Phishing-Angriffe sind die häufigste Form von Cyberangriffen. Warum? Die Einfachheit von E-Mails bietet Cyberkriminellen einen einfachen Weg dorthin, so dass sie die Benutzer ohne defensive Barrieren direkt erreichen, irreführen, Anmeldeinformationen sammeln und bösartige Elemente verbreiten können.
Alle Organisationen denken, dass es ihnen nicht passieren wird, aber Phishing ist keine Falle, die nur die Leichtgläubigen oder diejenigen, die mit Technologie nicht vertraut sind, einfängt. Weit gefehlt. Vorbei sind die Zeiten schlecht formulierter, offensichtlich offensichtlicher Versuche, Benutzer um ihr hart verdientes Geld zu betrügen. Einige der ausgeklügeltsten Phishing-Angriffe von heute sind fast nicht mehr von legitimer Geschäftskommunikation zu unterscheiden – sie sind gut geschrieben, gründlich recherchiert und stellen einen Kommunikationskanal mit dem Opfer her, bevor sie versuchen, ihre Anmeldeinformationen oder ihr Bankguthaben zu stehlen.
E-Mail ist der größte Angriffsvektor, der von Gegnern genutzt wird, die eine Vielzahl fortschrittlicher Social Engineering-Techniken einsetzen, um ihr Ziel zu erreichen.
Betrug bei der Umleitung von Zahlungen
Cyberkriminelle geben sich oft als Lieferant aus und fordern die Zahlung von Rechnungen an alternative Bankverbindungen. Sie können sich auch als Mitarbeiter ausgeben und die Personalabteilung bitten, ihr Gehalt auf ein anderes Konto zu zahlen. Betrug bei der Umleitung von Zahlungen richtet sich sowohl gegen Unternehmen als auch gegen Einzelpersonen, und die Ergebnisse können verständlicherweise verheerend sein.
Es hat wenig Sinn, jemanden aufzufordern, eine Banküberweisung vorzunehmen oder Zahlungsdaten zu ändern, die nicht dazu berechtigt sind – Bedrohungsakteure richten sich an Finanz- und HR-Teams, die erwarten würden, Zahlungen zu bearbeiten und Änderungen an persönlichen Kontodaten vorzunehmen, so dass sie eher der betrügerischen Anfrage entsprechen.
CEO Betrug
Die Vortäuschung eines VIP – oft der CEO oder Geschäftsführer – ist ein großes Geschäft für Betrüger, da man weiß, dass der Empfänger die Anfrage oft sofort bearbeiten wird. CEO Betrug
Die Vortäuschung eines VIP – oft der CEO – ist ein großes Geschäft fü Gegenspieler, da man weiß, dass der Empfänger die Anfrage oft sofort bearbeiten wird. Bedrohungsakteure recherchieren ihr Führungsziel gründlich, um sicherzustellen, dass ihre manipulierte E-Mail so überzeugend wie möglich ist, so dass sie eine größere Erfolgschance hat. Sie setzen auf das implizite Vertrauen der Nutzer in ihre Vorgesetzten, sie zu zwingen, wirtschaftlich sensible Informationen, persönliche Informationen oder Bankkontodaten bereitzustellen.
Diese betrügerischen Anfragen vermitteln oft ein Gefühl der Dringlichkeit und implizieren, dass die Interaktion nur per E-Mail erfolgen kann – das Opfer hat daher keine Zeit, die Gültigkeit der Anfrage in Frage zu stellen und kann den CEO nicht anrufen, um zu bestätigen, ob sie echt ist.
Walfang (Whaling)
Der Walfang ist das Gegenteil von CEO-Betrug und zielt eher auf leitende Angestellte als auf sie ab. Diese Ziele sind oft die Entscheidungsträger in einem Unternehmen, die die Befugnis haben, ohne weitere Genehmigungsstufen grünes Licht für Finanztransaktionen und Geschäftsentscheidungen zu geben. Diese Phishing-Angriffe werden gründlich recherchiert, enthalten personalisierte Informationen über das Unternehmen oder die Person und werden in der Tonart des Unternehmens geschrieben, wobei eine flüssige Geschäftsterminologie verwendet wird, die dem VIP-Ziel bekannt ist.
