E-Mail-Sicherheit

    Lehren aus 5 berüchtigten Phishing-Betrügereien

    Von millionenschweren Phishing-Attacken können wir alle lernen, wie wir uns besser schützen können.

    by Mercedes Cardona
    GettyImages-533765037-1200px.jpg

    Wichtige Punkte

    • Die bekanntesten Phishing-Angriffe der jüngeren Vergangenheit zeigen, wie man sich vor Betrug schützen kann, insbesondere vor der Kompromittierung von Geschäfts-E-Mails und der Ausnutzung von CEO-Identitäten.
    • Eine Sensibilisierung der Mitarbeiter hätte diese fünf Phishing-Betrügereien verhindern können.
    • Mit den heute verfügbaren Technologien wie künstlicher Intelligenz und maschinellem Lernen wären sie vielleicht nie passiert.

    Phishing ist heute so weit verbreitet, dass im vergangenen Jahr 92 % der Sicherheitsexperten mit der besonders destruktiven Form des Phishings konfrontiert waren, die als E-Mail-Impersonation oder Business-E-Mail-Kompromittierung (BEC) bekannt ist, so die Umfrage von Mimecast State of Email Security 2022 . Doch die Unternehmen lassen sich von so viel "weißem Rauschen" nicht in Selbstgefälligkeit wiegen, denn sie wissen, dass Phishing funktioniert.

    Eine weitere Umfrage des Foundry-Verlags zeigt, wie gut Phishing funktioniert, und nennt als Hauptursache für Cyber-Vorfälle im Jahr 2021, dass "Mitarbeiter Opfer von Phishing-Angriffen werden". Konkret wurden 44 % der Sicherheitsvorfälle im letzten Jahr auf Phishing zurückgeführt, gegenüber 36 % im Jahr 2020.[i]

    BEC, bei dem Phishing-E-Mails so aussehen, als kämen sie von Führungskräften und Geschäftspartnern, kann erheblichen Schaden anrichten. Beim FBI gingen im Jahr 2021 BEC-Beschwerden im Gesamtwert von fast 2,4 Milliarden US-Dollar ein.[ii] Und die größten jemals gemeldeten Phishing-Betrügereien (nicht alle davon sind[iii]) zeigen, wie viel Schaden Phishing bei einem einzelnen Unternehmen anrichten kann.

    Warum sind Phishing-Betrügereien so erfolgreich?

    Phishing ist für Kriminelle eine billige und einfache Möglichkeit, Geld zu stehlen, dank der Broker im Dark Web , die alle Tools für einen erfolgreichen Phishing-Angriff verkaufen. Es sind keine großen Programmierkenntnisse erforderlich.

    Und die Angreifer entwickeln ihre Taktiken ständig weiter und fordern die Fähigkeit der Verteidiger heraus, damit Schritt zu halten. Während des COVID-19-Ausbruchs stiegen die Phishing-Angriffe stark an und nutzten die Pandemie als Aufhänger. Als die russische Armee in die Ukraine einmarschierte, aktualisierten die Verteidiger von ihre Sicherheitsvorkehrungen , um eine Welle von Phishing-Angriffen zu vereiteln, die mit den Hilfsmaßnahmen für die Ukraine zusammenhingen.

    Der Schutz vor Phishing-Angriffen ist auch deshalb schwierig, weil es den Mitarbeitern an Sicherheitsbewusstsein mangelt oder sie sich nur halbherzig auf Sicherheitsrichtlinien einlassen, die sie als Hindernis für ihre Effizienz betrachten. Während 81 % der Remote-Mitarbeiter Datensicherheit als wichtig erachten, gaben 44 % gegenüber Forrester an, dass der Datenschutz sie weniger produktiv macht.[iv]

    Berühmte Phishing-Betrügereien

    Ein Rückblick auf einige der berühmtesten Phishing-Betrügereien der letzten Zeit (ohne Namen, um die Opfer zu schonen) kann dabei helfen, sich gegen die nächste Attacke zu schützen:

