Anzeige

Phishing

Vor einigen Tagen fand die European Conference on Information Systems (ECIS) in Marrakesch statt. Dort wurden zahlreiche neue IT-Trends besprochen und Studien vorgestellt, unter anderem eine Studie der Universität Darmstadt zur Anfälligkeit von Mitarbeitern für Phishing-Attacken.

In dieser wurde festgestellt, dass Arbeitnehmer, die mehr Zeit auf Social Media verbringen, anfälliger für Attacken sind.

Phishing wird schon seit Jahrzehnten genutzt um private Informationen wie Passwörter und Bankdaten von ahnungslosen Opfern zu bekommen. Bei Phishing werden meist E-Mails oder andere private Nachrichten mit gefährlichen Links oder Anhängen verschickt, die angeblich vertrauenswürdige Websites und Dokumente beinhalten. Mit diesen soll das Opfer dazu gebracht werden vertrauensvolle Daten freiwillig an den oder die Täter weiterzugeben.

Da solche Mails und Websites sehr einfach und kostengünstig zu erstellen sind und Phishing sehr einfach skaliert werden kann, ist es eine sehr beliebte Methode, um schnell an möglichst viele private Daten zu gelangen. Phishing kann sowohl gezielt auf bestimmte Unternehmen oder Privatpersonen als auch ungezielt auf zufällige Nutzer stattfinden.

 

Mehr Informationen für bessere Erfolgsquote

Phishing funktioniert umso besser, umso mehr Informationen der Angreifer über sein potenzielles Opfer hat. Denn umso individueller die E-Mail oder Nachricht gestaltet ist, desto höher ist die Wahrscheinlichkeit, dass das Opfer bereit dazu ist Daten von sich selbst freizugeben. Falls jemand z.B. eine E-Mail der Volksbank bekommt, aber da gar kein Kunde ist, wird er sie wahrscheinlich ignorieren. Wenn er eine Mail der Sparkasse bekommt, dort ein Konto hat, mit vollem Namen adressiert wird und auch sein Geburtsdatum und sein Geburtsort erwähnt werden, wird er die Mail wahrscheinlich sehr ernst nehmen und gegebenenfalls private Daten weitergeben.

Social Media Nutzer sind deshalb besonders gefährdet. Denn besonders junge Menschen, die ihren Instagram Abonnenten regelmäßig mitteilen, wo sie Urlaub machen, welche Hobbys sie verfolgen und wo sie am liebsten online shoppen, bieten so eine große Angriffsfläche für böswillige Attacken. Durch das Ausspionieren eines Facebook oder Instagram Profils gelangen Angreifer oftmals an genügend persönliche Informationen, um eine maßgeschneiderte E-Mail an ihr Opfer zu versenden.


Coronapandemie und Datenleaks verstärken Phishing-Attacken

Als Folge mehrerer Lockdowns durch Covid-19 verlagerten viele Erwerbstätige ihre Arbeit vom Büro an den Heimrechner. Das Fehlen von unternehmensinternen Sicherheitsmaßnahmen, sowie die technische Unerfahrenheit vieler Arbeitnehmer, welche plötzlich gezwungen waren sich zu digitalisieren, führten 2020 zu einer Erhöhung von Phishing-Angriffen und anderen Cyberattacken auf Mitarbeiter. Multinationale Großkonzerne waren dabei genauso betroffen wie KMU.

Gleichzeitig kam es zu mehreren größeren Hackerangriffen auf LinkedIn und Facebook, in deren Folge mehr als eine Milliarde Nutzerdaten veröffentlicht wurden. Kurz darauf kam es weltweit vermehrt zu Phishing-Attacken, besonders in Form betrügerischer SMS, da durch die Datenleaks zahlreiche Telefonnummern veröffentlicht wurden. Doch nicht nur Hacker, sondern auch Social Media Nutzer sind in zahlreichen Fällen selbst an Attacken auf sich schuld. Seit Beginn der globalen Impfkampagne ist es fast schon zum Trend geworden, Zertifikate und vertrauliche Dokumente als Beweis für eine erfolgreiche Impfung öffentlich zu posten. Auf diesen Dokumenten sind dann oftmals Geburtsdatum, -ort und Vor- und Nachtname zu erkennen. Solche Daten allein bringen einem Cyberkriminellen noch nichts, können aber in Verbindung mit Phishing genutzt werden, um das Vertrauen des Opfers zu bekommen.
 