Speer-Phishing
Die vielleicht am weitesten verbreitete Form des E-Mail-basierten Cyberattacks, Speer-Phishing, richtet sich an Einzelpersonen und bestimmte Unternehmen mit Links zu Websites zum Sammeln von Berechtigungen oder Anfragen nach vertraulichen Informationen, wie Bankverbindungen und persönlichen Daten. Angreifer untersuchen die Online-Präsenz ihres Opfers, um spezifische Informationen aufzunehmen, die ihrer Anfrage Glaubwürdigkeit verleihen, wie z.B. den Vorwand, von einem Streaming-Dienst zu stammen, bei dem das Opfer abonniert ist, oder einem Lieferanten, der dem Zielunternehmen bekannt ist.
Sexualerpressung (Sextortion)
Nicht alle Phishing-Angriffe sind subtil. Eine Form der Cyber-Erpressung, Sextortion ist, wenn Cyberkriminelle ihrem Ziel eine E-Mail schreiben, in der sie behaupten, Beweise dafür zu haben, dass sie X-bewertete Handlungen oder Straftaten begehen, und eine Zahlung verlangen, um die Kriminellen daran zu hindern, die Beweise mit der Familie oder dem Arbeitgeber ihres Opfers zu teilen.
Angreifer zählen darauf, dass es ihrem Opfer zu peinlich ist, irgendjemandem von der E-Mail zu erzählen (obwohl sie nichts Falsches getan haben), weil es ein Tabuthema ist, über das sich die meisten nicht wohlfühlen würden, mit anderen zu sprechen. Sie lassen die E-Mail oft so aussehen, als täten sie ihrem Opfer einen Gefallen, indem sie die Details für sich behalten. Das Opfer kann sich entscheiden, mit der Zahlung zu beginnen, um peinliche Details über ihr Privatleben zu stoppen, die öffentlich gemacht werden, unabhängig davon, ob sie wahr sind oder nicht. Zahlungen werden in der Regel in Bitcoin verlangt, so dass die Transaktion nicht nachvollziehbar ist, d.h. der Gegner nicht identifiziert werden kann.
Aber wenn das Opfer weiß, dass es unschuldig ist, warum funktionieren dann diese Angriffe immer noch? Es geht um Glaubwürdigkeit – Angreifer sammeln E-Mail-Adressen und Passwörter von früheren Cyberangriffen, die im Internet verfügbar sind, und nehmen sie in ihre E-Mails auf, um die Glaubwürdigkeit zu erhöhen. Wenn ein Angreifer E-Mails verschickt, von denen Sie behaupten, eines Ihrer Passwörter zu kennen, und es zum Nachweis mit einbezieht, werden Sie eher glauben, dass der Rest der E-Mail echt ist.
Fazit
Diese häufigen Arten von Social Engineering-Angriffen können von keiner Organisation ignoriert werden – diese Bedrohungen sind sehr real und werden nicht so schnell verschwinden. E-Mail-Sicherheit und Bedrohungsschutz können durch den Einsatz mehrerer ausgeklügelter Erkennungsmodule und Quellen für Bedrohungsinformationen transformiert werden; die Mitarbeiter sollten nicht das Risiko tragen müssen, diese Bedrohungen zu identifizieren und im Wesentlichen die Lücken in fehlerhaften Cybersicherheitsstrategien zu schließen. Unternehmen müssen E-Mails als das ernste Sicherheitsrisiko betrachten und damit beginnen, geeignete Maßnahmen zu ergreifen.
Betrugserkennung und Inhaltskontrolle in Echtzeit heben automatisch Phishing- und Social-Engineering-Techniken hervor, die die Benutzer entlasten und stattdessen die Technologie ihre Arbeit verrichten lassen. Darüber hinaus ermöglicht die Technologie, dass potenziell betroffene E-Mails – wie z.B. solche, die versuchen, Anmeldeinformationen zu sammeln, Benutzer zu täuschen oder bösartige Elemente zu verbreiten – automatisch markiert werden, so dass Mitarbeiter schnelle, sachkundige und zuverlässige Entscheidungen darüber treffen können, ob der E-Mail vertraut werden soll.
Mit einer so ausgereiften Technologie und einer wachsenden Bedrohungslandschaft, die keine Anzeichen einer Verlangsamung zeigt, ist es an der Zeit für Unternehmen, Veränderungen vorzunehmen und sich angemessen vor eingehenden Angriffen zu schützen.