Was können wir tun, um die heutige Phishing-Epidemie einzudämmen?

Die Schlagzeilen über Cybersicherheit in den letzten Wochen wurden von ausgeklügelten Spionagekampagnen der Nationalstaaten dominiert. Und während diese Vorfälle einige wichtige Fragen zur Sicherheit der Lieferkette in einer globalen Wirtschaft aufwerfen, hatte ich eine andere Geschichte im Auge – eine, die die Bedrohung hervorhebt, der Unternehmen durch Phishing und Account Takeover ausgesetzt sind. Viele von Ihnen werden diese Geschichte schon einmal gehört haben, aber das macht sie nicht weniger wichtig – vor allem, da das Bewusstsein weiterhin hinterherhinkt.

Die gute Nachricht ist, dass Sie eine Menge tun können, um Ihr wertvollstes Gut zu schützen, indem Sie den Phishern das Handwerk legen. Technologien, die auf künstlicher Intelligenz beruhen, sind bereits heute im Einsatz und zeigen Wirkung, ebenso wie traditionellere Maßnahmen wie die Verbesserung der Mitarbeiterschulung.

Schlüssel zur Beute

Die meisten Hacker sind auf der Suche nach dem schnellstmöglichen und billigsten ROI für ihre Angriffe. Das ist es, was Phishing zu einer so großartigen Strategie macht. Sie nutzt das wohl schwächste Glied in der Sicherheitskette eines Unternehmens aus, nämlich die Mitarbeiter. Ein neuer Bericht veranschaulicht einige der wichtigsten Herausforderungen und das Ausmaß des Problems. Er enthält eine Analyse von fast 50.000 echten Phishing-Kampagnen, die auf Unternehmen in 23 Branchen abzielten.

Kontoinformationen sind die digitalen Schlüssel, die den Zugriff auf sensible Kundendaten und Unternehmens-IP freischalten. So ist es vielleicht nicht überraschend, dass die Hälfte der von diesen Firmen als bösartig eingestuften E-Mails mit Versuchen in Verbindung gebracht wurde, Login- und Systeminformationen von Benutzern zu sammeln. Wenn Sie ein privilegiertes Konto kompromittieren, könnten Sie auf der Überholspur zu lukrativen Unternehmensdaten sein. 93 % aller im letzten Jahr von Verizon analysierten Datenlecks waren auf Phishing zurückzuführen.

Ein Klick genügt

Phishing funktioniert in der Regel so, dass ein seriöser Absender vorgetäuscht wird, z. B. eine Bank oder sogar ein Kollege, und oft ein Gefühl der Dringlichkeit vermittelt wird, sodass der Benutzer das Gefühl hat, er habe wenig Zeit zum Nachdenken, bevor er klickt. Einige sind sehr zielgerichtet, aber auch die massenhaft verschickten allgemeinen Mails können relevante Informationen enthalten. „Rechnung“ tauchte offenbar in sechs der zehn effektivsten Phishing-Kampagnen im Jahr 2018 auf. Durch das Anklicken gelangt der Benutzer möglicherweise zu einer gefälschten Website, auf der die wichtigen Kontoanmeldeinformationen angefordert werden. Oder es könnte einen verdeckten Download von Malware auslösen. Fast ein Viertel (21 %) der gemeldeten Crimeware-E-Mails, die in dieser Analyse untersucht wurden, enthielten offenbar bösartige Anhänge.  

Sie könnten Informationsdiebstahl, Hintertüren oder sogar Ransomware enthalten. Über ein Drittel der globalen Organisationen, die Barracuda Networks für seinen Bericht „Email Security Trends 2018“ befragte, gaben an, bereits einen solchen Angriff erlebt zu haben. Mit gefälschten Zugangsdaten können Hacker auch auf große Kundendatenspeicher zugreifen, die noch mehr Zugangsdaten und persönliche Daten enthalten und im Untergrund der Cyberkriminalität zu Geld gemacht werden können. Ein weiterer Bericht, der diese Woche vom Intelligence-Unternehmen Blueliv veröffentlicht wurde, zeigte, dass das Volumen der kompromittierten Anmeldedaten, die in nordamerikanischen Botnets entdeckt wurden, in den letzten zwei Quartalen um 141 % gestiegen ist.

