Neuer Bericht: Jeder zehnte E-Mail-Angriff ist auf Business Email Compromise zurückzuführen

E-Mail-basierte Social-Engineering-Bedrohungen sind auf dem Vormarsch, da die Angreifer ihre Taktiken ständig anpassen und weiterentwickeln, um ihre Erfolgschancen zu erhöhen.

Die jüngste Analyse von E-Mail-Erkennungsdaten durch die Forscher von Barracuda zeigt, dass die Landschaft zwar weiterhin von massenhaften Phishing- und allgemeinen Betrugsangriffen dominiert wird, es jedoch einen stetigen Anstieg gezielterer und potenziell schädlicherer Bedrohungen gibt, wie z. B. Business Email Compromise und Conversation Hijacking.

Die Forscher analysierten über einen Zeitraum von einem Jahr 69 Millionen E-Mail-Angriffe auf 4,5 Millionen Postfächer. Die Ergebnisse sind im neuen Email Threats and Trends Report Vol. 1 zusammengefasst, aus dem hervorgeht, dass Angreifer die Fähigkeiten der generativen KI nutzen, um ihre Angriffe zu skalieren und anzupassen, und QR-Codes, Web-Verkürzungslinks und Webmail einsetzen, um ihre wahre Natur und Absicht zu verschleiern.

Aus dem Bericht geht unter anderem Folgendes hervor:

• Business Email Compromise (BEC)-Angriffe machten im Jahr 2023 10,6% oder mehr als jeden zehnten Social-Engineering-Angriff aus, und die Zahlen zeigen einen stetigen Anstieg im Laufe der Zeit. BEC-Angriffe machten 8 % der Angriffe im Jahr 2022 und 9 % im Jahr 2021 aus. 
  
• Conversation Hijacking machte im vergangenen Jahr 0,5 % der Social-Engineering-Angriffe aus, ein Anstieg von fast 70 % gegenüber 0,3 % im Jahr 2022. Conversation Hijacking-Angriffe erfordern viel Aufwand, aber die Gewinne können beträchtlich sein.
  
• Phishing machte im vergangenen Jahr ein Drittel (35,5 %) der Social-Engineering-Angriffe aus. Bei diesen in der Regel ungezielten Massenangriffen wird versucht, die Opfer dazu zu verleiten, auf einen Phishing-Link zu klicken. Angreifer setzen Phishing-E-Mails schon seit Jahren ein und sind nach wie vor besorgniserregend erfolgreich. Der Data Breach Investigation Report, 2024 ergab, dass es im Durchschnitt weniger als 60 Sekunden dauert, bis jemand auf einen Phishing-Betrug hereinfällt.
  
• Etwa 1 von 20 Postfächern war im letzten Quartal 2023 Ziel von QR-Code-Angriffen. QR-Code-Angriffe sind mit herkömmlichen E-Mail-Filtermethoden schwer zu erkennen. Sie zwingen die Opfer außerdem dazu, ein persönliches Gerät wie ein Smartphone oder iPad zu verwenden, das nicht durch die Sicherheitssoftware des Unternehmens geschützt ist.
• **Gmail war der beliebteste kostenlose Webmail-Dienst, der für Social Engineering verwendet wurde.** Im Jahr 2023 entfielen laut den Daten von Barracuda 22 % der für Social-Engineering-Angriffe verwendeten Domains auf Gmail. Knapp mehr als die Hälfte der erkannten Gmail-Angriffe wurden für BEC-Angriffe verwendet.
• bit.ly wurde in fast 40 % der Social-Engineering-Angriffe mit verkürzten URLs verwendet. Beim Verkürzen wird die URL durch zufällig generierte Buchstaben oder Zahlen verborgen. Mit dieser Taktik lässt sich die wahre Natur und das Ziel des Links verschleiern.

Menschen sind leichte Ziele für Social Engineering. Im letzten Jahr waren etwas mehr als zwei Drittel (68 %) der Datenschutzverletzungen auf eine „nicht böswillige“ menschliche Komponente zurückzuführen – mit anderen Worten, ein normaler Angestellter, der nur versucht hat, seine Arbeit zu erledigen und dabei überrumpelt wurde.

Social-Engineering-Angriffe, von BEC und Conversation Hijacking bis hin zu Erpressung, Phishing, Betrug und Spam, müssen ernst genommen und entweder an der Eingangspforte blockiert oder, wenn sie durchkommen, schnell eingedämmt, neutralisiert und eliminiert werden.

Dabei geht es nicht nur darum, die richtigen Sicherheitstools, -richtlinien und -programme bereitzustellen – obwohl das nach wie vor entscheidend ist. IT- und Sicherheitsexperten müssen verstehen, wie sich das Ökosystem der E-Mail-Bedrohungen weiterentwickelt und was dies für das Unternehmen und seine Mitarbeiter in Bezug auf Risiko, Widerstandsfähigkeit und Incident Response bedeutet.