E-Mail-Bedrohungen weiter auf dem Vormarsch

Bedrohungen durch unterschiedliche Arten von Phishing sind weiterhin auf dem Vormarsch. Laut Erhebungen der VIPRE Security Group hat sich die Anzahl gefälschter E-Mails im zweiten Quartal 2023 verdreifacht. Ähnliches gilt für die Risiken, denen Firmen durch kompromittierte E-Mails ausgesetzt sind. [...]

Die Sicherheitslösungen von VIPRE haben im zweiten Quartal 2023 fast 1,8 Milliarden E-Mails gescannt. Davon enthielten mehr als 230 Millionen E-Mails Viren und Ransomware. Das bedeutet, dass in knapp 13 Prozent aller E-Mails die Gefahr schlummert, dass Ransomware die komplette Infrastruktur des Unternehmens lahmlegt. (c) naum/stock.adobe.com

Laut dem Cybersicherheitsbericht 2023 von Check Point nehmen 83 Prozent der Cyberangriffe bei E-Mails ihren Ausgang, andere Statistiken gehen sogar von noch höheren Zahlen aus. Der Sicherheitsspezialist VIPRE Security Group hat dazu eine Statistik erhoben und die E-Mail-Bedrohungen im ersten Halbjahr 2023 analysiert. Die Untersuchung zeigt, dass die Gefahr von Cyberattacken gleich auf mehreren Ebenen zunimmt und Firmen sich darauf konzentrieren sollten, ihre Anwender vor Phishing zu schützen. Denn genau an dieser Stelle lauern die Gefahren.

Die aktuellen Zahlen für das zweite Quartal ergänzen die Informationen aus den vorhergehenden, insbesondere, was die Entwicklung der Cyberangriffe und deren Fokus anbelangt. Die gesammelten Daten zeigen, dass nicht nur die Zahl der Angriffe steigt, sondern auch die Auswirkungen drastischer werden. Nicht zuletzt durch Ransomware-Attacken. Einem Bericht des globalen Versicherers Hiscox zufolge steht jedes fünfte Unternehmen, das Opfer eines Cyberangriffs wird, sogar am Rande des Konkurses.

Die Sicherheitslösungen von VIPRE haben im zweiten Quartal 2023 fast 1,8 Milliarden E-Mails gescannt. Davon enthielten mehr als 230 Millionen E-Mails Viren und Ransomware. Das bedeutet, dass in knapp 13 Prozent aller E-Mails die Gefahr schlummert, dass Ransomware die komplette Infrastruktur des Unternehmens lahmlegt. In diesen Zahlen sind die Spam-E-Mails noch nicht enthalten.

Im ersten Quartal zählen Finanzdienstleister und -institutionen (25 Prozent) nach wie vor zu den am häufigsten angegriffenen Branchen, dicht gefolgt vom Gesundheitssektor (22 Prozent) und dem Bildungswesen (15 Prozent). Für Cyberkriminelle sind Finanzinstitute und Bildungseinrichtungen gleichermaßen als Ziel interessant, weil beide mit enormen Mengen sensibler Daten umgehen. Im Gesundheitswesen ist es umso dringlicher, die geschäftliche Kontinuität aufrechtzuerhalten. Das macht die Branche zu einem beliebten Ziel für Ransomware-Angriffe, weil angesichts dessen die Wahrscheinlichkeit steigt, dass ein Lösegeld bezahlt wird. Unternehmen, die viel mit IT-Technologie zu tun haben, gehören im zweiten Quartal 2023 mit knapp einem Drittel aller Phishing-/Spam-Mails zu den am stärksten gefährdeten Branchen. Danach folgen Behörden und Bildungseinrichtungen mit über 20 Prozent. Allerdings werden auch alle anderen Branchen angegriffen. Auf sie entfallen jeweils rund 10 Prozent aller Phishing-Mails.

Spam- und Phishing-E-Mails nutzen häufig kompromittierte Office-Dokumente: Patch-Installation dringend erforderlich

In den meisten Fällen (85 Prozent) enthalten Phishing-Mails Links, die angeklickt werden sollen, in 15 Prozent der Fälle sind Dateien angehängt. Mit knapp über 60 Prozent sind HTML-Dateien die häufigsten Anhänge, gefolgt von PDF-, EML- und ZIP-Dateien. Immer häufiger werden aber auch kompromittierte Office-Dokumente für den Versand von Spam-/Phishing-Mails verwendet. Vor allem bei Spam-Mails sind dies knapp ein Drittel aller Dateianhänge. Sie enthalten Schadcode, der das Eindringen von Ransomware oder anderer Malware auf die betroffenen Rechner ermöglicht. Dabei werden häufig Schwachstellen ausgenutzt, die Unternehmen in lokal installierten Office- und Windows-Installationen nicht geschlossen haben.

Solche Schwachstellen wurden beispielsweise von Microsoft am Patchday im Juli 2023 geschlossen, allerdings müssen Administratoren die Updates auf den Systemen installieren und Schutzmaßnahmen ergreifen. Besonders schwerwiegend ist die aktuelle Schwachstelle CVE-2023-36884. Sie betrifft alle Windows- und Office-Versionen bis hin zu Windows 11 22H2 und Windows Server 2022. Die Lücke ermöglicht Remotecodeausführung auf den Rechnern. Angriffe erfolgen derzeit bereits über kompromittierte Office-Dokumente, die Schadcode auf Windows-Computer einschleusen.

