist nach wie vor eine der größten und am schnellsten wachsenden Cyberbedrohungen. Bereits vor der COVID-19-Pandemie war Phishing eine kaum zu bändigende Herausforderung. Seitdem hat sich die Situation weiter verschärft. Laut dem aktuellen jährlichen Internet Crime Report (Bericht zu Internetkriminalität) des vom FBI geführten Internet Crime Complaint Center (IC3) ist die Zahl der angezeigten Fälle von Phishing-Betrug von 2019 bis 2021 um 182 % gestiegen. Und das sind nur die gemeldeten Phishing-Angriffe. Die Dunkelziffer dürfte deutlich höher liegen.
Offensichtlich sind Cyberangreifer erfolgreicher denn je, wenn es um das Ausnutzen menschlicher Schwächen geht. Aus dem Proofpoint-Untersuchungsbericht State of the Phish 2022 geht hervor, dass nur 53 % der berufstätigen Erwachsenen wissen, was Phishing ist.
Unsere Botschaft an Unternehmen: Machen Sie Phishing zum Schwerpunkt Ihrer Schulungsprogramme zur Sensibilisierung für Sicherheit. Wenn möglicherweise nur etwa die Hälfte Ihrer Anwender weiß, was Phishing ist, sollten Sie Schulungen zu diesem extrem wichtigen Cybersicherheitsthema mit einer Erläuterung dieses Begriffs einleiten.
Über diese Reihe
Moderne Cyberbedrohungen setzen auf menschliche Interaktionen und nicht nur auf technische Exploits. Laut dem Data Breach Investigations Report (Untersuchungsbericht zu Datenkompromittierungen) von Verizon werden 82 % aller Datenschutzverletzungen durch menschliches Verhalten verursacht. Dort heißt es: „… der Mensch rückt angesichts dieser Fakten in den Mittelpunkt jeder Sicherheitsstrategie“. Durch Social Engineering verleiten Angreifer ihre Opfer dazu, auf unsichere URLs zu klicken, schädliche Anhänge zu öffnen, ihre Anmeldedaten einzugeben, vertrauliche Daten weiterzugeben, Geld zu überweisen und vieles mehr.
Dies ist der zweite Beitrag unserer sechsteiligen Blog-Reihe über Themen, die Sie bei Sensibilisierungsschulungen für Cybersicherheit berücksichtigen sollten. Den Abschluss bildet der Cybersecurity-Awareness-Monat im Oktober. Inhalt der Reihe:
- Social Engineering
- Phishing
- Business Email Compromise (BEC)
- Soziale Netzwerke
- Ransomware
- Risiken durch Insider
Was ist Phishing?
Phishing ist eine Social-Engineering-Taktik, bei der Angreifer mit einer Kombination diverser Techniken wie Fälschung, Irreführung und Lüge versuchen, die menschliche Psyche zu manipulieren.
Phishing-E-Mails nutzen Social Engineering, um Anwender zu schnellen, unbedachten Handlungen zu verleiten. Waren die Angreifer mit ihren Phishing-E-Mails erfolgreich, lässt die „Belohnung“ – in Form von Zugriff auf vertrauliche Daten, kritische Systeme und Netzwerke, Cloud-Konten und oft auch Geld – nicht lange auf sich warten.
Die meisten Phishing-Nachrichten werden per E-Mail an die Opfer verschickt. Einige Angreifer sind zu anderen Methoden übergegangen, darunter Smishing und Vishing (dabei werden Textnachrichten und Stimmverzerrer verwendet, um SMS-Nachrichten an Anwender zu senden oder sie über Robocalls anzurufen).
Die drei häufigsten Strategien bei Phishing-Nachrichten
Nachdem Sie Ihre Anwender darüber informiert haben, worum es bei Phishing geht, zeigen Sie einige typische Strategien auf, die Angreifer anwenden, um die Empfänger der Phishing-E-Mails zu kompromittieren.
Schädliche Links
Angreifer nutzen oft schädliche URLs in ihren Phishing-Nachrichten. Wenn Anwender auf einen schädlichen Link klicken, gelangen sie zu einer gefälschten oder einer mit Malware (schädlicher Software) infizierten Website. Oft werden diese Links in den Phishing-Nachrichten so gut getarnt, dass sie von denen aus vertrauenswürdigen Quellen kaum zu unterscheiden sind. Dazu verwenden sie Firmenlogos oder registrieren E-Mail-Domänen, die denen renommierter Marken oder Firmen zum Verwechseln ähnlich sind.
