Zu viel „Phish“ im Teich: Warum uns Phishing weiter beschäftigt

Phishing ist einer der Schlüsselbereiche, in denen wir Sicherheitsexperten enorme Investitionen und Innovationen durch Cyberkriminelle Organisationen sehen – wer auch immer sie sind und was auch immer sie damit erreichen wollen. Dies führt sowohl zu einer gefühlten Erhöhung der Quantität als auch der Qualität der Angriffe. Einige Zahlen unterstützen dieses „Gefühl“, vor allem der Zunahme der Quantität, andere jedoch nicht.

Kommentar von Detlev Weise, Managing Director bei KnowBe4: 

Deshalb macht es Sinn, einen kurzen Blick in einige Berichte von deutschen Sicherheitsbehörden zu werfen, um einen besseren Eindruck davon zu bekommen, wie sich für diese die Situation darstellt: Der aktuelle Bericht des Bundeskriminalamtes z.B. besagt, dass die Gesamtzahl der Phishing-Attacken im Online-Banking eher abnimmt, verglichen mit 2016 waren es satte 34,5 Prozent weniger Angriffe (1.425 Phishing-Kampagnen im Jahr 2017) in Deutschland. Der finanzielle Schaden durch diese Anschläge beträgt im Durchschnitt 4.000 Euro pro Opfer, damit ist diese Zahl im Vergleich zum Vorjahr gleichgeblieben.[1]

Diese Werte würden das Argument stützen, dass Phishing in der Qualität wächst, aber das Argument, dass diese auch in der Quantität zunehmen, eher ad absurdum führen. 

Der kürzlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Bericht zur Lage der IT-Sicherheit in Deutschland 2018 enthält keine Zahlen, dafür aber einige interessante Informationen über den Qualitätsaspekt. Cyberkriminelle haben im letzten Jahr einen Weg gefunden, E-Mails des BSI sowie URLs nachzuahmen und gefälschte E-Mails mit Informationen und einem Update-Link an Verbraucher zu senden.

Diese Updates sollten angeblich Spectre- und Meltdown-Schwachstellen beheben helfen. Stattdessen verbarg sich dahinter eine Schadsoftware. Das BSI hat keine Zahlen veröffentlicht über E-Mail-Benutzer, die mit dieser Malware infiziert wurden oder wie viele eine gefälschte E-Mail mit der gefälschten URL erhalten haben. Dennoch, diese Geschichte fügt also einen Pluspunkt für die Qualitätsseite hinzu.[2] Abschließend, so heißt es dann im Bericht, gibt es keine Anzeichen dafür, dass die Gefahr des Phishings abnimmt. Es ist vielmehr so, dass das BSI insgesamt keinen Rückgang der Phishing-Bedrohung sieht.[3]

Andere Berichte von Herstellern wie McAfee deuten außerdem darauf hin, dass sich die Phishing-Bedrohung von PCs und Laptops auf mobile Geräte mit speziellen Kampagnen, genannt Smishing, verlagert. Hier verwenden die Angreifer SMS, um die Opfer dazu zu bringen, auf bösartige Links zu klicken, die in die SMS integriert sind. Der Trick besteht darin, den Smartphone-Benutzer dazu zu bringen, eine bösartige Anwendung herunterzuladen, um eine per SMS angekündigte Voicemail abhören zu können. Die App wird dann verwendet, um dem Angreifer den Zugriff auf das lokale Netzwerk zu ermöglichen, mit dem das Smartphone verbunden ist.[4]

Vor diesem Hintergrund können wir also nicht von einer echten Abnahme des Phishings in Deutschland sprechen, aber wir sehen auch keine Zunahme, sondern eher eine Verschiebung – eine Verschiebung von stationären Geräten in die mobile Welt. 

Außerdem wächst die Qualität der Angriffe, was bedeutet, dass weniger Rechtschreibfehler, bessere Phishing-E-Mail-Adressen und nicht zuletzt auch gefälschte regierungsbezogene URLs von den Cyberkriminellen verwendet werden. Im Hinblick auf den Erfolg bleibt der Betrag des den Opfern entstandenen Schadens anscheinend eher gleich, zumindest im Hinblick auf die Zahlen des BKA. 

Phishing verschwindet daher nicht, es bleibt ein Problem und wir müssen weiterhin und mehr in die Aufklärung der Menschen z.B. mit Security Awareness-Trainings investieren. Nur dann verstehen Mitarbeiter und Verbraucher, was Phishing ist und wie es erkannt werden kann. Dies um so mehr, da die Qualität der gefälschten E-Mails und URLs aufgrund besser vorbereiteter Angriffe durch gezieltes Social Engineering (u.a. durch die Nutzung der in Social Media verfügbaren personenbezogenen Informationen) eher ansteigt als abnimmt.

[1] BKA Lagebild Cybercrime 2017, S. 2.

[1] BSI Lagebild IT-Sicherheit 2018, S. 47.

[1] BSI Lagebild IT-Sicherheit 2018, S. 91.

[1] https://www.it-daily.net/shortnews/19788-gefahr-aus-den-usa-android-timpdoor-smishing-kampagne 

Foto: https://pixabay.com/de/