Pressemitteilung von Stefan Bange

Was tun gegen 1 Billion Phishing Emails pro Jahr?

---

---

Frankfurt, 27. Februar 2020 - Phishing ist ohne Zweifel die beliebteste Angriffstaktik von Cyberkriminellen. Jeden Tag erreichen rund 3,4 Milliarden betrügerische Emails Postfächer weltweit - und nicht alle landen im Spam-Ordner. Bei der Recherche auf Marktplätzen und in Foren (https://www.digitalshadows.com/blog-and-research/the-ecosystem-of-phishing/) im Open, Deep und Dark Web ist das Photon Research Team von Digital Shadows (http://www.digitalshadows.com/de) auf neue Techniken sowie ein ausgereiftes Ecosystem an Kriminellen und Betrüger gestoßen. Hier sind die wichtigsten Ergebnisse:

Phishing auch für Hobby-Hacker
Die Eintrittsbarriere für Phishing-Angriffe ist so niedrig wie nie. Die nötigen Tools sind bereits ab weniger als 20 Euro erhältlich. Ready-to-go Templates für Phishing-Webseiten sind ab 20 Euro aufwärts zu bekommen. Und für gerade einmal 23 Euro erhalten angehende Cyberkriminelle ausführliche Tutorials, um erfolgreich ins Geschäft einzusteigen.

Angriffsziel Handel und Ecommerce:
Von den über 100 Angeboten für vorgefertigte Phishing-Templates zielen 29% auf den Einzelhandel und E-Commerce, darunter falsche Webseiten, Onlineshops und Kundenportale. Der Durschnittspreis für die Templates liegt bei knapp 19 Euro.

Angriffsziel Banken:
Geklonte Webseiten von Banken machen 15% der Angebote aus. Mit durchschnittlich 63 Euro liegt der Preis jedoch deutlich höher als in anderen Branchen. Der Grund: Den Cyberkriminellen winkt bei erfolgreichem Zugriff auf Finanzdaten oder dem Online-Banking auch ein höherer Gewinn.

Phishing-as-a-Service (PhSaaS):
Nicht nur die günstigen Preise macht Phishing für Angreifer so einfach. Phishing-as-a-service (PHaaS) erlaubt es, die Backend-Infrastruktur zur Durchführung von Phishing-Attacken zu mieten - oft über Abonnements und mit unterschiedlichen Features. Für 140 Euro im Monat steht Cyberkriminellen damit alle Tools zu Verfügung, um Phishing-E-Mails zu erstellen, zu versenden, Daten zu stehlen und zu monetarisieren.

Data Analytics und Tracking:
Ähnlich wie Marketingexperten mit Marketo oder SalesForce arbeiten, um Zustellungs-, Öffnungs- und Klickraten zu verfolgen, nutzen auch viele Spam-Dienste Data Analytics. So lässt sich der Erfolg von Angriffskampagnen messen und Taktiken optimieren.

"Es gibt diesen Spruch in der Cybersicherheit: Wenn wir Phishing stoppen könnten, würden 99% der Cyberangriffe von allein aufhören. Ganz so einfach ist es natürlich nicht. Trotzdem macht es die Ausmaße von Phishing deutlich", erklärt Harrison Van Riper, Strategy and Research Analyst bei Digital Shadows. "Ein Ende ist leider nicht in Sicht. Das Geschäft ist zu lukrativ dafür. Bei unserer Analyse stießen wir beispielsweise auf eine Stellenanzeige für einen Spamming-Partner, die ein wöchentliches Gehalt von 5.000-10.000 US-Dollar in Aussicht stellte. Für Unternehmen ist das brandgefährlich."

Die fünf wichtigsten Abwehrmaßnahmen von Phishing-Angriffen:

1. Seien Sie geizig mit Informationen
Dazu zählen persönliche Kontaktdaten auf Webseiten, interne Workflows und CI-Vorgaben auf schlecht gesicherten File-Sharing-Diensten sowie auf Social Media geteilte Photos vom Teammeeting mit Flipchart im Hintergrund. Erfolgreiches Phishing baut auf gut recherchierten Information zum Unternehmen und seinen Mitarbeitern auf. Daher gilt es abzuwägen, was unbedingt öffentlich gemacht werden soll.

2. Suchen Sie proaktiv nach Fake-Webseiten Ihres Domain-Namens
Monitoringtools überwachen die Registrierung von Webseiten und können gezielte Tippfehler in der Webadresse (Typo-Squatting) identifizieren. Über Take-Down-Verfahren lassen sich Reputationsschäden, Spoofed Emails und Phishing-Seiten eindämmen.

3. Implementieren Sie zusätzliche Sicherheitsmaßnahmen
Dazu gehört Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) und DomainKeys Identified Mail (DKIM).

4. Schützen Sie Mitarbeiter- und Kundenkonten durch 2FA
Zwei-Faktor-Authentifizierung ist nach wie vor eine der besten Maßnahmen, um Phishing zu stoppen, vor allem dann wenn Logindaten bereits in die Hände von Cyberkriminellen gefallen sind.

5. Holen Sie Ihre Mitarbeiter mit ins Boot
Das beinhaltet Schulungen, die zeigen woran sich Phishing-Versuche erkennen lassen, sowie einfache Leitfäden, die es Mitarbeitern einfach machen, Vorfälle an die IT-Security zu melden. Nicht jede Phishing Email landet im Spam-Ordner. Daher muss klar sein, wie im Ernstfall zu reagieren ist. Firmen- & Pressekontakt