Im Jahr 2020 waren 75 % der Unternehmen weltweit von einem Phishing-Angriff betroffen. Phishing ist nach wie vor eine der größten Gefahren für die Funktionsfähigkeit und das Wohlergehen Ihres Unternehmens, denn es ist die häufigste Angriffsmethode für alle Arten von Cyberangriffen.
Eine einzige Phishing-E-Mail kann dafür verantwortlich sein, dass ein Unternehmen von Ransomware befallen wird und kostspielige Ausfallzeiten in Kauf nehmen muss. Sie kann auch dazu führen, dass ein Benutzer unwissentlich die Anmeldedaten für ein E-Mail-Konto des Unternehmens weitergibt, die der Hacker dann wiederum für gezielte Angriffe auf Kunden nutzt.
Phishing nutzt menschliches Versagen aus, und einige Phishing-E-Mails verwenden ausgeklügelte Taktiken, um den Empfänger zur Preisgabe von Informationen oder zur Infizierung eines Netzwerks mit Malware zu verleiten.
Die Bedrohungen durch Mobile Phishing sind im Jahr 2021 stark angestiegen.
Die besten Schutzmaßnahmen gegen anhaltende Phishing-Angriffe sind:
- Filtern von E-Mails
- DNS-Filter
- Virenschutz / Anti-Malware der nächsten Generation
- Fortlaufende Schulungen für Mitarbeiter zum Thema Cybersicherheit
Um Ihre Mitarbeiter richtig zu schulen und sicherzustellen, dass Ihre IT-Sicherheit auf die neuesten Bedrohungen abgestimmt ist, müssen Sie wissen, welche neuen Phishing-Gefahren auf Sie zukommen.
Hier sind einige der neuesten Phishing-Trends, auf die Sie im Jahr 2022 achten sollten.
Phishing geschieht zunehmend per Textnachrichten
Viele Leute sind gegenüber Textnachrichten weniger misstrauisch als gegenüber unerwarteten E-Mail-Nachrichten. Die meisten Phishing-Schulungen konzentrieren sich in der Regel auf die E-Mail-Form des Phishings, da diese bisher am weitesten verbreitet war.
Aber Cyberkriminelle nutzen jetzt die leichte Verfügbarkeit von Mobiltelefonnummern und verwenden Textnachrichten für Phishing-Angriffe. Diese Art von Phishing (auch "Smishing" genannt) nimmt immer mehr zu.
Die Menschen erhalten heute mehr Textnachrichten als in der Vergangenheit, was zum großen Teil darauf zurückzuführen ist, dass Einzelhändler und Dienstleistungsunternehmen vermehrt Textnachrichten für Verkaufs- und Lieferhinweise nutzen.
Dies macht es für Phishing via SMS noch einfacher, eine Versandmitteilung vorzutäuschen und den Nutzer dazu zu bringen, auf eine verkürzte URL zu klicken.
Die Kompromittierung von Geschäfts-E-Mails nimmt zu
Ransomware war in den letzten Jahren eine wachsende Bedrohung, vor allem weil sie für die kriminellen Gruppen, die Cyberangriffe starten, eine große Einnahmequelle darstellt. Eine neue, aufstrebende Form des Angriffs beginnt recht lukrativ zu sein und nimmt daher ebenfalls zu.
Die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) ist auf dem Vormarsch. Diese wird von Angreifern ausgenutzt, um mit Dingen wie Geschenkkartenbetrug und gefälschten Überweisungsanforderungen Geld zu verdienen.
Was BEC so gefährlich (und lukrativ) macht? Die Tatsache, dass ein Krimineller, der sich Zugang zu einem geschäftlichen E-Mail-Konto verschafft, sehr überzeugende Phishing-Nachrichten senden kann. Und zwar an Mitarbeiter, Kunden und Lieferanten dieses Unternehmens. Die Empfänger werden der bekannten E-Mail-Adresse sofort vertrauen, was diese E-Mails zu mächtigen Waffen für Cyberkriminelle macht.
Kleine Unternehmen werden immer häufiger mit Spear-Phishing angegriffen
Man ist nie zu klein, um von einem Hacker angegriffen zu werden. Kleine Unternehmen sind häufig das Ziel von Cyberangriffen, weil sie in der Regel weniger IT-Sicherheit haben als größere Unternehmen.
43 % aller Datenschutzverletzungen zielen auf kleine und mittelständische Unternehmen ab, und 40 % der kleinen Unternehmen, die Opfer eines Angriffs werden, haben mindestens acht Stunden Ausfallzeit als Folge davon.
Spear-Phishing ist eine gefährlichere Form des Phishings, da es gezielt und nicht allgemein eingesetzt wird. Es ist die Art, die auch bei einem Angriff mit BEC eingesetzt wird.
Früher wurde Spear-Phishing vor allem für größere Unternehmen eingesetzt, da es mehr Zeit in Anspruch nimmt, einen gezielten und maßgeschneiderten Angriff vorzubereiten. Da jedoch große kriminelle Gruppen und staatlich gesponserte Hacker ihre Angriffe effizienter gestalten, können sie leichter jeden ins Visier nehmen.
Dies führt dazu, dass kleine Unternehmen mehr maßgeschneiderte Phishing-Angriffe erhalten, die für ihre Nutzer schwerer als Betrug zu erkennen sind.
Initial Access Broker machen Angriffe effektiver
Wir haben gerade darüber gesprochen, dass große kriminelle Gruppen ihre Angriffe ständig optimieren, um sie noch effektiver zu machen. Sie behandeln Cyberangriffe wie ein Geschäft und arbeiten ständig daran, sie noch profitabler zu machen.
Eine Möglichkeit, dies zu tun, ist der Einsatz externer Spezialisten, so genannter Initial Access Broker. Dabei handelt es sich um eine spezielle Art von Hackern, die sich nur darauf konzentrieren, den ersten Zugang zu einem Netzwerk oder Unternehmenskonto zu erhalten.
Der zunehmende Einsatz dieser Experten auf ihrem Gebiet macht Phishing-Angriffe noch gefährlicher und für die Benutzer noch schwieriger zu erkennen.
Identitäten von Unternehmen werden immer häufiger verwendet
Da die Benutzer immer vorsichtiger werden, wenn es um E-Mails von unbekannten Absendern geht, nutzen Phishing-Angreifer zunehmend die Möglichkeit, sich als Unternehmen auszugeben. In diesem Fall sieht eine Phishing-E-Mail wie eine legitime E-Mail von einem Unternehmen aus, das der Benutzer vielleicht kennt oder mit dem er sogar Geschäfte macht.
Amazon ist ein häufiges Ziel von Betrügern, die sich als das echte Unternehmen ausgeben, aber es kommt auch bei kleineren Unternehmen vor. So gab es beispielsweise Fälle, in denen die Kundenlisten von Website-Hosting-Unternehmen geknackt wurden. Diese Kunden bekamen daraufhin E-Mails, die die Nutzer aufforderten, sich bei einem Konto anzumelden, um ein dringendes Problem zu beheben.
Ist Ihr Unternehmen ausreichend vor Phishing-Angriffen geschützt?
Es ist wichtig, eine mehrschichtige Strategie zu verfolgen, wenn es darum geht, sich gegen eine der größten Gefahren für das Wohlergehen Ihres Unternehmens zu schützen. Beginnen Sie mit einem Cybersicherheitsaudit, um Ihre aktuelle Sicherheitslage zu überprüfen und Verbesserungsmöglichkeiten zu ermitteln. Unsere IT-Experten von pirenjo.IT helfen Ihnen in einem unverbindlichen 15-minütigen Telefonat gerne weiter.