Phishing ist einer der Schlüsselbereiche, in denen wir Sicherheitsexperten enorme Investitionen und Innovationen durch Cyberkriminelle Organisationen sehen – wer auch immer sie sind und was auch immer sie damit erreichen wollen. Dies führt sowohl zu einer gefühlten Erhöhung der Quantität als auch der Qualität der Angriffe. Einige Zahlen unterstützen dieses „Gefühl“, vor allem der Zunahme der Quantität, andere jedoch nicht.
Kommentar von Detlev Weise, Managing Director bei KnowBe4:
Deshalb macht es Sinn, einen kurzen Blick in einige Berichte von deutschen Sicherheitsbehörden zu werfen, um einen besseren Eindruck davon zu bekommen, wie sich für diese die Situation darstellt: Der aktuelle Bericht des Bundeskriminalamtes z.B. besagt, dass die Gesamtzahl der Phishing-Attacken im Online-Banking eher abnimmt, verglichen mit 2016 waren es satte 34,5 Prozent weniger Angriffe (1.425 Phishing-Kampagnen im Jahr 2017) in Deutschland. Der finanzielle Schaden durch diese Anschläge beträgt im Durchschnitt 4.000 Euro pro Opfer, damit ist diese Zahl im Vergleich zum Vorjahr gleichgeblieben.[1]
Diese Werte würden das Argument stützen, dass Phishing in der Qualität wächst, aber das Argument, dass diese auch in der Quantität zunehmen, eher ad absurdum führen.
Der kürzlich vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte Bericht zur Lage der IT-Sicherheit in Deutschland 2018 enthält keine Zahlen, dafür aber einige interessante Informationen über den Qualitätsaspekt. Cyberkriminelle haben im letzten Jahr einen Weg gefunden, E-Mails des BSI sowie URLs nachzuahmen und gefälschte E-Mails mit Informationen und einem Update-Link an Verbraucher zu senden.
Diese Updates sollten angeblich Spectre- und Meltdown-Schwachstellen beheben helfen. Stattdessen verbarg sich dahinter eine Schadsoftware. Das BSI hat keine Zahlen veröffentlicht über E-Mail-Benutzer, die mit dieser Malware infiziert wurden oder wie viele eine gefälschte E-Mail mit der gefälschten URL erhalten haben. Dennoch, diese Geschichte fügt also einen Pluspunkt für die Qualitätsseite hinzu.[2] Abschließend, so heißt es dann im Bericht, gibt es keine Anzeichen dafür, dass die Gefahr des Phishings abnimmt. Es ist vielmehr so, dass das BSI insgesamt keinen Rückgang der Phishing-Bedrohung sieht.[3]
Andere Berichte von Herstellern wie McAfee deuten außerdem darauf hin, dass sich die Phishing-Bedrohung von PCs und Laptops auf mobile Geräte mit speziellen Kampagnen, genannt Smishing, verlagert. Hier verwenden die Angreifer SMS, um die Opfer dazu zu bringen, auf bösartige Links zu klicken, die in die SMS integriert sind. Der Trick besteht darin, den Smartphone-Benutzer dazu zu bringen, eine bösartige Anwendung herunterzuladen, um eine per SMS angekündigte Voicemail abhören zu können. Die App wird dann verwendet, um dem Angreifer den Zugriff auf das lokale Netzwerk zu ermöglichen, mit dem das Smartphone verbunden ist.[4]
Vor diesem Hintergrund können wir also nicht von einer echten Abnahme des Phishings in Deutschland sprechen, aber wir sehen auch keine Zunahme, sondern eher eine Verschiebung – eine Verschiebung von stationären Geräten in die mobile Welt.
Außerdem wächst die Qualität der Angriffe, was bedeutet, dass weniger Rechtschreibfehler, bessere Phishing-E-Mail-Adressen und nicht zuletzt auch gefälschte regierungsbezogene URLs von den Cyberkriminellen verwendet werden. Im Hinblick auf den Erfolg bleibt der Betrag des den Opfern entstandenen Schadens anscheinend eher gleich, zumindest im Hinblick auf die Zahlen des BKA.
Phishing verschwindet daher nicht, es bleibt ein Problem und wir müssen weiterhin und mehr in die Aufklärung der Menschen z.B. mit Security Awareness-Trainings investieren. Nur dann verstehen Mitarbeiter und Verbraucher, was Phishing ist und wie es erkannt werden kann. Dies um so mehr, da die Qualität der gefälschten E-Mails und URLs aufgrund besser vorbereiteter Angriffe durch gezieltes Social Engineering (u.a. durch die Nutzung der in Social Media verfügbaren personenbezogenen Informationen) eher ansteigt als abnimmt.
[1] BKA Lagebild Cybercrime 2017, S. 2. [1] BSI Lagebild IT-Sicherheit 2018, S. 47. [1] BSI Lagebild IT-Sicherheit 2018, S. 91. [1] https://www.it-daily.net/shortnews/19788-gefahr-aus-den-usa-android-timpdoor-smishing-kampagneFoto: https://pixabay.com/de/
Fachartikel
ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee
Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS
CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen
Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien
Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum
2023 State of the Cloud Report
Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher
Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper
Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise
Aufkommende Trends in der externen Cyberabwehr
Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Aktueller Datenschutzbericht: Risiko XXL am Horizont
Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen
Unter4Ohren
Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS
DDoS – der stille Killer
Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
