Die Phishing-Aktivitäten stiegen in der zweiten Hälfte des Jahres 2022 um 130%

Neue Daten, die sich auf Cyberangriffe in der zweiten Hälfte des Jahres 2022 konzentrieren, zeigen, dass Phishing die überwältigende Führung als erster Angriffsvektor einnimmt.

Wir wissen seit langem, dass Phishing-Angriffe ein primärer Angriffsvektor bei Cyberangriffen sind – es war relativ konstant in allen Coveware Quarterly Ransomware -Berichten, und es gibt die Statistik „90 Prozent aller Cyberangriffe beginnen mit einer E-Mail“, die immer wieder herumschwirrt und die niemand zu diskreditieren scheint.

Aber neue Daten aus dem End-of-Year Cyberthreats Report von Acronis zeigen, dass Phishing nicht nur führend ist; es macht große Fortschritte, um jeden anderen anfänglichen Angriffsvektor in den Schatten zu stellen.

Dem Bericht zufolge wird Phishing bei 76% aller E-Mail-basierten Erstangriffe verwendet, wobei die Zustellung von Malware per E-Mail bei 18%, einem „erweiterten Angriff“ und BEC bei 3% liegen. Phishing stieg um 31% gegenüber seiner Position in der ersten Jahreshälfte 2022 (die bei 58 % aller E-Mail-basierten Angriffe lag). Die interessante Perspektive in diesem Bericht ist, dass das massive Wachstum von Phishing den Dezember 2022 nicht einschließt – was bedeutet, dass das Wachstum noch größer sein wird!

Da Phishing weiterhin ein wachsendes Problem sein wird, bedeutet der Einsatz immer besserer Social-Engineering-Fähigkeiten seitens der Bedrohungsakteure, dass Ihre Mitarbeiter in der Lage sein müssen, verdächtige E-Mails zu erkennen, bevor sie sich mit ihnen beschäftigen. Dieses Maß an Wachsamkeit wird mithilfe von Security Awareness Training vermittelt , das dazu beiträgt, die Sicherheitshaltung eines Unternehmens zu verbessern und das Risiko eines erfolgreichen Angriffs zu verringern.


Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

  • Starten Sie sofort Ihren Test für bis zu 100 Benutzer
  • Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
  • Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
  • Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
  • Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
  • Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Es gibt einen neuen Trend im Social Engineering mit einem ekelhaften Namen; „Schweineschlachtung“

Die Technik begann in der chinesischen Unterwelt und läuft auf eine ungewöhnlich langwierige Form des Social Engineering hinaus. Die Analogie ist, ein Schwein zu mästen und es dann zu schlachten. 

Es beginnt mit einem Kaltakquise, ohne dass es notwendigerweise einer anderen Vorbereitung bedarf. „Betrüger kontaktieren Personen über SMS-Textnachrichten oder andere soziale Medien, Dating- und Kommunikationsplattformen“, schreibt Wired. „Oft sagen sie einfach ‚Hallo‘ oder so etwas wie ‚Hey Josh, es hat Spaß gemacht, letzte Woche auf dem Laufenden zu bleiben!‘“

Und ein Akt der allgemeinen Höflichkeit, dem Anrufer tatsächlich mitzuteilen, dass er die falsche Nummer hat, setzt das Social Engineering in Gang. „Wenn der Empfänger antwortet, dass der Angreifer die falsche Nummer hat, nutzt der Betrüger die Gelegenheit, um ein Gespräch anzufangen und dem Opfer das Gefühl zu geben, sich mit einem neuen Freund verstanden zu haben. Nach dem Herstellen einer Beziehung wird der Angreifer die Idee einbringen, dass er viel Geld mit Kryptowährungsinvestitionen verdient hat, und dem Ziel vorschlagen, sich zu engagieren, solange es noch möglich ist.“ 

Wie jedes klassische Vertrauensspiel funktioniert das Schlachten von Schweinen, indem es eine Beziehung zum Opfer aufbaut. Dieses Verhältnis kann in Einsamkeit verwurzelt sein (viel Schweineschlachten beginnt mit dem Kontakt auf Dating-Sites) oder es kann in dem Wunsch nach finanziellem Gewinn verwurzelt sein. Dieses zweite Motiv wird oft als „Gier“ verspottet, aber das erscheint unfair – es ist meistens der Wunsch nach finanzieller Sicherheit, und die Kriminellen nutzen das Vertrauen, das die Opfer ihnen im Laufe der Zeit entgegenbringen, um sie dazu zu bringen, Gelder in Scheinfinanzdienstleistungen zu verschieben Konten, auf die die Kriminellen schließlich zugreifen, sie leeren und schließen können.