Allzu oft hat der Angreifer damit Erfolg. Bei den Untersuchungen zu unserem Bericht State of the Phish 2022 haben wir im Rahmen von Phishing-Simulationen festgestellt, dass 10 % der Anwender auf schädliche Links klicken.
Infizierte Anhänge
Mit Malware infizierte Anhänge können Computer und Dateien kompromittieren. Oft sehen sie wie legitime Dateianhänge aus. Bei Phishing-Simulationen, die wir für Kunden durchgeführt haben, haben 20 % der Anwender E-Mail-Anhänge geöffnet.
Es ist wichtig, dass Sie Ihren Anwendern die Gefahr vor Augen führen, die von Phishing ausgeht. Malware-Infektionen und Ransomware, die über einen Phishing-Angriff eingeschleust werden, können sich ungehindert auf alle vernetzten Geräte ausbreiten – auch auf Cloud-Systeme.
Betrügerische Anfragen
Mit diesen Anfragen sollen die Empfänger dazu verleitet werden, vertrauliche Informationen wie Anmeldedaten, Kreditkartennummern usw. preiszugeben. Oft kommt dabei ein Formular zum Einsatz (z. B. von einer vermeintlichen Steuerbehörde, die eine Erstattung in Aussicht stellt) und der Anwender wird aufgefordert, vertrauliche Angaben zu machen.
Sobald der Anwender das Formular ausgefüllt und übermittelt hat, können Bedrohungsakteure die Daten zu ihrem persönlichen Vorteil nutzen.
Alle Phishing-Angriffe nutzen Social Engineering
Wie bereits erwähnt: Phishing-Angriffe sind eine Form von Social Engineering. Weisen Sie daher in Ihren Security-Awareness-Schulungen auf einige der Methoden hin, mit denen Angreifer Ihre Opfer mit psychologischen Tricks manipulieren:
- Der Angreifer gibt vor, jemand zu sein, den der Anwender kennt und dem er vertraut.
- Der Angreifer nutzt Emotionen wie Angst aus (und sei es nur die Angst, etwas zu verpassen), um Anwender zu schnellem Handeln zu motivieren.
- Der Angreifer macht interessante (und teils absurde) Versprechungen.
Böswillige Akteure starten ihre Angriffe oft dann, wenn ihre Opfer vermutlich nicht besonders wachsam sind. Viele Angreifer erkundigen sich sogar über den Fakturierungszyklus oder den Zeitpunkt wichtiger Besprechungen im Unternehmen, bevor sie ihren Phishing-Angriff starten.
Auswirkungen von Phishing auf die Unternehmensbilanz
Im Rahmen Ihres Sensibilisierungsprogramms für Endnutzer sollten Sie auch auf einige prägnante Vorfälle eingehen, um herauszustellen, wie kostspielig Phishing-Angriffe für Unternehmen sein können. Solche Argumente sind besonders für leitende Führungskräfte überzeugend, zumal sie aufgrund ihres Zugangs zu Daten und ihrer Autorität beliebte Zielpersonen sind bzw. ihre Identität von Angreifern besonders oft in Phishing-Kampagnen nachgeahmt wird.
Nachfolgend einige reale Beispiele:
- In einem Vergleichsvorschlag im Zusammenhang mit einer massiven Datenschutzverletzung im Jahr 2021 erklärte sich ein Mobilfunkunternehmen in den USA bereit, Kunden, deren Daten mutmaßlich offen gelegt worden waren, eine Entschädigung von insgesamt 350 Millionen US-Dollar zu gewähren. Von dem Vorfall waren mehr als 76 Millionen Kunden betroffen.
- Bei einem Phishing-Angriff gegen die Lieferanten einer großen US-Einzelhandelskette wurden die Kreditkarteninformationen und persönlichen Daten von mehr als 110 Millionen Kunden öffentlich zugänglich gemacht. Seitdem musste der Einzelhändler wegen der Datenschutzverletzung rund 300 Millionen US-Dollar für gerichtliche Vergleichszahlungen leisten.
- Ein großes Filmstudio hat infolge einer vermutlich von Nordkorea ausgehenden Angriffskampagne, auf die eine groß angelegte Datenschutzverletzung folgte, rund 100 Millionen US-Dollar verloren. Bei dem Angriff wurden unter anderem Spearphishing-E-Mails eingesetzt (gezielte Angriffe gegen bestimmte Unternehmensmitarbeiter), die von scheinbar legitimen Social-Media-Konten stammten.
