Phishing ist ein lukratives Geschäft und die Angriffe haben in den letzten Jahren dramatisch zugenommen. Allein Anfang dieses Jahres wurden laut Statista rund 81.000 Phishing-Webseiten weltweit entdeckt. In der Regel werden im Zuge dieser Angriffe betrügerische E-Mails versendet, in denen dazu aufgefordert wird, Links zu klicken oder Dateianhänge (z.B. Formulare) zu öffnen und anschließend persönliche Daten auszufüllen. Geld ist mit 59% laut The Verizon 2018 Data Breach Investigations Report der Hauptmotivator für Phishing-Angriffe. Das beinhaltet das Sammeln von Zugangsdaten für den Wiederverkauf im Dark Web, die Infektion von Systemen mit Ransomware oder die Imitation als beispielsweise Senior Manager, um Mitarbeiter zu überreden, Spenden oder interne Daten zu transferieren.

 

Phishing ist Big Business

89% der Phishing-Angriffe sind krimineller Natur. Effizientere Verteilungsmethoden inklusive On-demand-Phishing-Service, Bausätze von der Stange und neue Wellen von Angriffsarten wie Business Email Compromise (BEC) sorgen dafür, dass sich Phishing immer mehr professionalisiert.

Hinzu kommt, dass sich ganze Kampagnen und dazu gehörige Kontrollpanels mittlerweile einfach im Dark Web erwerben lassen. So bleibt noch Zeit für ein perfides Feintuning und die Businessauswertung: die Klickrate von Phishing-Emails liegt bei 14% – sechsmal höher als bei gängigen Marketing-Emails. Die Bausätze und Services sparen viel Zeit und lassen den Angreifern wiederum Raum für weitere Ideen wie beispielsweise Business Email Compromise (BEC).

Phishing ist Unternehmensalltag

Das Lieblingsziel sind nach wie vor Unternehmen beziehungsweise deren Mitarbeiter. Denn während viele „Zu-schön-um-wahr–zu-sein“-Angebote und Skurriles sofort durchschaut wird, scheinen die Abwehrmechanismen bei Emails, die die tägliche Arbeit betreffen, zu pausieren. Die Top 3 der höchsten Phishing-Klickraten sind:

  • einfache, Aufgaben-basierte Betreffzeilen, wie „[JIRA] Eine Aufgabe wurden Ihnen zugewiesen“ (Klickrate 38,5%)
  • alltägliche Themen, wie „Meeting nächste Woche“ (Klickrate 29,1%)
  • Andeutung von Fehlverhalten, wie „Belästigungs-Achtsamkeits-Training“ (Klickrate 26,0%)

Cyberkriminelle erlangen mit Phishing wertvolle User-Informationen oder gar Systemzugriff. Angesichts des exorbitant gestiegenen Volumens, angefeuert durch Dark-Web-Angebote wie kostenlose Phishing-Bausätze und PaaS (Phishing-as-a-Service), lässt sich feststellen: Phishing ist täglicher Bestandteil des Geschäftslebens und sollte keinesfalls unterschätzt werden. 41% IT-Fachleute geben an, dass ihre Organisation zumindest täglich Phishing-Angriffe erwartet. Mehr als Dreiviertel (77%) rechnet zumindest monatlich mit einer Attacke.

Ein solides Awareness-Programm darf deshalb in keinem Unternehmen und in keiner fundierten Sicherheitsstrategie fehlen. Das wissen sowohl wir von dicom, als auch unser langjähriger Partner Sophos: Der rasante Anstieg von Phishing-Angriffen war Grund genug für den Sicherheitssoftware-Experten, diese Form der Cyberkriminalität einmal näher zu untersuchen. Das Ergebnis: Ausgefuchste Taktiken in Tateinheit mit penetrantem Auftreten machen die neue Qualität von Phishing-Emails aus. Die Angreifer haben die Vorteile von Malware-as-a-Service (MaaS) entdeckt – ein Cousin von Ransomware-as-a-Service (RaaS), beide wohnhaft im Dark Web – um die Effizienz und das Volumen von Attacken zu steigern. Aus der aktuellen Forschung geht hervor, dass die beste Verteidigung gegen Phishing-Attacken eine duale Strategie ist:

  1. Einsatz moderner Sicherheitstechnologien
  2. Sensibilisierung der Mitarbeiter für Angriffswege und Verhalten

Die erste Defensive gegen eine Phishing-Attacke sind grundsätzlich aber immer noch die Nutzer selbst. Sophos hat zu diesem Zweck eine fortschrittliche Phishing-Angriffssimulator- und Schulungslösung entwickelt. Denn entsprechend geschulte und auf die Gefahren von Phishing sensibilisierte Mitarbeiter können durchaus als „menschliche Firewall“ fungieren.

 

Die Lösung: Sophos Phish Threat

 

Sophos Phish Threat bietet Ihnen realistische Angriffs-Simulationen, effektive Trainingsmodule, detaillierte Informationen und umfassendes Reporting - alles ganz einfach verwaltet über eine zentrale Konsole.

IT-Manager können damit authentische Phishing-Simulationen und -Schulungen erstellen sowie gezielte Verhaltenskorrekturen bei den Mitarbeitern einleiten. Die Simulation hilft Anwendern ein Phishing-Angriff zu erkennen und ohne echtes Risiko aus den zu Fehlern lernen. Und es funktioniert: Bereits nach vier Phish-Threat-Test-E-Mails sind Kunden im Schnitt um 31% weniger anfällig für Phishing.

Phish Threat ist außerdem eine Komponente der cloudbasierten Security-Konsole Sophos Central und steht Ihrer IT-Organisation daher von zentraler Stelle zur Verfügung. Sie müssen also keine Hardware oder Software installieren und profitieren stattdessen von den Vorzügen der marktweit einzigen Lösung, die neben Phishing-Simulationen- und -Benutzertraining auch IT-Security für die Bereiche E-Mail, Endpoint, Mobile u.v.m. bietet. Sie erhalten eine zentrale, stets aktuelle, von Sophos gehostete Plattform mit einfacher, intuitiver Bedienung.

Mit Sophos Phish Threat sind Sie und Ihr Unternehmen also stets auf der sicheren Seite.

Möchten auch Sie eine positive Security-Awareness-Kultur in Ihrem Unternehmen fördern sich rechtzeitig vor Phishing-Angriffen schützen? Dann sind wir gerne für Sie da, um eine Handelspartnerschaft zu besprechen! Wir bieten Ihnen professionelle Beratung, passende Produkte und stehen Ihnen für Fragen und weitere Informationen gerne zur Verfügung.