„Als nächstes lässt der Betrüger das Ziel mit einer schädlichen App oder Webplattform einrichten, die vertrauenswürdig erscheint und sich sogar als die Plattformen legitimer Finanzinstitute ausgeben kann“, erklärt Wired. „Sobald sie das Portal betreten haben, können die Opfer oft kuratierte Echtzeit-Marktdaten sehen, die das Potenzial der Investition aufzeigen sollen. Und sobald die Zielperson ihr „Anlagekonto“ finanziert, kann sie damit beginnen, zu sehen, wie ihr Guthaben „wächst“. Die bösartigen Finanzplattformen so zu gestalten, dass sie legitim und raffiniert aussehen, ist ein Markenzeichen des Schweineschlachtbetrugs, ebenso wie andere Berührungen, die die Wahrhaftigkeit erhöhen, wie Opfern einen Videoanruf mit ihrem neuen „Freund“ zu ermöglichen oder ihnen zu erlauben, ein wenig Geld abzuheben die Plattform, um sie zu beruhigen. Letzteres ist eine Taktik, die Betrüger auch in traditionellen Schneeballsystemen anwenden.“

Die öffentliche Bildung gilt weithin als Schlüssel zur Kontrolle des Schlachtens von Schweinen. „Wenn die Leute die verräterischen Anzeichen kennen und die Konzepte verstehen, die den Betrügereien zugrunde liegen, ist es weniger wahrscheinlich, dass sie verstrickt werden“, schreibt Wired. „Die Herausforderung, sagen sie, besteht darin, die breite Öffentlichkeit zu erreichen und Menschen, die etwas über das Schlachten von Schweinen lernen, dazu zu bringen, die Informationen an andere in ihren Familien und sozialen Kreisen weiterzugeben.“ Wenn es also um die Abwehr von Social Engineering geht, kann hier wie anderswo ein neues Sicherheitsbewusstseinstraining dazu beitragen, die Menschen davor zu schützen, auf den Betrug hereinzufallen. (Und wenn Sie diese Schulung erhalten haben, geben Sie die Warnungen an Ihre Familie und Freunde weiter.)

Wired hat die Geschichte .


Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

  • Starten Sie sofort Ihren Test für bis zu 100 Benutzer
  • Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
  • Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
  • Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
  • Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
  • Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!

Riesiger LastPass-Datenhack kann Spear-Phishing-Angriffe beschleunigen


LastPass, einer der weltweit beliebtesten Passwort-Manager, hatte kürzlich eine schwere Datenschutzverletzung, wie LastPass selbst berichtet: https://blog.lastpass.com/2022/12/notice-of-recent-securityincident/.

LastPass gab bekannt, dass, obwohl nicht auf die Klartext-Passwörter der Benutzer zugegriffen wurde, die Hacker die folgenden Informationen erhielten:

  • Website-URLs für die gespeicherten Passwörter des Benutzers
  • Endnutzernamen
  • Rechnungsadressen
  • E-Mailadressen
  • Telefonnummern
  • Firmennamen
  • IP-Adressen, von denen aus Kunden auf den LastPass-Dienst zugegriffen haben.

Die Hacker erhielten auch verschlüsselte Passwörter von LastPass-Benutzern für jede gespeicherte Anmeldung. Der Verschlüsselungsschutz ist stark, SOLANGE das für LastPass verwendete Master-Passwort stark war. Zusammenfassend lässt sich sagen, dass Ihr LastPass-Passwort mindestens 12 Zeichen lang sein sollte (der aktuelle LastPass-Standard), etwas komplex und kein leicht zu erratendes Passwort ist und nicht auf einer anderen Website oder einem anderen Dienst verwendet wird. Wenn nicht, müssen Sie sofort alle Ihre Passwörter ändern, sowohl das LastPass-Masterpasswort als auch alle Passwörter, die Sie in LastPass gespeichert haben.