- Zwei führende US-Technologieunternehmen – eine Social-Media-Plattform und eine Internetsuchmaschine – haben bei einem raffinierten Phishing-Angriff mehr als 100 Millionen US-Dollar verloren. Die Angreifer gingen sogar so weit, dass sie ein falsches Unternehmen gründeten und gefälschte E-Mail-Adressen und Rechnungen verwendeten.
Kreative Taktiken, bei denen Anwender hellhörig werden sollten
Damit Ihre Sensibilisierungsschulungen für Cybersicherheit bei den Anwendern Früchte tragen, müssen die Anwender verstehen, dass sich Phishing-Muster auch auf ihren Geldbeutel auswirken können. Die bevorstehende Weihnachtszeit ist eine ideale Gelegenheit, um Ihre Anwender für folgende Phishing-Taktiken zu sensibilisieren:
- Online-Shopping (z. B. „Klicken Sie hier und erhalten Sie 60 % Rabatt! Zusätzlich nehmen Sie an der Verlosung für einen Einkaufsgutschein in Höhe von 1.000 € für unseren Online-Shop teil.“)
- Hilfsorganisationen (z. B. „Urlaub für die einen, Hunger für die anderen. Die Zeit drängt. Unterstützen Sie uns jetzt mit einer Spende. Nutzen Sie dazu das beigefügte Formular.“)
- Versandunternehmen (z. B. „Wir konnten Ihre Sendung leider nicht zustellen. Bitte prüfen Sie die beigefügten Versandinformationen, um Ihre Bestelldaten zu bestätigen.“)
Weisen Sie Ihre Anwender auch auf Streaming-Betrüger hin. Die Angreifer treten dabei als Anbieter beliebter Streaming-Dienste auf und bieten Sonderkonditionen an (z. B. „Einen Monat lang kostenlos streamen“) oder sie versuchen, Anwender zur Anmeldung bei ihrem Konto zu verleiten (z. B. „Aktualisieren Sie Ihre Daten, um Ihr Abonnement zu reaktivieren“).
So können Endnutzer Phishing erkennen
Schließen Sie Ihre Sensibilisierungsschulung für Cybersicherheit zum Thema Phishing mit einigen Tipps, die sich einfach umsetzen lassen und verhindern, dass Ihre Anwender in die Phishing-Falle tappen. Tipps für Ihre Anwender:
- Vertrauen Sie keinem Absender spontan, auch wenn die Nachricht von einer vertrauenswürdigen Quelle oder Firma zu sein scheint.
- Überprüfen Sie die Absenderadresse und sehen Sie sich Links genau an.
- Öffnen Sie dazu ein neues Fenster und überprüfen Sie dort die Website, auf die ein Link verweist.
- Klicken Sie nicht auf Schaltflächen oder Links, die zu einer Handlung auffordern, wie „Konto überprüfen“ oder „Jetzt anmelden“.
- Gehen Sie nicht davon aus, dass Links für Dateifreigaben grundsätzlich sicher sind.
Fordern Sie Ihre Anwender auf, verdächtige Nachrichten zu melden. Das Melden verdächtiger E-Mails sollte ein wichtiger Bestandteil Ihrer Cyberschutzstrategie sein. Mit Tools wie die PhishAlarm-Phishing-Schaltfläche von Proofpoint werden Ihre Anwender zu wachsamen und proaktiven Verteidigern.
Demnächst: Weitere Themen zum Sicherheitsbewusstsein von Endnutzern
Im nächsten Blog-Beitrag dieser Reihe geht es um Business Email Compromise (BEC). Wir erläutern, warum Unternehmen aller Größen und Branchen auf diese zunehmende Bedrohung achten sollten. Und wir haben wieder Tipps für Sie parat, wie Sie Ihre Anwender für dieses wichtige Sicherheitsthema sensibilisieren.
In unserem Proofpoint Informationsportal: Cybersicherheitsschulungen finden Sie außerdem weitere Materialien, die Sie für die Schulungsprogramme zur Sensibilisierung für Sicherheit in Ihrem Unternehmen nutzen können. Mit Proofpoint Security Awareness Training können Sie zudem eine Sicherheitskultur aufbauen, mit der Sie positive Verhaltensweisen fördern.