Die schlechte Nachricht ist, dass Phishing-Angriffe immer schwieriger zu erkennen sein werden. Es ist gut möglich, dass Cyberkriminelle auf KI-Technologien zurückgreifen, um den Schreibstil und das Nachrichtenverhalten von Mitarbeitern zu „erlernen“, sodass sie dann gefälschte E-Mails einfügen können, die sehr überzeugend aussehen.

Sich wehren

Wenn Sie denken, dass Sie zu klein sind, um ein Ziel zu sein, denken Sie noch einmal nach. Wenn Ihre Unternehmensdomäne seriös genug ist, können die E-Mail-Konten der Mitarbeiter nicht nur zum Angriff auf Ihre Datenspeicher missbraucht werden, sondern auch, um weitere Phishing-E-Mails an Partner und Kunden zu versenden. Dadurch wirken die betrügerischen E-Mails überzeugender und ruinieren Ihren hart erarbeiteten Markenruf.

Angesichts der genannten Risiken und der anhaltenden Bekanntheit von Phishing in den Medien ist es enttäuschend, dass 20 % der weltweiten Mitarbeiter, die auf einen weiteren neuen Bericht antworteten, angaben, nicht zu wissen, was Phishing ist, und weitere 13 % eine falsche Antwort gaben. Glücklicherweise können Sie heute einiges tun, um das Risiko von E-Mail-Bedrohungen wie dieser zu mindern.

Beginnen Sie mit MFA: Die Multifaktor-Authentifizierung (MFA) bedeutet, dass Hacker nicht nur mit Passwörtern auf Konten zugreifen können, wodurch ihre Phishing-Bemühungen zunichte gemacht werden.

Schulen Sie Ihr Personal: Als Nächstes sollte eine Mitarbeiterschulung erfolgen, um das schwächste Glied in eine robuste erste Verteidigungslinie zu verwandeln. Führen Sie Phishing-Tests in kurzen Sitzungen mit realen Szenarien durch und sammeln Sie Feedback zu jedem Benutzer. Sie sollten auf Dinge wie ungewöhnliche Absender, Anhänge und Hyperlinks in unerwünschten E-Mails achten. Achten Sie darauf, dass Sie leitende Angestellte und Führungskräfte der höchsten Ebene mit einbeziehen. Sie haben wenig Zeit und sind oft die schlimmsten Übeltäter, wenn es darum geht, ohne nachzudenken zu klicken. Schulen Sie auch Teilzeitkräfte und Berater/Partner/Auftragnehmer. Es spielt keine Rolle, wer auf diesen Phishing-Link klickt, der Schaden ist gleichermaßen groß.  

Investieren Sie in das Beste: Suchen Sie nach E-Mail-Sicherheitstools eines seriösen Anbieters, um nach bösartigen URLs und Anhängen zu suchen und die E-Mail zu blockieren, bevor sie den Benutzer überhaupt erreicht. Verhaltensbasierte Funktionen und Sandboxing können helfen, fortgeschrittenere Zero-Day-Bedrohungen zu erkennen.

KI ist Ihr Freund: Es besteht zwar die Möglichkeit, dass Cyberkriminelle auf KI zurückgreifen, um ihre Phishing-E-Mails überzeugender zu gestalten, aber die „White Hats“ nutzen bereits Fähigkeiten, um die Erkennung von Spear-Phishing zu automatisieren. Diese Systeme lernen die einzigartigen Kommunikationsmuster Ihres Unternehmens, um in Echtzeit besser erkennen zu können, wenn etwas nicht ganz richtig aussieht.

Ich werde aufhören, über Phishing zu reden, sobald es nicht mehr unzähligen Unternehmen Leid bereitet. Bei der letzten Zählung haben über zwei Fünftel (43 %) der Unternehmen im Vereinigten Königreich in den letzten 12 Monaten eine Sicherheitsverletzung oder einen Angriff erlebt – ein Trend, der sich wahrscheinlich in ganz Europa wiederholt. Wenn Sie gegen Phishing vorgehen, werden die „Black Hats“ gezwungen sein, ihre Komfortzone zu verlassen.

Barracuda bietet umfassende E-Mail-Sicherheit, die Ihr Unternehmen vor Spear-Phishing und anderen Angriffen schützt. Besuchen Sie hier unsere Unternehmenswebsite für weitere Informationen.