Untersuchungen zeigen, dass Spear-Phishing weiter zunimmt

Aus dem FBI Internet Crime Report 2021 geht hervor, dass es im vergangenen Jahr mehr Opfer von Phishing-Betrug gab, als bei jeder anderen Art von Internetbetrug. Phishing und verwandte Taktiken sind Versuche, Opfer zu täuschen, damit sie ihre Zugangsdaten und andere vertrauliche Informationen offenlegen. Phishing macht 38,2 % aller Fälle von Cyberkriminalität aus, die dem FBI 2021 gemeldet wurden, und ist der am häufigsten gemeldete Cyberangriff seit 2018.

Spear-Phishing ist keine neue Taktik, obwohl es im Laufe der Jahre immer ausgefeilter geworden ist. Kriminelle werden es weiterhin einsetzen, weil es als Einfallstor in ansonsten gesicherte Netzwerke so erfolgreich ist. Einige der größten Cyberangriffe des letzten Jahrzehnts begannen mit Spear-Phishing-Angriffen. Hier sind einige Beispiele:

Ubiquiti Networks verlor 46,7 Millionen USD an Betrüger

Am 5. Juni 2015 wurde entdeckt, dass Ubiquiti Networks von einem Spear-Phishing-Angriff betroffen war, der das Unternehmen 46,7 Millionen USD kostete. Sie konnten etwa 15 Millionen Dollar zurückbekommen, da sie sich sofort mit ihrer Bank in Verbindung setzten, als klar war, dass sie einem Betrug zum Opfer gefallen waren.  Ubiquity gab bekannt, dass der kriminelle Internet Fraud das Ergebnis von „Mitarbeiter-Identitätsmissbrauch und betrügerischen Anfragen von einer externen Einheit, die auf die Finanzabteilung des Unternehmens abzielte“, war.  Werfen Sie einen Blick auf unser Threat Spotlight aus dem Juni 2017 für ein Beispiel und eine Aufschlüsselung dieser Art von Angriffen.

FACC verlor 55 Mio. USD

FACC produziert Motor- und Innenteile für Airbus, Boeing und andere Flugzeughersteller.  Das Unternehmen verlor 55 Millionen USD nach einem Angriff am 19. Januar 2016. Nach dem Schadensfall fiel die Aktie des Unternehmens um 17 %.

Walter Stephan, CEO von FACC, wurde im Mai desselben Jahres von seiner Funktion abberufen:

Der Aufsichtsrat kam zu dem Schluss, dass Herr Walter Stephan seine Pflichten, insbesondere im Zusammenhang mit dem „Fake President Incident“, schwer verletzt hat.

Weitere Informationen über den Angriff und die Rolle des CEO bei diesem Angriff wurden nicht veröffentlicht.

Die Crelan Bank verlor 75,8 Mio. USD

Am 19. Januar 2016 veröffentlichte die niederländische Bank eine Stellungnahme, dass sie annähernd 75,8  Millionen Dollar aufgrund von Betrug verloren hatte.  Crelan versicherte der Öffentlichkeit, dass die Bankreserven ihre Kunden und Partner vor dem Verlust schützen würden und dass zusätzliche Sicherheitsvorkehrungen getroffen worden seien, um diese Art von Betrug in Zukunft zu verhindern. Luc Versele, CEO von Crelan, erklärte: „Die tatsächliche Rentabilität der Bank bleibt unverändert.“

Facebook und Google wurden um 100 Millionen betrogen

Am 21. März 2017 veröffentlichte das Justizministerium eine Stellungnahme zu einem litauischen E-Mail-Betrug, bei dem zwei Technologiegiganten rund 100 Millionen USD verloren hatten. Obwohl sie sich weigerten, einen Kommentar abzugeben, gehen wichtige technische Nachrichtenquellen wie CNET und Fortune davon aus, dass es sich bei diesen beiden Unternehmen um Google und Facebook handelt. Dies verdeutlicht, dass selbst die fortschrittlichsten Konzerne Opfer von äußerst zielgerichteten Social-Engineering Angriffen werden können.

Diese Zahlen erfassen nicht den vollständigen Schaden, den die Unternehmen erlitten haben.  Es entstehen Kosten im Zusammenhang mit Ausfallzeiten, Untersuchungen und Datenlecks.  Der Angriff auf Sony Pictures Entertainment belief sich auf geschätzte 35 Millionen USD für das am 31. März endende Geschäftsjahr. Die Sony-Angreifer zerstörten Daten und gaben private und vertrauliche Informationen von Sony-Mitarbeitern weiter.  Sieben Monate später willigte Sony ein, bis zu 8 Millionen USD an die Mitarbeiter zu zahlen, die behaupteten, durch die Fahrlässigkeit von Sony geschädigt worden zu sein. Der Angriff auf Sony wurde „wahrscheinlich“ durch eine Reihe von Phishing-E-Mails ermöglicht, in denen die ins Ziel genommenen Mitarbeiter aufgefordert wurden, ihre Apple-IDs zu verifizieren.

Die meisten Unternehmen können einen so schweren finanziellen Schlag nicht verkraften und im Geschäft bleiben. Barracuda Email Protection  ist eine umfassende Security-Suite, die entwickelt wurde, um Bedrohungen zu verhindern, Security-Vorfälle zu erkennen und darauf zu reagieren, Daten zu schützen und Compliance sicherzustellen. Besuchen Sie unsere Website, um zu erfahren, wie Barracuda Sie dabei unterstützen kann Ihr Unternehmen vor Spear Phishing und anderen E-Mail Bedrohungen zu schützen.