Die gestohlenen Klartextinformationen (siehe oben) sind jedoch unglaublich nützlich für jeden Hacker, der Social Engineering und Phishing Angriffe durchführt . Es ermöglicht einem Angreifer, ein potenzielles Opfer unter Verwendung von Informationen, die der allgemeinen Öffentlichkeit und anderen Hackern nicht bekannt sind, gezielt anzugreifen (z. B. Spear-Phishing). Beispielsweise kann ein Phisher mit einer Liste der Websites, auf denen sich jemand anmeldet, bestimmte Phishing-E-Mails erstellen, die vorgeben, von dieser Website zu stammen. Es könnte den Namen, die Telefonnummer und die Postanschrift des Benutzers enthalten. Jedes hinzugefügte Detail verstärkt den Schleier falscher Legitimität einer Social-Engineering-E-Mail. Jedes enthaltene Detail erhöht den Prozentsatz der Menschen, die Opfer werden.

Die Kenntnis der Telefonnummern von Personen und deren Websites eröffnet eine Möglichkeit für einen gefälschten Anruf beim technischen Support. Postanschriften können ausgeklügelte Betrügereien per Post ermöglichen. Hier ist ein dreistes Beispiel für einen solchen Betrug: https://www.nasdaq.com/articles/inside-the-scam%3A-victims-of-ledger-hack-are-receiving-fake-hardware-wallets-2021-06 -17 . Die Arten von Spear-Phishing-Betrug, die mit den bei der LastPass-Verletzung gestohlenen Informationen erstellt und übermittelt werden können, sind grenzenlos.

Ein großes Lob an LastPass dafür, dass sichergestellt wurde, dass die wichtigsten Benutzerinformationen, die Passwörter der Benutzer, in verschlüsseltem Zustand gespeichert wurden. Aber dieser Verstoß, wie alle anderen davor, wirft die Frage auf, welche Art von Benutzerinformationen als „kritische Informationen“ betrachtet und immer in verschlüsseltem Zustand gespeichert werden sollten oder nicht. Wenn die Informationen verwendet werden können, um Sie zu identifizieren oder zu kontaktieren, sollten sie wahrscheinlich standardmäßig verschlüsselt werden.

LastPass-Benutzer waren erleichtert, als sie erfuhren, dass ihre gespeicherten Passwörter nicht direkt kompromittiert wurden, aber welche Informationen von den Hackern gestohlen wurden, wird wahrscheinlich in den kommenden Jahren Auswirkungen auf Spear-Phishing haben.


Kostenloser Phishing-Sicherheitstest

Würden Ihre Benutzer auf überzeugende Phishing-Angriffe hereinfallen? Machen Sie jetzt den ersten Schritt und finden Sie es heraus, bevor es Cyberkriminelle tun. Außerdem erfahren Sie, wie Sie sich mit Phishing-Branchen-Benchmarks im Vergleich zu Ihren Mitbewerbern behaupten. Der Phish-Prone Prozentsatz ist in der Regel höher als erwartet und ist eine großartige Möglichkeit, um ein Budget für Sicherheitsbewusstseinstrainings zu erhalten.

Und so funktioniert’s:

  • Starten Sie sofort Ihren Test für bis zu 100 Benutzer
  • Passen Sie die Phishing-Testvorlage auf Ihre Umgebung an
  • Wählen Sie die Zielseite aus, die Ihre Benutzer sehen, nachdem sie geklickt haben
  • Zeigen Sie den Benutzern, welche roten Flags sie verpasst haben
  • Erhalten Sie innerhalb von 24 Stunden eine PDF-Datei per E-Mail mit Ihrem Phish-Prone Prozentsatz und Diagrammen, die Sie mit dem Management teilen können
  • Sehen Sie, wie Ihre Organisation im Vergleich zu anderen in Ihrer Branche abschneidet.

Hier kommen Sie zum Phishing-Test!