    • Lieferkettenbetrüger erbeutet über 100 Millionen Dollar: Ein einzelner Betrüger hat sich schuldig bekannt, über 100 Millionen Dollar von zwei Tech-Giganten gestohlen zu haben, und zwar im Rahmen eines komplizierten Betrugs, dessen Kernstück Phishing-Angriffe waren. Der Betrüger gab sich als Anbieter von Computerhardware aus und schickte von 2013 bis 2015 Rechnungen an Mitarbeiter der betroffenen Unternehmen, in denen er um Überweisung von Zahlungen auf illegale Offshore-Konten bat.[v]
    • ID-Masche erschüttert Hollywood: Im Jahr 2018 hat die US-Regierung einen nordkoreanischen Staatsbürger wegen eines Angriffs auf ein Filmstudio im Jahr 2014, bei dem Unmengen von Daten, darunter auch persönliche E-Mails von Filmproduzenten, ins Netz gestellt wurden, in mehreren Fällen angeklagt. Nach Angaben des FBI verschafften sich von der nordkoreanischen Regierung gesponserte Hacker Zugang zum Netzwerk des Studios, indem sie Malware an die Mitarbeiter schickten. Sie schickten auch Spear-Phishing-Nachrichten an andere Unternehmen der Unterhaltungsbranche, darunter eine Kinokette. Der Phishing-Angriff kostete das Studio schätzungsweise 100 Millionen Dollar durch die Unterbrechung des Filmveröffentlichungsplans, die Kosten für die Behebung des Problems und den Verlust von geistigem Eigentum (neue Filme wurden online gestellt). Der Angriff beschädigte auch den Ruf des Studios in der Filmindustrie. Die Ermittler konnten den Ursprung des Angriffs schließlich auf einen Phishing-Betrug zurückführen, bei dem E-Mails versendet wurden, die sich als von Apple stammend ausgaben und die Benutzer aufforderten, ihre Online-IDs zu bestätigen.[vi]
    • Bank-CEO-Imitator macht große Abhebung: Ein belgisches Finanzinstitut wurde Opfer von "Wal-Phishing", einer Variante von Phishing-Angriffen, bei der sich ein Angestellter als ein großer Fisch im Unternehmen ausgibt, um ihn dazu zu bringen, die Anweisungen des Betrügers zu befolgen. Die Angreifer gaben die E-Mail-Adresse des CEO der Bank vor und wiesen andere Mitarbeiter an, Geld auf ein gefälschtes Konto zu überweisen. Der Vorfall von 2016 kostete die Bank schätzungsweise 75 Millionen Dollar. Später im Jahr wurde der CEO durch den Chief Risk Officer des Instituts ersetzt.[vii]
    • CEO-Spoofer der Luft- und Raumfahrtindustrie hebt mit Millionen ab: Ein Luft- und Raumfahrtunternehmen war 2016 Ziel eines ähnlichen Phishing-Betrugs. In einer E-Mail, die vorgab, vom CEO des Unternehmens zu stammen, wurden Überweisungen in Millionenhöhe zur Finanzierung eines Übernahmeprojekts gefordert. Das Unternehmen gab zu, 47,1 Millionen Dollar verloren zu haben, konnte aber die Überweisung von weiteren 12,2 Millionen Dollar verhindern. Der CEO und der CFO verloren nach diesem Vorfall ihren Arbeitsplatz.[viii] Das Unternehmen versuchte, beide zu verklagen und behauptete, sie hätten es versäumt, Kontrollen einzurichten, um den Phishing-Angriff zu verhindern, aber die Klagen wurden abgewiesen.[ix]
    • Cyberdieb nutzt M&A: Ein Technologieunternehmen gab 2015 bekannt, dass es einen Verlust von 46,7 Millionen Dollar erlitten hatte, als Betrüger sich als Anwalt des Unternehmens ausgaben, um eine Übernahme abzuschließen, und Gelder auf ein Offshore-Konto in Hongkong überweisen ließen. Das Unternehmen erfuhr erst Monate später davon, als das FBI die Behörden über den Betrug informierte. Es gelang dem Unternehmen, einen Teil der Überweisungen zu stoppen und 16,7 Millionen Dollar zurückzuerhalten.[x]

    Lektionen von Top-Phishing-Betrügereien

    Dem Foundry-Bericht zufolge steigen die Ausgaben für Sicherheitsschulungen und -tools bei allen Arten von Unternehmen an. Etwa 44 % der Unternehmen planen, mehr Geld auszugeben, und kleine Unternehmen verdoppeln im Durchschnitt ihre Investitionen. Die Lehren aus den wichtigsten Phishing-Angriffen können helfen, Prioritäten zu setzen:

