Angreifer wissen, dass Mitarbeiter bei eingehenden E-Mails misstrauisch sind. Deshalb platzieren sie Phishing-Links immer häufiger an anderen Stellen im Internet. Sie erstellen gefälschte Websites oder Anmeldeseiten, die sich als legitime Organisationen ausgeben. Ihr Ziel ist es, die Anmeldeinformationen der Besucher zu stehlen. [...]
Minimaler Aufwand, maximale Ergebnisse. Das ist das Mantra, nach dem viele Cyberkriminelle vorgehen. Die jährlichen Vorhersagen zur Bedrohungslandschaft zeigen oftmals, dass sich Angreifer bei der Entwicklung von innovativen Angriffen darauf konzentrieren, die besten Cyberabwehrsysteme zu überwinden. Obwohl ein Teil des Cybercrime-Ökosystems tatsächlich derartige Ambitionen hat, mangelt es den meisten Angreifern jedoch an den technischen Fähigkeiten oder Ressourcen. Und selbst diejenigen, die dazu in der Lage sind, konzentrieren ihre Bemühungen stattdessen auf eher einfachere Angriffsmethoden.
Unser jährlicher Threat Labs Report befasst sich mit einigen der größten Bedrohungen, denen Unternehmen im Jahr 2024 ausgesetzt waren. Trotz jahrelanger regelmäßiger Exposition und erheblichen Investitionen in Mitarbeiterschulungen, die Angestellten bei der Erkennung dieser Bedrohungen helfen sollen, nehmen Phishing-Kampagnen stetig zu. Im Jahr 2024 klickten mehr als acht von 1.000 Mitarbeitern jeden Monat auf einen Phishing-Link. Das ist fast dreimal so viel wie im Jahr 2023! Warum stellen solche altmodischen Techniken immer noch eine so große Bedrohung für Cybervorfälle am Arbeitsplatz dar? Hier spielen verschiedene Faktoren eine Rolle.
Vertrauensmissbrauch
Angreifer wissen, dass Mitarbeiter bei eingehenden E-Mails misstrauisch sind. Deshalb platzieren sie Phishing-Links immer häufiger an anderen Stellen im Internet. Sie erstellen gefälschte Websites oder Anmeldeseiten, die sich als legitime Organisationen ausgeben. Ihr Ziel ist es, die Anmeldeinformationen der Besucher zu stehlen. Um ihr Ranking in den Suchmaschinen zu verbessern, verwenden sie SEO-Poisoning-Techniken. Nur wenige Menschen rechnen damit, bösartige Websites auf den ersten Seiten der Suchergebnisse zu finden, was diesen Ansatz sehr effektiv macht. Tatsächlich waren Suchmaschinen im Jahr 2024 die Hauptquelle für Phishing-Klicks. Die Verbreitung von Phishing findet jedoch auch in den sozialen Medien, Kommentarbereichen, bösartigen Anzeigen und Online-Foren statt. Auf diesen Plattformen suchen Cyberkriminelle gezielt nach neuen Opfern.
Angreifer nutzen auch das blinde Vertrauen in die beliebten Cloud-Geschäftsanwendungen, die Mitarbeiter täglich bei der Arbeit verwenden. Phishing-Kampagnen, die sich als Cloud-Anbieter ausgeben, generierten 2024 die meisten Klicks (27 Prozent), noch vor denen, die sich als Banken (17 Prozent), Telekommunikationsunternehmen (13 Prozent) und soziale Medien (11 Prozent) ausgaben. Cloud-Anwendungen sind zu bevorzugten Umgebungen für Kriminelle geworden, um bösartige Payloads zu hosten. Tatsächlich hat 2024 eine große Mehrheit von Angestellten (88 Prozent) monatlich bösartige Inhalte aus Cloud-Anwendungen heruntergeladen. Angreifer schlagen dort zu, wo unser Vertrauen am größten und deshalb unsere Vorsicht am geringsten ist.
Entscheidungen über Entscheidungen
Unsere kognitive Voreingenommenheit und die schiere Menge an Entscheidungen, die Mitarbeiter täglich treffen müssen, sind ebenfalls Faktoren, die dazu führen, dass sie auf diese Kampagnen hereinfallen. In diesem Fall übersehen sie verdächtige Anomalien, da sie dazu neigen, der Erkennung von Mustern, mit denen sie vertraut sind, Priorität einzuräumen.
