Ausgefuchste Taktiken und ein penetrantes Auftreten machen laut Sophos die neue Qualität von Phishing-E-Mails aus. Dies hat der IT-Sicherheitsanbieter im Rahmen einer Analyse der zunehmenden Anzahl von Phishing-Angriffen festgestellt. Demnach haben die Angreifer die Vorteile von Malware as a Service (MaaS) entdeckt – ein Verwandter von Ransomware as a Service (RaaS). Beide Dienstleistungen sind über das Dark Web buchbar und ermöglichen es so, die Effizienz und das Volumen von Angriffen zu steigern. Das beliebteste Ziel seien hierbei die Mitarbeiter.

Ursprünglich lässt sich das Phishing, also das Ausspionieren von Nutzerdaten beziehungsweise persönlichen Daten, im Online Banking verorten, so Sophos. Ziel der Cyber-Kriminellen ist es, wertvolle Nutzerinformationen oder gar Systemzugriff zu erlangen. Angesichts des exorbitant gestiegenen Volumens, angefeuert durch Dark-Web-Angebote wie kostenlose Phishing-Bausätze und Phishing as a Service, stellt der IT-Sicherheitsanbieter fest, dass die Angriffsmethode heute täglicher Bestandteil des Geschäftslebens der Kriminellen ist.

89 Prozent der Phishing-Angriffe sind laut Sophos krimineller Natur – und die Angriffsmethode hat sich professionalisiert. Dafür sorgen effizientere Verteilungsmethoden inklusive On-Demand-Phishing-Service, Bausätze von der Stange und neue Wellen von Angriffsarten wie Business E-Mail Compromise (BEC, der sogenannte Chefbetrug), das eine noch weitere Verbreitung via Social Engineering anstrebt, so der IT-Security-Anbieter. Auf diese Weise seien auch Kriminelle ohne jegliches IT-Verständnis in der Lage, Phishing zu betreiben.

Mittlerweile sei es möglich, ganze Kampagnen und dazugehörige Kontrollpanels im Dark Web zu erwerben. Dadurch haben Kriminelle genügend Zeit, ihre Angriffe zu verfeinern.

Die Klickrate von Phishing-E-Mails liegt nach Sophos-Angaben bei 14 Prozent – sechsmal höher als die Rate gängiger Marketing-E-Mails, die bei 2,4 Prozent liegen sollen. Durch die Nutzung vorgefertigter Bausätze und Services haben die Angreifer auch mehr Raum für weitere Ideen wie etwa BEC.

Die Angreifer versuchen mit Phishing-Angriffen Zugangsdaten für den Wiederverkauf im Dark Web zu sammeln, Systeme mit Ransomware zu infizieren oder Führungspersonal zu imitieren, um etwa Mitarbeiter zu überreden, Spenden oder interne Daten zu transferieren. 41 Prozent der Phishing-Angriffe strebt laut Sophos einen unautorisierten Systemzugang an, um Daten zu stehlen oder die Kontrolle zu erhalten.

Am stärksten seien Mitarbeiter in Buchhaltungs- und Finanzabteilungen von Phishing-Angriffen betroffen (58 Prozent). Danach folgen Angestellte in der Verwaltung und im Management mit 40 Prozent. Auf IT-Mitarbeiter entfallen 23 Prozent.

Sophos betreibt ein eigenes Trainingscenter, wo Teilnehmer in Schulungen lernen, worauf die Opfer von Phishing-E-Mails am häufigsten hereinfallen. Die Top 3 der höchsten Phishing-Klickraten sind demnach:

* einfache, aufgabenbasierte Betreffzeilen, wie „[JIRA] Eine Aufgabe wurde Ihnen zugewiesen“ mit einer Klickrate von 38,5 Prozent,
* alltägliche Themen wie „Meeting nächste Woche“ (29,1 Prozent) sowie
* Andeutung von Fehlverhalten, etwa „Belästigungs-Achtsamkeits-Training“, mit 26 Prozent.

„Diese Beobachtungen markieren einen kritischen Punkt für alle Organisationen“, erklärt Michael Veit, Security-Experte bei Sophos. „Während wir viele ,Zu schön, um wahr zu sein‘-Angebote und Skurriles sofort durchschauen, scheinen unsere Abwehrmechanismen bei E-Mails, die die tägliche Arbeit betreffen, zu pausieren. Hier heißt es – und das macht es umso schwieriger –, immer auf der Hut sein.“ Denn die Nutzer selbst seien die erste Defensive gegen Phishing-Angriffe.

Um sich davor zu schützen, rät der IT-Sicherheitsanbieter Unternehmen neben technischen Anti-Phishing-Schutzmechanismen auch dazu, die Mitarbeiter entsprechend zu schulen.

Weitere Informationen finden sich unter www.sophos.de.

Timo Scheibe ist Redakteur bei der LANline.