    • Die Kompromittierung von Geschäfts-E-Mails (BEC) erfolgt heimlich: Fast alle der häufigsten Phishing-Angriffe wurden durch kompromittierte E-Mails zwischen Mitarbeitern, Kunden und Lieferanten initiiert. Während typische Spam-Phishing-Betrügereien der Art "Klicken Sie hier für einen Preis" leichter zu erkennen und zu filtern sind, ist BEC heimlicher. Sensibilisierungsschulungen sollten sich stark auf das Erkennen von gefälschten Adressen, Impersonationsversuchen und anderen Arten von BEC konzentrieren.
    • Jeder im Unternehmen kann von Phishing-Betrug betroffen sein: Einige der größten Phishing-Angriffe in dieser Liste begannen mit der Kompromittierung von E-Mails auf den höchsten Ebenen des Unternehmens. "CEO-Betrug" gehört zu den häufigsten und lukrativsten Phishing-Betrügereien, so dass die Betrüger dem Geld in diese Richtung folgen. Die oberste Führungsebene muss sensibilisiert und in alle Cybersicherheitsschulungen einbezogen werden, auch wenn sie der Meinung sind, dass sie ihre Zeit nicht sinnvoll nutzen können. Wie die Vorstandsvorsitzenden einiger Unternehmen erfahren haben, kann ihr Arbeitsplatz auf dem Spiel stehen.
    • Sensibilisierung ist die erste Verteidigungslinie: Schulungen zum Sicherheitsbewusstsein können den Mitarbeitern beibringen, wie sie Phishing-E-Mails, verdächtige Links, Anhänge mit Schadsoftware und betrügerische Aufforderungen zur Weitergabe sensibler Daten oder zur Überweisung von Geldmitteln erkennen und vermeiden können. Phishing-Übungen und andere Echtzeit-Schulungen, die einen tatsächlichen Angriff simulieren, können dazu beitragen, dass die Benutzer auf dem Laufenden bleiben.
    • Technologie kann die Reaktion beschleunigen: Bei einigen der größten Phishing-Betrügereien in unserer Liste dauerte es Monate, bis sie aufgedeckt und gestoppt werden konnten, daher ist eine Reaktion in Echtzeit entscheidend, um bleibende Schäden zu vermeiden. Neuere Phishing-Filter in E-Mail-Anwendungen und Webbrowsern reduzieren mehr Phishing-Versuche. Automatisierungswerkzeuge wie von Mimecast, die auf künstlicher Intelligenz und maschinellem Lernen basieren, können verdächtige E-Mails in Echtzeit überprüfen, um die Erkennung von Betrug und die Reaktion darauf zu beschleunigen, bevor ein Schaden entsteht.

    Die Quintessenz

    Phishing-Betrügereien gehören heute zum Geschäftsleben dazu. Solange die Betrüger einen Gewinn sehen, werden Phishing-Angriffe weitergehen. Die Erkenntnisse aus den häufigsten Phishing-Angriffen können helfen, einige Prioritäten zu setzen: kontinuierliche Sensibilisierungsschulungen, Konzentration auf die Gefährdung von Geschäfts-E-Mails auf den höchsten Ebenen des Unternehmens und gezielte Investitionen in Technologie-Tools, um den Schutz zu automatisieren und die Reaktion zu beschleunigen. Der Mimecast-Bericht State of Email Security 2022 gibt einen tieferen Einblick in die Gefährdung von Sicherheitsexperten und deren Reaktionen auf E-Mail-Bedrohungen.

     

     

    [i] Studie zu den Sicherheitsprioritäten 2021 , Foundry

    [ii] "FBI veröffentlicht den Internet Crime Complaint Center 2021 Internet Crime Report," FBI

    [iii] "SEC Proposes Requiring Firms to Report Cyberattacks Within Four Days," Wall Street Journal

    [iv] "Beyond Boundaries: Die Zukunft der Cybersicherheit in der neuen Arbeitswelt," Forrester

    [v] "Wie dieser Betrüger mit Phishing-E-Mails über 100 Millionen Dollar gestohlen hat," CNBC

    [vi] "Hacker zielten mit gefälschten Apple-ID-E-Mails auf Mitarbeiter" ComputerWorld

    [vii] "Bank ersetzt CEO", S&P Global Market Intelligence

    [viii] "Aerospace company, hit by cyber fraud, fires CEO," Business Insurance

    [ix] "Österreichisches Gericht weist Klage gegen Ex-CEO in Cyber-Betrugsfall ab", Nasdaq

    [x] "Wie das Unternehmen eines Tech-Milliardärs 46,7 Millionen Dollar verlegt hat und es nicht wusste", Forbes

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang