Phishing ist eine Hacking-Technik, die darin besteht, einen Benutzer glauben zu lassen, dass er mit der Schnittstelle eines vertrauenswürdigen Dritten (seiner Bank, einer Verwaltung, eines bekannten Unternehmens ...) interagiert, um persönliche Informationen wie sein Passwort, Kontostand, Kartennummer oder Sozialversicherungsdaten usw. einzusehen.
Eine Phishing-Kampagne zeichnet sich aus Sicht des Hackers durch eine einfache Ausführung aus, die einen großflächigen Angriffs ermöglicht. Obwohl es in den 1990er Jahren entstanden ist, ist diese Art von Angriff bis heute sehr verbreitet.
Bis 2017 waren E-Mails der bevorzugte Vektor für Phishing. Aber mit der umfassenden Nutzung von Smartphones haben sich die Medien verändert und Angriffskampagnen sind komplexer geworden.
Die zwielichtigen E-Mails mit falsch ausgerichteten Elementen und bedeutungslosen Adressen sind längst vorbei. Heutzutage sind Phishing-E-Mails und ihre Benutzeroberfläche fast identisch mit ihren authentischen Nachrichten und sind daher schwieriger zu vereiteln. Andererseits geht es bei Phishing-Versuchen nicht mehr nur um den Diebstahl persönlicher Informationen, sondern auch um den Diebstahl von Unternehmensdaten, da sie beim Weiterverkauf häufig rentabler sind.
Phishing auf Computer vs. Mobile Geräte: Was ist der Unterschied?
Ein anderes Benutzerverhalten
Die massive Nutzung von Smartphones, Tablets und mobilen Anwendungen in unserem täglichen Leben für persönliche und berufliche Zwecke macht sie zu wichtigen Werkzeugen, denen wir vertrauen und durch die wir eher in die Falle von Hackern geraten.
Wenn eine Phishing-E-Mail auf einem PC geöffnet wird, kann der Benutzer den Mauszeiger über den Link bewegen, um zu sehen, wohin er umgeleitet wird, und möglicherweise eine schädliche URL identifizieren (wenn nicht der falsche Firmenname verwendet wird, was manchmal der Fall ist). Auf Mobiltelefonen hingegen ist die Anzeige der URL nicht so offensichtlich und intuitiv, sodass diese Art von Angriff weniger auffällt.
Viel mehr Angriffsmethoden auf Mobilgeräten
Seit 2017 ist E-Mail nicht mehr der Hauptkanal für Phishing-Kampagnen und macht nur 15% der Angriffe aus. Mobile Anwendungen haben den Spitzenplatz eingenommen. Da auf Mobiltelefonen nur wenige Filter- und Spam-Erkennungsfunktionen vorhanden sind, werden eingehende Nachrichten unabhängig von ihrem Inhalt angezeigt.
Das Auftreten von Phishing-Kampagnen über native SMS- und MMS-Anwendungen auf Mobilgeräten hat kürzlich eine Unterkategorie hervorgebracht: Smishing. In anderen gängigen mobilen Anwendungen verschiedener Kategorien (soziale Netzwerke, Spiele, Nachrichten, Reisen ...) verwenden Hacker Messaging-Funktionen.
Nachrichten, die über mobile Anwendungen übertragen werden, enthalten nach dem gleichen Prinzip wie E-Mails eine Kurznachricht, einen Aufruf zum Handeln oder einen schädliche URL. Oft melden sie häufige Ereignisse wie eine Bestellung bei Amazon, die nur bestätigt werden kann, wenn die Kreditkartendaten auf dem neuesten Stand sind, oder eine Versicherungsbestätigung, für deren Erneuerung weitere Informationen erforderlich sind.
Phishing für Unternehmen: Bedrohungen und Sicherheitsmaßnahmen
Unternehmen, die ihre Mitarbeiter mit Mobilgeräten ausgestattet haben oder die Verwendung persönlicher Smartphones für die Arbeit zulassen, sind ein sehr lukratives Ziel für Phishing-Kampagnen.
Die Ausgabe 2020 des jährlichen Data Breach Investigations-Berichts von Verizon zeigt, dass 32% der Datenlecks in Unternehmen auf Phishing zurückzuführen sind und katastrophale Folgen haben: schlechte Presse, rechtliche Schritte, finanzielle Verluste (durchschnittlich 3,92 Mio. USD) ...
Mit fast 1,5 Millionen Phishing-Sites pro Monat, von denen 68 Prozent HTTPS verwenden, machen diese Art von Bedrohungen allgegenwärtig. Sicherlich ist Verantwortung und Schulung der Mitarbeiter über ihr Handeln ein guter Weg, um das Risiko zu verringern, aber nicht ganz zuverlässig. Die Studie von Verizon belegt folgendes: Jeden Tag klicken 2% der Mitarbeiter auf einen Phishing-Link.
Fakt ist, dass mobile Geräte vervielfachen die Kanäle, die von Phishing-Betrügern verwendet werden, und wenn Unternehmen sich vor ihnen schützen möchten, müssen sie diese neuen Einstiegspunkte berücksichtigen und absichern.
Der Schutz vor Phishing ist ein wichtiger Aspekt bei der Implementierung einer Lösung. Ein einfacher und sicherlich effektiver Ansatz zur Umleitung mobiler Datenflüsse wirft Probleme in Bezug auf Abhängigkeit und Datenschutz auf. Es ist daher unerlässlich, einen Ansatz zu haben, der den Bedürfnissen und Einschränkungen der Organisation entspricht.
Die Mobile Threat Defense-Lösung von Pradeo neutralisiert alle Arten von Phishing-Angriffen (E-Mail, SMS, Anwendungen ...), um die Unternehmensumgebung vollständig abzusichern.
