Wie Sie kostspielige Phishing-Angriffe auf Ihr Team verhindern können
Phishing ist ein grosses Cybersicherheitsrisiko für jeden IT-Leiter, und die Angriffe werden immer häufiger und raffinierter.
Deshalb wollen wir uns heute mit den Folgen und den neusten Methoden des Phishings beschäftigen und Ihnen Tipps geben, wie Sie Ihr Team dauerhaft davor schützen können.
Erfolgreiche Phishing-Angriffe kosten Unternehmen Milliarden von Pfund/Euro pro Jahr, und die Cyberkriminellen werden immer besser organisiert. Inzwischen verbringen IT- und Sicherheitsteams ein Drittel ihrer Arbeitswoche mit dem Kampf gegen das Phishing. Dennoch gelingt es Hackern immer öfter, den IT-Teams die Stirn zu bieten, indem sie neue Möglichkeiten finden, die Mitarbeiter aufs Glatteis zu führen.
Russell Johnson, IT Business Partner von Brother International Europe, sagt: „Wir müssen uns unbedingt auf den Benutzer konzentrieren. Unsere technischen Endpoint-Protection-Systeme sind zwar toll, aber wenn dann doch einmal eine raffiniert gemachte Phishing-Mail durchkommt, ist es am Benutzer, sich und die Firma zu schützen.“
Indem man sich und alle Benutzer mit den jüngsten Phishing-Trends und Sicherheitsvorkehrungen vertraut macht, kann man viel Zeit, Geld und Ressourcen sparen.
Die neusten Phishing-Trends
In letzter Zeit hat die Zahl von Business-Email-Compromise-(BEC)-Angriffen in ganz Europa erheblich zugenommen. Das gilt vor allem für den sogenannten CEO Fraud, bei dem sich Kriminelle als Firmenchefs ausgeben. Solche Spoofing-Mails, bei denen Kriminelle eine vertrauenswürdige Identität vortäuschen, verleiten Angestellte zu fatalen Handlungen und gehören zu den Arten von Phishing-Angriffen, die die Betroffenen besonders teuer zu stehen kommen.
Nachdem die Cyberkriminellen ihre Zielpersonen – meist Finanzmanager – ausgekundschaftet haben, legen sie sich eine authentisch wirkende Spoof-E-Mail-Adresse zu und verlangen von ihnen, eine bestimmte Transaktion auszuführen. So verlor der österreichische Flugzeugzulieferer FACC 42 Millionen Euro durch einen BEC-Angriff, als ein Mitglied seiner Finanzbuchhaltung der Aufforderung in einer betrügerischen E-Mail nachkam, Geld für ein (gar nicht existierendes) Akquisitionsprojekt auf Auslandskonten zu überweisen.
Auch der italienische Fussballclub Lazio verlor nach eigenen Angaben 2 Millionen Euro bei einem ähnlichen Phishing-Betrug. Dabei gab das italienische Erstligisten-Team Gelder für einen Spielertransfer frei, nachdem es eine E-Mail bekommen hatte, die vom niederländischen Club Feyenoord zu kommen schien.
Ausserdem gibt es immer mehr „gespoofte“ Seiten, die dazu dienen, sich geschäftliche Anmeldedaten zu verschaffen.
Manche Phishing-E-Mails leiten Benutzer auch auf eine falsche Login-Seite für einen Unternehmens-Service wie Microsoft Office 365 oder Amazon Web Services (AWS) weiter. Wenn diese Angriffe erfolgreich sind, kann das verheerende Folgen fürs Unternehmen haben, weil die Cyberkriminellen dann auf die sensiblen Daten in dem gehackten Account zugreifen können.
So haben sich Angreifer zum Beispiel neulich mit Hilfe einer automatisierten E-Mail-Benachrichtigung als Amazon Web Services ausgegeben. Die Hyperlinks wirkten zwar authentisch, leiteten die Benutzer aber durch eine kleine Abweichung in der URL auf eine falsche Login-Seite weiter.
Cybersecurity-Consultant Rob Mukherjee rät Unternehmen, Computer Vision zu verwenden. Diese Art Software versetzt Computer in die Lage, mit Hilfe von Algorithmen das visuelle System des Menschen nachzubilden. Sie ist eine Form der künstlichen Intelligenz.
Rob erklärt: „Die Software schaut sich jeden einzelnen Pixel an und verwehrt E-Mails den Zugang zum Posteingang, wenn sie eine Anomalie entdeckt.“
Auch die Zahl der Phishing-E-Mails, die angeblich von LinkedIn kommen, hat enorm zugenommen. Laut Angaben von Forschern ist die Zahl der Phishing-E-Mails „von LinkedIn“ im Jahr 2022 um 232 % gestiegen.
