Phishing-as-a-Service: Professionalität krimineller Dienstleister nimmt spürbar zu

Dank Phishing-as-a-Service können Phishing-Attacken mittlerweile auch von Angreifern ohne Hacking- und Social-Engineering-Kenntnisse problemlos durchgeführt werden, was 2024 zu einer Vervierfachung der Ransomware-Bedrohungen geführt hat. [...]

In einem aktuellen Forschungsbericht haben IT-Sicherheitsspezialisten für das vergangene Jahr eine Vervierfachung der Ransomware-Bedrohungen festgestellt. Die Ursache des Anstiegs: die wachsende Verfügbarkeit kommerziell-krimineller Ransomware-as-a-Service-Angebote.

Eine weitere Feststellung: auch die Anzahl der Phishing-Attacken hat wieder spürbar zugenommen. Und auch hier wird, so die Forscher, die wachsende Verfügbarkeit krimineller as-a-Service-Angebote für den Anstieg verantwortlich gemacht werden müssen. Phishing-E-Mails, die es erfolgreich bis in die Posteingänge ihrer Opfer schaffen, waren 2024, so die IT-Sicherheitsspezialisten, die fünfthäufigste festgestellte Cyberbedrohung.

Dank Phishing-as-a-Service können Phishing-Attacken mittlerweile auch von Angreifern ohne Hacking- und Social-Engineering-Kenntnisse problemlos durchgeführt werden. Dienstleister übernehmen die Arbeit oder stellen interessierten Kriminellen fertige Phishing-Kits zusammen – gegen eine entsprechende Bezahlung. Die Angreifer müssen sich ihre Opfer nur noch aussuchen, die Dienstleister übernehmen den Rest.

Das Risiko steigt

Und die sind seit geraumer Zeit dabei, sich immer stärker zu professionalisieren und zu spezialisieren. Finanziert durch ihre Kunden perfektionieren sie ihre Dienste und Kits. Immer neue Ansätze werden ausprobiert. Abwehrlösungen, -Strategien und -Taktiken von Opfern werden analysiert und ausgewertet, die eigenen Angriffstechniken entsprechend angepasst und nachjustiert.

Hinzu kommt: mit der zunehmenden Verfügbarkeit von KI können Phishing-Angriffe auch automatisiert optimiert und sogar – auf Masse – individualisiert werden. Das Risiko, Opfer eines Phishing-Angriffs zu werden, steigt also ebenso, wie das Risiko, Opfer eines erfolgreichen Angriffs zu werden.

Um hier gegenzusteuern, rät die Studie Unternehmen zur Implementierung effektiver und umfassender Sicherheitsmaßnahmen; vor allem zu solchen, die eine Cyberattacke frühzeitig, noch im Angriffsvorfeld, zu Fall bringen können. Neben der Implementierung einiger technischer Lösungen raten die Forscher in diesem Zusammenhang auch zu regelmäßigen Cybersicherheitsschulungen für die gesamte Belegschaft.

Management der Human Risks

Ein Rat, dem nur zum Teil zugestimmt werden kann. Denn einfache Schulungen reichen mittlerweile längst nicht mehr aus. Zu leicht können professionelle Phishing- und Spear-Phishing-as-a-Service-Dienstleister Strategien und Taktiken der Verteidiger durchschauen, die Nachrichten und Social Engineering-Methoden, mit denen sie ihre Opfer zu locken suchen, an die neuen Verteidigungsmaßnahmen anpassen. Unternehmen werden mehr tun, strukturierter, umfassender, kontinuierlicher vorgehen müssen. Sie werden die Human Risks, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, endlich umfassend in den Blick nehmen und zu managen beginnen müssen. Menschliche Risiken müssen, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.

Längst lassen sich Phishing-Trainings, -Schulungen und -Tests, KI sei Dank, personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen auch in Zukunft gelingen, die unzähligen Human Risks, die jeder Organisation nun einmal naturgemäß innewohnen, im Blick zu behalten und so zu managen, dass sie allenfalls noch eine vertretbare Gefahr darstellen können.