E-Mail-basierte Angriffe sind eine der Hauptkompromittierungen für Unternehmen, seit E-Mail weit verbreitet ist. Während es ursprünglich als Methode zur Bereitstellung von Malware zur Sabotage oder Verunstaltung von Unternehmenswerten begann, erkannten Angreifer schnell, dass es noch mehr zu gewinnen gab. Wenn Zugangsdaten zusammen mit Zahlungskartendaten und wertvollen ID-Daten in Reichweite waren, verwandelten sich E-Mail-Angriffe in E-Mail-Phishing-Angriffe.
Phishing wird am besten definiert als der Versuch, Zugang zu Informationen oder Zugangsdaten von Endbenutzern zu erhalten, indem man sich als potenziell legitime Quelle für E-Mails oder Anrufe ausgibt. Ein E-Mail-Phishing-Angriff wird häufig durch Nachahmung, Spoofing oder Domänenbesetzung durchgeführt, um eine E-Mail-Ursprungsadresse von einer legitimen Quelle wie Microsoft oder AWS erscheinen zu lassen. Der Angreifer hofft, dass der Benutzer auf einen Link in der E-Mail klickt und entweder Anmeldeinformationen bereitstellt oder eine angehängte Malware herunterlädt.
Das Herunterladen von Malware kann dem Angreifer einen kleinen Halt im Netzwerk geben, den er weiter eskalieren oder schwenken wird, um sich ohne Vorankündigung durch das Netzwerk zu bewegen. Einmal drinnen, kann der Angreifer an sensible Informationen gelangen oder etwas viel Schädlicheres wie Ransomware einsetzen.
E-Mail-Phishing ist zurück
Da es E-Mail-Phishing schon eine Weile gibt, gehen viele davon aus, dass es heute eine geringere Bedrohung darstellt als früher. Das Gegenteil ist wahr. Wie alles andere in der Cybersicherheit ist auch der Kampf gegen E-Mail-Phishing ein Katz-und-Maus-Spiel, bei dem die Verteidiger fast immer auf die Angreifer reagieren. Während Cybersicherheitsteams, Tools und Forschungsgruppen Muster identifizieren, um eine Organisation zu verteidigen, schwenken Angreifer um, um diese Verteidigung zu umgehen, und entwickeln neue Angriffsmethoden.
Phishing-Angriffe haben in den letzten Jahren wieder zugenommen. Viele Tools, einschließlich G-Suite und O365, bieten Ressourcen, um das Risiko eines Phishing-Angriffs zu mindern. Diese Tools eignen sich hervorragend zum Abfangen von Low-Tech-Massen-Phishing-Kampagnen durch maschinelles Lernen und Herdenwissen, aber sie sind nicht kugelsicher. Angreifer sind raffinierter geworden und verfügen über Techniken, die der anfänglichen Erkennung durch diese Tools entgehen können, sodass die Mitarbeiter an vorderster Front das Unternehmen verteidigen müssen. Die einzige wirkliche Möglichkeit für Unternehmen, sich selbst zu schützen, besteht darin, sicherzustellen, dass die Endbenutzer umfassend informiert sind und jede eingehende E-Mail genau beobachten.
Den Einfluss verstehen
Da Organisationen ihre Sicherheitslage und Präventionsfähigkeiten verbessert haben, ist es für Angreifer schwieriger geworden, darauf zuzugreifen. Aus diesem Grund sind die Angreifer wieder dazu übergegangen, Phishing als primären Zugangsweg in Organisationen zu nutzen.
Laut der Phishing-Studie von Ponemon 2021 sind die durchschnittlichen Phishing-Kosten von Unternehmen seit 5 fast um das Fünffache gestiegen. Außerdem hat sich der Produktivitätsverlust für die Mitarbeiter im gleichen Zeitraum verdoppelt. Produktivitätsverluste können dadurch entstehen, dass Anmeldeinformationen gesperrt werden, Systeme neu abgebildet werden müssen oder Benutzer während der Untersuchung nicht arbeiten können.
Da die größten Kosten die Arbeit sind, die erforderlich ist, um die Assets der betroffenen Benutzer wiederherzustellen und neu bereitzustellen, steigen die Kosten, wenn Mitarbeiter in eine entferntere Position wechseln.