Zudem setzen Angreifer vermehrt auf QR-Codes. Wenn Anwender die gefälschten Codes scannen, werden sie auf Phishing-Seiten geleitet. Geben sie dort ihre Nutzerdaten ein, können Cyberkriminelle diese für weitere Angriffe nutzen.

Die Zahl der Phishing-Mails hat sich verdreifacht

Bei etwa der Hälfte der betrügerischen E-Mails werden Nutzerinnen und Nutzer dazu verleitet, Geld an die Angreifer zu überweisen oder sensible Daten preiszugeben. Dazu erweckt die E-Mail den Eindruck, von einem Kollegen oder Vorgesetzten zu stammen. Dank moderner KI-Technologien sind diese E-Mails sehr professionell gestaltet und verleiten selbst erfahrene Nutzer schnell dazu, Informationen weiterzugeben. Diese Angriffe gehen sogar so weit, dass mittels Deep Fakes Telefonanrufe gefälscht und ganze Videokonferenzen übernommen werden, um an die Zugangsdaten der Nutzer zu gelangen.

Nach den Erhebungen von VIPRE hat sich die Anzahl gefälschter E-Mails im zweiten Quartal 2023 verdreifacht. Angreifer versuchen ebenso aufdringlich wie raffiniert direkt an das Geld oder die Daten von Nutzern und Unternehmen zu kommen. Diese Daten werden für Registrierungen oder weitere Cyberangriffe genutzt.

Macro-Less-Malware-Attacken legen zu

In der Vergangenheit wurde in Office-Dokumente eingebettete Malware vor allem über unsichere Makro-Einstellungen in Office-Programmen auf die Systeme geschleust. Auch hier haben sich Cyberkriminelle angepasst und die Systeme modernisiert. Ransomware und andere Malware konzentrieren sich vor allem auf Schwachstellen des Betriebssystems und in Office, um Systeme zu kompromittieren.

Speziell gestaltete Microsoft-Office-Dokumente enthalten zum Beispiel eine bösartige externe Ressourcenseite, die das Office-Programm aufruft, wenn das Opfer die Malware-verseuchte Datei aufruft. Die HTML-Seite enthält JavaScript-Code, der MS-MDST, den MSDT-URI-Protokoll-Handler, aufruft und PowerShell-Skripte ausführt. Das Skript lädt dann weiteren Schadcode herunter. Dabei kann es sich um XWorm-Malware handeln. XWorm ist ein ausgeklügelter Remote-Access-Trojaner, der ein Ransomware-ähnliches Verhalten an den Tag legt und unter anderem Datendiebstahl, Überwachung und DDoS-Angriffe ermöglicht.

Phishing- und Spam-Mails professioneller und damit gefährlicher

Betrügerische E-Mails sind in vielen Fällen sehr professionell aufgebaut. Zum Einsatz kommen unter anderem Spear-Phishing-Angriffe, bei denen sich die Cyberkriminellen im Vorfeld detailliert über das Unternehmen und die Mitarbeitenden informieren. Diese Angriffe werden als Business E-Mail Compromise (BEC) bezeichnet. Anschließend werden gezielt einzelne Mitarbeiterinnen und Mitarbeiter angegriffen, teilweise unterstützt durch KI-Technologien. Häufig nutzen die Angreifer Führungskräfte als Absender der E-Mails und Social-Engineering-Ansätze, um an die Daten der Opfer zu gelangen. Auch bekannte Marken wie Microsoft, Apple und DocuSign werden häufig für den Versand von Phishing-E-Mails missbraucht.

Cyberkriminelle arbeiten zudem daran, Phishing-Links zu verbessern. In Q2/2023 verwenden immer mehr Phishing-Mails eine URL-Umleitung, um das wahre Ziel der Phishing-Seite zu verschleiern. Die URLs der E-Mails sehen in diesem Fall harmloser aus und verleiten die Opfer dazu, ahnungslos auf den Link zu klicken. Teilweise werden an dieser Stelle auch Buttons verwendet, die keinen Verdacht erregen. Gefährlich sind solche Weiterleitungen auch deshalb, weil nicht alle Sicherheitsprogramme die Ziellinks überprüfen. Darüber hinaus nutzen Phishing-Betrüger zunehmend legitime und vertrauenswürdige URLs zum Hosten von Phishing-Seiten. Dadurch lassen sich E-Mail-Filter oder URL-Reputation-Technologien umgehen.

E-Mail-Bedrohungen werden ganz offensichtlich nicht in absehbarer Zeit verschwinden – eher im Gegenteil. Obwohl es sich um eine eher rudimentäre Angriffstechnik handelt, sorgen E-Mail-basierte Bedrohungen weiterhin für Schlagzeilen und zwingen selbst die weltweit größten Unternehmen in die Knie. Die Sicherheitsforscher empfehlen deshalb neben einem holistischen, mehrstufigen Ansatz auch Security Awareness Trainings entsprechend anzupassen. Um informierte Trainings bereitzustellen, sollten Firmen ihre Strategie auf der Grundlage aktueller Forschungsergebnisse überdenken und implementieren.

* Der Autor Jörn Koch ist Senior Channel Development Manager bei der VIPRE Security Group. Erschienen ist der Beitrag auf unserer Partnerwebsite www.it-daily.net.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*