Mobiler und subtiler: Phishing 2022
Phishing, also personalisierte Angriffe, um Zugangsdaten zu erbeuten, zählt heute zu den gefährlichsten Bedrohungen für die Cybersicherheit. Worauf müssen sich Unternehmen heute in Sachen Phishing einstellen – und wie können sie sich wappnen?
Phishing, also personalisierte Angriffe, um Zugangsdaten zu erbeuten, zählt heute zu den gefährlichsten Bedrohungen für die Cybersicherheit. Das gilt nicht nur für Privatpersonen, sondern verstärkt auch für Unternehmen. Worauf sich Unternehmen heute in Sachen Phishing einstellen müssen – und wie sie sich wappnen können, erläutert der folgende Beitrag.
Für Cyberkriminelle ist Social Engineering ebenso lukrativ wie effizient: Eine Person zu betrügen und Zugangsdaten zu relevanten Anwendungen eines Unternehmens zu erbeuten, ist deutlich einfacher, als das robuste Betriebssystem eines Geräts oder umfangreich geschützte CloudStrukturen zu infiltrieren. Im Zeitalter von cloudorientierten Arbeitsprozessen sind die Anmeldedaten von Anwendern sogar besonders wertvoll, da sie Zugriff auf vertrauliche Daten gewähren, die außerhalb des Geräts in SaaS-Anwendungen, Online-Datenspeichern und Rechenzentren gespeichert und verwaltet werden. Mit der Attraktivität der Angriffsziele nimmt auch die Professionalisierung der Attacken zu. Phishing geht mittlerweile weit über schlecht formulierte E-Mails hinaus, die „nicht beanspruchte Lotteriegewinne“ anbieten. Die heutigen Angriffe sind nicht nur deutlich persönlicher, individueller und damit überzeugender. Sie erreichen ihre Zielpersonen auch über unterschiedlichste Wege und Endgeräte – über die klassische E-Mail, aber auch über SMS, Messenger Dienste, Social Media oder Werbung. Dabei stehen weniger die persönlichen Dienste der jeweiligen Verbraucher im Visier der Cyberkriminellen. Lukrativer sind Angriffe auf einzelne Mitarbeitende, um über diese an vertrauliche Unternehmensdaten zu gelangen. Im Rahmen einer umfangreichen Untersuchung von Phishing-Angriffen haben die Cybersecurity-Experten von Jamf die aktuellen Trends analysiert. In seinem „Phishing Report 2021“ zeigt das Unternehmen auf, welche Entwicklungen im vergangenen Jahr dazu beigetragen haben, dass Social Engineering deutlich subtiler und damit gefährlicher geworden ist:
Mobilgeräte statt Desktop-PC
Bisher zielten Phishing-Angriffe vorwiegend auf Desktop-PCs ab. Über klassische E-Mails wurde versucht, die persönlichen Daten von Verbrauchern abzugreifen. Die vergangenen Monate haben jedoch gezeigt, dass Social Engineering verstärkt auf Mobilgeräte zugeschnitten wird. Schließlich läuft der Großteil des Web-Datenverkehrs mittlerweile über mobile Endgeräte, darauf stellen sich auch Cyberkriminelle ein. Neben der reinen Masse an Nutzern bieten Mobilgeräte weitere Vorteile für Phishing-Angriffe: Kleinere Bildschirme erschweren es den Anwendern, die Echtheit einer Website zu beurteilen. Verbesserungen in der Usability haben dazu geführt, dass die Adressleiste verschwindet, während nach unten gescrollt wird. Was einerseits Platz für Seiteninhalte schafft, reduziert andererseits die Möglichkeit, die URL zu überprüfen. In vielen Fällen sind die Schaltflächen „Akzeptieren“ oder „OK“ in Aufforderungen bereits markiert, sodass Nutzer diese oft automatisch annehmen, ohne sie genauer anzusehen. Kurz-URL-Dienste wie Bitly oder Owly, die häufig in Textnachrichten verwendet werden, verbergen die vollständige Domain. All diese Faktoren führen dazu, dass Social Engineering über Mobilgeräte deutlich erfolgreicher ist. Dies ist eine der Erkenntnisse aus dem Phishing Report: Eine von zehn Personen klickt auf einen Phishing-Link, während sie ein Mobilgerät benutzt. Und die Zahl der Mobilgeräte-Nutzer, die Opfer eines solchen Angriffs wurden, hat sich im Vergleich zum Vorjahr um 160 Prozentpunkte erhöht.