Cyberkriminelle verwenden gespoofte Anzeigenamen und stilisierte HTML-Templates, um Microsoft-Outlook-Benutzer dazu zu bringen, auf Phishing-Links zu klicken und ihre sensiblen Daten preiszugeben.
Ausserdem wird LinkedIn dazu missbraucht, mögliche Zielpersonen zum Spear-Phishing zu finden. So haben Hacker die Social-Media-Plattform zum Beispiel schon dafür genutzt, Systemingenieure und Netzwerkadministratoren von Sony Pictures Entertainment zu finden. Dabei wurden mit Hilfe gezielter Phishing-E-Mails über 100 Terabyte Firmendaten gestohlen, und Sony verlor durch den Angriff mehr als 100 Millionen US-Dollar.
Die wahren Kosten des Phishings
Phishing-Angriffe führen zu hohen Verlusten und sind schwer in den Griff zu bekommen. Laut IBM waren sie 2022 die kostspieligste Art von Angriffen mit Kosten von durchschnittlich 4,91 Millionen US-Dollar pro Datenschutzverletzung.
Doch obwohl die Gefahren längst bekannt sind, ist das Phishing nach wie vor der am häufigsten verwendete Zugangsweg für Cyberkriminelle. Im Jahr 2022 hatten sage und schreibe 82 % der Datenschutzverletzungen in Europa eine menschliche Komponente.
Diese ständige Gefahr kommt jedoch nicht nur Unternehmen teuer zu stehen, sondern hat auch unmittelbare Auswirkungen auf die Arbeit der IT-Leiter, die immer mehr Zeit und Ressourcen in dieses Problem investieren müssen. Laut Angaben von IT- und
Sicherheitsteams dauert die abschließende Behandlung einer einzigen Phishing-E-Mail inzwischen durchschnittlich 27,5 Minuten.
Wie können Sie Ihr Unternehmen vor Phishing schützen?
Verwenden Sie am besten eine Kombination aus den richtigen IT-Tools und Verhaltensänderungen.
Dan Giannasi, Head of Cyber and Innovation am Cyber Resilience Centre, sagt: „Firmen müssen ihr Unternehmen schützen, indem sie es den Angreifern erschweren, Benutzer zu erreichen.
Zu diesem Zweck sollten sie robuste E-Mail-Protokolle einführen, die verhindern, dass E-Mails von bekannten Phishing-Quellen zu den Benutzern vordringen, und die Kriminellen daran hindern, die E-Mail-Domain des Unternehmens bei anderen Angriffen nachzuahmen.“
Durch einen regelbasierten E-Mail-Filter für geschäftliche Anwendungen können sie „gespoofte“ Domainnamen und Identitäten entdecken, die Mitarbeiter leicht übersehen könnten. Solche professionellen Filter können auch Schadprogramme wie Portscanner und Keylogger erkennen.
Was die Verhaltensänderung angeht, empfiehlt Joshua Ashton, Direktor von Symposium IT, Unternehmen, dafür zu sorgen, dass die Mitarbeiter jede Aufforderung zur Preisgabe sensibler Informationen zunächst einmal kritisch betrachten und versuchen, die Authentizität der Quelle prüfen, bevor sie ihr Folge leisten.
Ausserdem sollten Firmen ihre Teams unbedingt mit den üblichen Anzeichen des Phishings vertraut machen und praktische Übungen dazu durchführen, da laut Russell Jonson „die menschliche Achtsamkeit immer erhöht werden kann“. Russell leitet ein internes Cybersicherheitsprogramm für Brother International Europe, an dem 1.500 Benutzer teilnehmen.
Die dazugehörige Pflichtschulung soll helfen, eine „menschliche Firewall“ zu errichten, und wird durch Tipps zur Schadensbegrenzung sowie durch Leitlinien und Artikel über die jüngsten Trends in diesem Bereich ergänzt. Ausserdem wird jeder Benutzer einmal im Monat mit Hilfe von KnowBe4 „gephisht“. Dieses System beurteilt die Phishing-Anfälligkeit eines Benutzers mit Hilfe von künstlicher Intelligenz nach vier verschiedenen Risikokriterien. Dank dieses Programms, das von der Belegschaft gut angenommen wurde, ist das Unternehmen nun dabei, den Branchenstandard bezüglich des prozentualen Anteils von „phishinganfälligen“ Mitarbeitern zu erreichen.
Möchten Sie mehr darüber erfahren?