Unvorsichtige Mitarbeiter sind Angriffspunkt für Unternehmen

Doch Kriminelle nutzen längst nicht mehr nur traditionelle soziale Netzwerke wie Instagram und Facebook zur Informationsbeschaffung. Auch LinkedIn, Kununu und Glassdoor werden genutzt, um Arbeitnehmer zu erreichen die nicht oder nur sehr wenig auf Social Media unterwegs sind. Informationen dieser Mitarbeiter können dann genutzt werden, um mit Phishing-Mails oder Social Engineering an die internen Daten von Unternehmen zu gelangen. In den Zeiten von Industrie 4.0 hat dies selbst bei Beschäftigten von KMU hohe Erfolgschancen für den Angreifer, da durch auch kleinere Unternehmen oftmals Daten von großen Dienstleistern hinterlegt haben.
 

Attacken sollten nicht unterschätzt werden

In der Regel sind die meisten Phishing-Angriffe amateurhaft ausgeführte Versuche von Kriminellen in Entwicklungsländern wie Indien oder Bangladesch, um relativ schnell an Geld von technisch unerfahrenen, meist älteren, Menschen zu gelangen. Diese landen meist ohne Umwege im Spam-Ordner. Doch gerade deshalb wirken professionelle, gut recherchierte und individuell zusammengestellte Phishing-Mails, die kaum von legitimen E-Mails zu unterscheiden sind, oftmals sehr überzeugend.

Phishing führte 2019 bei 23 % aller deutschen Unternehmen zu einem Schaden. Denn nach einer erfolgreichen Phishing-Attacke müssen Passwörter ausgetauscht, Daten vernichtet und ganze Systeme neu eingerichtet werden. 75 % aller Betriebe waren von Cyberkriminalität betroffen und die Dunkelziffer liegt vermutlich bei etwa 90 %, da viele Attacken unbemerkt stattfanden. Auch in Zukunft werden Phishing und Cyberkriminalität insgesamt nicht ab-, sondern viel mehr zunehmen. Um diese zu verhindern, benötigt es neben neuartigen Sicherheitsvorkehrungen mit KI und Blockchain vor allem eins: technisch versierte Mitarbeiter, die potenzielle Angriffe erkennen können und entsprechend reagieren. 


Artikel zu diesem Thema

IoT-Security
Jul 21, 2021

Sicherheit für das Industrial IoT: Schließen von Datenlecks im Industriesektor

Oft werden beim Internet der Dinge (IoT) vernetzte Smart Home Appliances und persönliche…

Weitere Artikel

Hacker Corona

Corona-Virus als Treiber für Cyberangriffe

Tenable hat die Ergebnisse einer Studie veröffentlicht, nach der 78 % der deutschen Unternehmen die jüngsten geschäftsschädigenden Cyberangriffe auf Schwachstellen in Technologien zurückführen, die während der Corona-Pandemie eingeführt wurden.
Cyber Security

Cybercrime: Worum sich Unternehmen jetzt kümmern sollten

Online-Betrug ist so präsent wie nie zuvor. Allein im Bereich E-Commerce sind neun von zehn Händlern in Deutschland, Österreich und der Schweiz im vergangenen Jahr mit Betrug oder entsprechenden Versuchen konfrontiert worden, wie die Studie „Betrug im…
LKW

Fortschrittliche LKW-Technologie begünstigt Cyberangriffe

Je mehr Hightech in LKW-Flotten verbaut wird, desto effizienter wird das Flottenmanagement. Hinzu kommen Sicherheitsaspekte im Straßenverkehr. Doch mit der Vernetzung steigen auch die Risiken für einen Cyberangriff auf die Logistikbranche.
Digitale Forensik

Digitale Forensik gewinnt an Bedeutung

Die Digital Forensics Umfrage 2021 vor beschäftigt sich mit der Professionalisierung des Berufszweigs und der Bewertung der Fähigkeiten durch die Befragten. Die Umfrage zeigt, dass die meisten der 370 Umfrage-Teilnehmer grundlegende Fähigkeiten und Wissen…
Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.