Wenn Sicherheitsbewusstsein nicht ausreicht
Um E-Mail-Phishing-Betrug zu bekämpfen, bieten viele Unternehmen Schulungen zum Sicherheitsbewusstsein an, die Mitarbeiter darin unterstützen, häufige Angriffe zu erkennen und zu vermeiden. Aber die Beweise für seine Wirksamkeit sind gemischt. Umfragen zeigen, dass viele Mitarbeiter den Sicherheitsschulungen nicht die volle Aufmerksamkeit schenken. Darüber hinaus können lange Sitzungen Frustration und negative Assoziationen mit den für die Sicherheit erforderlichen Methoden hervorrufen.
Studien haben gezeigt, dass das Training kurz und regelmäßig sein muss, um effektiv zu sein. Da sich Phishing-Angriffe schnell verbessern, müssen Mitarbeiter üben, die neuesten Betrugsversuche zu erkennen. Aber selbst wenn dies bekannt ist, fehlt vielen Organisationen der Anreiz oder das Budget, um in das umfassende Sensibilisierungstraining zu investieren, das zur Reduzierung ihres Gesamtrisikos erforderlich ist.
Die beste Verteidigung
Das Problem des E-Mail-Phishing wird nicht verschwinden. Wie können sich Privatpersonen und Unternehmen vor Phishing-Angriffen schützen? Weit entfernt von einer einfachen Lösung ist die beste Verteidigung ein mehrgleisiger Ansatz.
Zu Beginn müssen Unternehmen Tools implementieren, die helfen, Phishing-Angriffe zu erkennen und zu entfernen, die leicht aus Posteingängen identifiziert werden können. Diese Methode ist effektiv, weil sie die Möglichkeit menschlicher Fehler reduziert. Selbst wenn Sicherheitsschulungen fehlen, kann ein Unternehmen einen Angriff überleben, wenn es nie den Posteingang eines Mitarbeiters erreicht.
Der nächste Schritt ist die Implementierung eines soliden Schulungs- und Schulungsprogramms für Mitarbeiter zum Erkennen und Melden von Phishing-Angriffen. Letzteres ist kritisch und wird leicht übersehen. Eine aktive -Schleife, damit das Unternehmen fehlgeschlagene Phishing-Versuche überprüfen kann, kann der IT helfen, das Netzwerk in Zukunft vor ähnlichen Angriffen zu schützen. Mitarbeitersicherheitsschulungen sollten Präsentationen und praktische Übungen durch Simulation umfassen.
Organisationen müssen erklären, dass simulierte Phishing-Schulungen nicht dazu gedacht sind, eine Person zu erwischen, sondern ihnen dabei helfen, zu verstehen, wie sie Phishing erkennen und ihre Sicherheitsfähigkeiten weiter verbessern können. Schließlich sollte eine Organisation versuchen, zusätzliche Reaktionstools und Protokolle zu implementieren, die die Überwachung der Benutzeraktivität beinhalten.
Was kommt als nächstes für Phishing?
Während Organisationen Tools, Präventions- und Erkennungsfähigkeiten verbessern, werden wir weiterhin sehen, wie sich Angreifer weiterentwickeln. Wir erwarten weitere Low-Tech-Phishing-Kampagnen mit Schrotflinten von Organisationen, die hoffen, durch die Erkennung zu schlüpfen und nur eine Person zu fangen.
Es ist jedoch wahrscheinlicher, dass Angreifer umschwenken, um einer neuen Welle von Taktiken und Technologien zu begegnen. Diese Entwicklung findet jetzt statt. Immer mehr Phishing-Angriffe erfolgen per SMS (Smishing), um Unternehmenskontrollen zu umgehen. Laut Cybersecurity Advisory Netzwerk versichert, werden wir auch eine stärkere Nutzung von Open-Source-Intelligenz sehen, um vertrauenswürdige Anbieter nachzuahmen oder sogar einen Anbieter zu kompromittieren, damit Angriffe gegen seine Kunden gestartet werden können.
Unabhängig vom aktuellen Angriffstrend ist davon auszugehen, dass Phishing einer der größten Angriffsvektoren für Angreifer bleiben wird.