Gekaufte Sicherheit
Früher konnten Nutzer die Sicherheit einer Domain am Vorhängeschloss in der Adresszeile des Browsers erkennen, dem Symbol für eine SSL-Zertifizierung. Mittlerweile gibt es jedoch kostenlose Dienste, die Hacker nutzen, um schnell und mühelos eine solche Zertifizierung auch für schädliche Domains zu erhalten. 93 Prozent der Phishing-Domains werden auf einer augenscheinlich „sicheren“ Website gehostet, wie die Untersuchung von Jamf zeigt. Punycode Angreifer verwenden zunehmend Punycode, um ihre Phishing-Domains zu verschleiern. Punycode verwandelt Unicode-Zeichen, beispielsweise in Alphabeten wie Kyrillisch oder Griechisch, in ASCII-Zeichen. So könnte zum Beispiel die Google-URL täuschend ähnlich als Unicode dargestellt werden: https://googĺe.com, der zugrunde liegende Punycode führt jedoch auf eine Phishing-Seite: xn--googe-95a.com. Unicode-Zeichen erzeugen Domainnamen, die auf den ersten Blick vertraut aussehen, aber in Wirklichkeit auf einen anderen Server verweisen oder eine schadhafte Domain verlinken. Laut dem Phishing Report 2021 enthielten zwei Prozent der erfolgreichen Zero-Day-Phishing-Angriffe aus den vergangenen zwölf Monaten Punycode – Tendenz steigend. Obskure Top-Level-Domains Top-Level-Domains (TLD) waren früher .com, .net, .org oder Ähnliches. In den letzten Jahren sind aber länderspezifische Top-Level-Domains (ccTLD, wie etwa .de) und unternehmensspezifische TLDs (wie .attorney, .technology, .airline) auf dem Vormarsch. Diese Vielfalt macht es Nutzern schwer, die Echtheit von Websites schnell zu überprüfen. Beispielsweise können Hacker microsoft.xyz registrieren, um einen Phishing-Angriff mit Bezug auf Microsoft zu hosten. Nutzern werden den Markennamen wiedererkennen, die ungewöhnliche TLD aber wird kaum jemandem auffallen. WAS UNTERNEHMEN BEACHTEN SOLLTEN Im Zuge dieser Entwicklungen und der Professionalisierung von Social Engineering sind Unternehmen besonders gefordert. Für sie gilt es, Schutzmechanismen wie eine Zero-Day-Phishing-Lösung zu etablieren, die über alle Kommunikations-Apps hinweg funktioniert, um sowohl die üblichen Attacken zu stoppen als auch anspruchsvollere Angriffe, die auf das Unternehmen abzielen. Eine professionelle Lösung für Mobile Device Management, die starke Security-Aspekte beinhaltet, trägt ebenfalls zum Schutz von vertraulichen Unternehmensdaten bei. Darüber hinaus sollten die Mitarbeitenden in den Fokus gestellt werden. Sie sind das wertvollste Gut eines Unternehmens, aber wenn es um die Datensicherheit geht, sind sie oft auch die größte Schwachstelle. Social Engineering nimmt einzelne Mitarbeiterinnen und Mitarbeiter ins Visier und richtet Angriffe gezielt nach ihnen aus. Sie müssen dafür sensibilisiert und darin geschult sein, was sie in einem solchen Fall tun – oder besser nicht tun – sollen.
CHECKLISTE: Phishingabwehr für Mitarbeitende
- Nicht auf verdächtige Links klicken, stattdessen die Seiten manuell aufrufen.
- Nachrichten, die angeblich von großen Marken oder dem eigenen Chef stammen, genau überprüfen: Stimmen Stil, Vokabular und regionale wie persönliche Feinheiten?
- Bei verdächtigen Nachrichten besondere Sorgfalt bei der Bearbeitung walten lassen, Zeit für die Überprüfung nehmen und hektische Klicks vermeiden.
- Zeichen in der URL auf Punycode untersuchen.
- Adressleiste auf verdächtige oder imitierte URLs prüfen, wie etwa my.apple.pay.com.
- Zugangsdaten oder Kreditkartendaten nicht bei unbekannten oder nicht vertrauenswürdigen Diensten eingeben.
Phishing Report 2021
Der Phishing Report 2021 wurde von Jamf veröffentlicht. Für die Untersuchung wurden im dritten Quartal 2021 Phishing-Angriffe aus den zwölf zurückliegenden Monaten (September 2020 bis August 2021) analysiert. Als Stichprobe dienten 500.000 Geräte in 90 Ländern aus dem Kundenstamm von Wandera, einem Tochterunternehmen von Jamf.
Oliver Hillegaart, Senior Regional Sales Manager bei Jamf