Cyberkriminelle setzen mit ihren Angriffen gezielt auf den Menschen als Schwachstelle, um Daten zu stehlen oder sich durch weitere Arten des Betrugs zu bereichern. So lautet zumindest das Ergebnis des Human Factor Reports, den der IT-Security-Anbieter Proofpoint jährlich durchführt.

Die Studie soll die Art und Weise beleuchten, wie Hacker bei ihren Angriffsmethoden verstärkt Menschen statt technischer Systeme und Infrastrukturen ausnutzen wollen, um ihre Ziele zu erreichen, etwa die Verbreitung von Malware, der Anstoß von betrügerischen Transaktionen etc.

Proofpoint erhofft sich dadurch, Unternehmen und Mitarbeiter für diesen Angriffsvektor zu sensibilisieren. Als Datenbasis für den Report dient eine 18-monatige Analyse von Daten, die der Hersteller nach eigenen Angaben mittels seines weltweiten Kundenstamms gewinnen konnte.

Demnach erforderten 99 Prozent der beobachteten Bedrohungen eine menschliche Interaktion, etwa das Aktivieren eines Makros, das Öffnen einer Datei, das Klicken auf einen Link oder das Öffnen eines Dokuments. Dies unterstreicht laut Proofpoint die Bedeutung von Social Engineering für erfolgreiche Angriffe.

Ebenso bleibe Microsoft das beliebteste Hilfsmittel der Cyberkriminellen. Fast jede vierte Phishing-E-Mail, die 2018 verschickt wurde, stand mit Microsoft-Produkten in Verbindung, so die Studie. 2019 seien zudem besonders Phishing-Angriffe besonders wirkungsvoll gewesen, die Cloud-Storage, DocuSign und Microsoft-Cloud-Services ausnutzten. Die effektivsten Phishing-Köder konzentrieren sich unter anderem auf den Diebstahl von Zugangsdaten und die Erzeugung von Feedback-Schleifen, die laut Hersteller potenziell dazu geeignet sind, zukünftige Angriffe, eine Ausbreitung in der kompromittierten Unternehmens-IT und internes Phishing zu ermöglichen.

Laut Proofpoint setzen die Angreifer hierbei vor allem auf die menschliche Unsicherheit. So seien die effektivsten Phishing-Köder im Jahr 2018 von Brainfood nominiert worden. Dabei handelt es sich um eine Affiliate-Betrugsmasche, die Werbung für Diäten und der Verbesserung der Hirnaktivität nutzt, um Kreditkartendaten abzuschöpfen. Brainfood-Köder haben laut der Studie Klickraten von über 1,6 Klicks pro Nachricht. Dies seien doppelt so viele Klicks wie der zweitplatzierte Köder in der Rangfolge.

Ein weiteres Ergebnis des Reports ist die Feststellung, dass Cyberkriminelle zunehmend ihre Werkzeuge und Techniken auf der Suche nach finanziellem Gewinn und dem Diebstahl von Informationen verfeinern. So zielten etwa in der Vergangenheit Social-Engineering-Aktivitäten im Web auf einzelne Identitäten oder mehrere potenzielle Opfer ab. Nun sind Cyberkriminelle am erfolgreichsten, wenn sie bei Angriffen mit mehr als fünf Identitäten auf mehr als fünf Personen in der jeweiligen Organisation abzielen, so Proofpoint.

Zu den Top-Malware-Familien der letzten 18 Monate gehörten laut der Studie wieder Banking-Trojaner, Information Stealer, RATs (Remote Access Trojaner) und andere Arten von Malware, die die befallenen Systeme intakt lassen. Diese Art der Malware sei hingegen darauf ausgelegt, auf infizierten Geräten zu verbleiben und kontinuierlich Daten abzuschöpfen, die den Cyberkriminellen potenziell nutzen könnte.

Darüber hinaus zielen Angreifer nach Angaben des Security-Anbieters nicht zwangsläufig auf traditionelle VIPs, sondern auf alle Mitarbeiter ab. Sie richten sich oft an die so genannten VAPs (Very Attacked People), die häufig in der Mitte eines Unternehmens zu finden sind, so Proofpoint weiter. Für Cyberkriminelle seien diese interessantere Ziele, da sie einfacher anzugreifen oder ihre Adressen schlichtweg einfacher zu entdecken sind und sie dennoch über Zugang zu Unternehmensressourcen und sensible Daten verfügen.

Laut dem Report lassen sich 36 Prozent der VAP-Identitäten online über die Unternehmens-Website, Social Media, Veröffentlichung oder auf anderem Wege finden. Bei VIPs, die auch VAPs sind, betrug der Anteil von E-Mail-Adressen, die sich mittels einer Google-Suche finden lassen, noch immer 23 Prozent.

Um erfolgreich zu sein, imitieren Cyberbetrüger außerdem Geschäftsabläufe, um der Erkennung zu entgehen, so die Studie. Der Versand von Impostor-E-Mails vollziehe sich demnach zeitlich analog mit dem legitimen E-Mail-Aufkommen des angegriffenen Unternehmens. Weniger als fünf Prozent aller betrügerischen E-Mails werden am Wochenende zugestellt. Über 30 Prozent landen jedoch am Montag im Postfach des potenziellen Opfers.

Proofpoint hat darüber hinaus festgestellt, dass das Gesamtaufkommen von Nachrichten mit schädlichem Inhalt, das der Hersteller im zweiten Quartal 2019 erfasst hat, sich relativ gleichmäßig auf die ersten drei Tage der Woche verteilt. Jedoch seien E-Mails mit Malware auch in signifikanten Mengen bei Kampagnen aufgetaucht, die an Sonntagen begannen. Diese hätten mehr als zehn Prozent des Gesamtaufkommens ausgemacht.

Der vollständige Human Factor Report 2019 ist gegen Angabe seiner persönlichen Daten im englischen Original hier erhältlich: www.proofpoint.com/us/resources/threat-reports/human-factor. Weitere Informationen finden sich unter www.proofpoint.com.

Timo Scheibe ist Redakteur bei der LANline.