Thought Leadership
Laut Angaben des FBI haben Beschwerden zu Online-Scams und Anlagebetrug aktuell einen Rekordstand erreicht. Beim Internet Crime Complaint Center (IC3) des FBI ging am 15. Mai 2021 die sechsmillionste Beschwerde ein.
So dauerte es annähernd sieben Jahre, bis das IC3 seine erste Million registrierte, bis zur letzten dauerte es lediglich 14 Monate.
Nach Angaben der US-Behörde stieg die jährliche Anzahl von Beschwerden allein zwischen 2019 und 2020 um fast 70 %. Bei den meisten der gemeldeten Straftaten handelte es sich um Phishing-Scams, Betrügereien im Zusammenhang mit nicht erfolgten Zahlungen oder Lieferungen sowie Erpressungsversuche.
Dazu ein Kommentar von Hank Schless, Lookout:
„Auch wenn in einigen Teilen der Welt die Pandemie überwunden scheint und Belegschaften zumindest teilweise wieder ins Büro zurückkehren, werden uns die hybriden Arbeitsmodelle sicherlich noch für lange Zeit erhalten bleiben. Das heißt, Firmenangehörige werden weiterhin private und nicht verwaltete Geräte außerhalb des herkömmlichen Unternehmensperimeters verwenden. Diese Geräte hinsichtlich potenzieller Risiken zu überwachen, gestaltet sich schwierig. Mittlerweile erwarten Mitarbeiter, dass sie von jedem Ort und mit jedem Gerät auf praktisch jede Ressource zugreifen können. Unternehmen mit einer komplexen hybriden Infrastruktur stehen vor der Herausforderung, einen gleichermaßen sicheren Zugriff für alle Ressourcen zu gewährleisten.
Cloud-Apps und Cloud-Infrastrukturen sind mit modernen Identity- und Access-Management-Tools integriert. Das sind viele der älteren On-Premises-Lösungen nicht. Sicherheitsteams sollten in der Lage sein, die Vorzüge einer cloudbasierten Infrastruktur auf lokale Ressourcen auszuweiten. Angreifer wissen, wenn sie ein Konto oder Gerät über einen persönlichen Kanal kompromittieren können, haben sie potenziell Zugriff auf Unternehmensdaten. Entweder auf solche, die auf dem Gerät gespeichert sind oder solche, mit denen das Gerät über Tools wie beispielsweise ein VPN verbunden ist.
Der FBI-Report stellt fest, dass kompromittierte geschäftliche E-Mails, Romance-Scams und Vertrauensmissbrauch sowie Anlagebetrug zu den häufigsten Angriffsformen mit finanziellen Verlusten gehören. Mobile Endgeräte sind aufgrund von Art und Umfang der vorgehaltenen Daten das perfekte Ziel. Angreifer sammeln Kontaktlisten, greifen Anmeldeinformationen ab, tragen Informationen aus privaten Unterhaltungen und Social-Media-Inhalten zusammen. Alles gut geeignet, um nachfolgende Angriffe zu planen. Solche Phishing-Angriffe werden manchmal sogar vom infizierten Gerät eines Kollegen oder Freundes gestartet, was die Erfolgsaussichten deutlich erhöht.
Böswillige Akteure suchen nach möglichst unauffälligen Wegen, um einzelne Benutzer oder Unternehmen zu kompromittieren. Während viele der im aktuellen FBI-Bericht genannten Angriffe auf private Apps wie SMS, Dating-Apps und soziale Medien erfolgten, geht ein erfolgreicher Phishing-Versuch sehr viel weiter. Kann ein Angreifer sich in den Besitz von gültigen Anmeldeinformationen eines Mitarbeiters bringen, erhält er legitimen Zugriff auf die Unternehmensinfrastruktur – und bleibt dabei unentdeckt.
Die wichtigste Taktik beim Diebstahl von Anmeldeinformationen sind mobile Phishing-Angriffe.
Smartphones und Tablets werden in der überwiegenden Zahl sowohl beruflich als auch privat genutzt. Da heißt, ein Mitarbeiter kann über verschiedene Apps wie SMS, Social Media-Plattformen und Messaging-Apps angegriffen werden. Die vereinfachte Benutzeroberfläche eines Handys oder Tablets verbirgt zudem mögliche Anzeichen für Phishing. Das macht die Geräte zum idealen Ziel von
Phishing-Kampagnen über Social-Engineering. Und nur, weil der erste Angriff sich gegen ein Mobilgerät richtet, heißt das noch lange nicht, dass der Angreifer dort bleibt.
Mit den gestohlenen Anmeldeinformationen kann er beispielsweise versuchen, sich bei einer
beliebigen Anzahl von Cloud Apps oder Plattformen wie AWS, Google Drive oder Office365 anzumelden.
Unternehmen sollten unbedingt sicherstellen, dass unbefugte Benutzer nicht auf ihre Infrastruktur zugreifen. Zero Trust-Richtlinien, gehen davon aus, dass ein Benutzer oder Gerät so lange als nicht vertrauenswürdig gilt, bis dieser Nachweis erbracht ist. Ein Modell, das hilft, Risiken zu senken. Über einen Zero Trust Network Access (ZTNA) haben Firmen die Möglichkeit, Zugriffsrichtlinien zu implementieren, und sich den Kontext anzusehen, innerhalb dessen ein Gerät beziehungsweise ein Benutzer versucht, auf das Unternehmensnetzwerk zuzugreifen. So erkennt man anomale Aktivitäten wie einen unüblichen Anmeldeort oder eine Malware noch bevor das Gerät sich mit dem Netzwerk verbindet.“