Die Verfügbarkeitsverzerrung kann dazu führen, dass Mitarbeiter sich zu sehr auf die Bedrohungen und Risiken konzentrieren, denen sie in letzter Zeit ausgesetzt waren, und das Gesamtbild ignorieren. Auch kognitive Ermüdung kann ihre Fähigkeit, effektiv zu denken, beeinträchtigen, nachdem sie über längere Zeit bestimmten Warnungen ausgesetzt waren.
In der Fachliteratur wird erörtert, wie Voreingenommenheit und psychologische Faktoren letztendlich die Cybersicherheit beeinflussen können. Die Art und Weise, wie Angreifer bei der Planung von Social-Engineering-Kampagnen mit solchen Schwachstellen spielen, sollte nicht unterschätzt werden und Gegenstand von Cybersicherheitsschulungen sein.
Die Grenzen von Schulungen
Obwohl Schulungen zur Cybersicherheit wesentlicher Bestandteil eines sicheren Arbeitsplatzes sind, können sie bei der Verbreitung bewährter Sicherheitspraktiken nur einen begrenzten Beitrag leisten. Untersuchungen zeigen, dass die meisten Mitarbeiter einen Großteil des Gelernten schnell wieder vergessen. Trotzdem halten viele Unternehmen an den wenig ansprechenden jährlichen Schulungen fest und investieren zu wenig in regelmäßige Mitteilungen und Warnungen des Sicherheitsteams oder in fortlaufende Schulungen und Coaching – Methoden, die erfolgreicher sind.
Das Echtzeit-Nutzercoaching umfasst automatisierte Popups, die Mitarbeiter warnen, wenn sie im Begriff sind, Aktionen auszuführen, die gegen die Sicherheitsrichtlinien ihres Unternehmens verstoßen, zum Beispiel das Senden vertraulicher Daten an Orte, an die sie nicht gehen dürfen. Der Threat Labs Report zeigt, dass Nutzer, denen solche Popups angezeigt werden, in 73 Prozent der Fälle beschließen, ihre Aktion nicht auszuführen.
Zero Trust
Als Reaktion auf immer kreativere Social-Engineering-Techniken müssen Organisationen und Mitarbeiter eine Denkweise entwickeln, bei der niemandem und keinem Ort im Internet vertraut werden sollte, bis eine Überprüfung erfolgt ist. Mitarbeiter werden jedoch nie die perfekten Schutzschilder sein, die Organisationen brauchen. Deshalb müssen diese verstärkt technische Maßnahmen in Betracht ziehen, die diese Kultur unterstützen und einspringen, falls die menschliche Abwehr versagt.
Tipps für mehr Sicherheit
- Stellen Sie sicher, dass der gesamte HTTP- und HTTPS-Web- und Cloud-Datenverkehr auf Phishing, Trojaner, Malware und andere schädliche Inhalte überprüft werden kann.
- Untersuchen Sie riskante Dateitypen, wie ausführbare Dateien und Archive mithilfe statischer und dynamischer Analysen.
- Blockieren Sie den Zugriff auf Apps, die keinem legitimen Geschäftszweck dienen.
- Blockieren Sie Downloads und Uploads von Apps und Instanzen, wenn diese nicht unbedingt erforderlich sind.
- Verwenden Sie Datenschutzrichtlinien, um zu erkennen und zu blockieren, wenn vertrauliche und regulierte Daten an Orte gesendet werden, an die sie nicht gesendet werden dürfen.
- Identifizieren und blockieren Sie bösartige Datenverkehrsmuster, wie etwa Befehls- und Kontrolldatenverkehr, der mit weit verbreiteter Schadsoftware in Zusammenhang steht.
- Analysieren Sie Verhaltensweisen, um weniger offensichtliche Bedrohungen zu identifizieren, wie etwa kompromittierte Geräte, Konten und Insider-Bedrohungen.
- Schützen Sie Nutzer und Geräte beim Besuch von risikobehafteten Websites, beispielsweise durch den Einsatz von Technologien wie Remote Browser Isolation.
Selbstzufriedenheit ist der Feind der Sicherheit. Angreifer widmen ihre Zeit der Suche nach neuen Wegen, um Mitarbeiter zu täuschen – und das oft mit Erfolg. Wenn Unternehmen ihre Belegschaft nicht kontinuierlich darüber aufklären, wie diese Angreifer denken und vorgehen, wie sich ihre Techniken weiterentwickeln und wann Mitarbeiter am verwundbarsten sein könnten – und wenn sie nicht die richtigen technischen Abwehrmaßnahmen in Betracht ziehen – werden Phishing-Kampagnen weiterhin erfolgreich sein.
* Ray Canzanese ist Director der Netskope Threat Labs, die sich auf die Erforschung von Cloud-Bedrohungen spezialisiert haben.
Be the first to comment