Verizon sagt, dass Phishing immer noch für 90 % der Cybersicherheitsverletzungen verantwortlich ist.

Januar 21, 2020
Kaseya
Phishing

Eine von Verizon durchgeführte Analyse von 1600 Cybersicherheitsvorfällen und 800 Sicherheitsverletzungen ergab, dass Phishing bei 90 % der erfolgreichen Angriffe eine Rolle spielte. Trotz jahrelanger Phishing-Schulungen werden die Mitarbeiter immer noch getäuscht. Verizon hat in den diesjährigen Data Breaches Investigations Report(DBIR) sogar einen Abschnitt mit dem Titel "Attack the Humans" aufgenommen. Warum? Der Mensch ist Ihr schwächstes Glied. Sie können eine neue Regel erstellen, um einen automatisierten Angriff auf einen Webanwendungsserver zu blockieren, aber Sie können die menschliche Natur nicht ausschalten.

Wer wird angesprochen? Jeder.

Social-Engineering-Angriffe waren früher das Problem anderer, zumindest dachten das viele Menschen. Heute sind sie ein Problem für alle. Verizon hat herausgefunden, dass jede Branche sehr anfällig für diese Angriffe ist. Zwar waren Mitarbeiter von Herstellern am ehesten davon betroffen, doch war der Prozentsatz in jeder Branche erheblich. Wenn man bedenkt, dass es nur einen einzigen Mitarbeiter braucht, der auf eine von vielen E-Mails hereinfällt, die er im Laufe eines Jahres erhält, ergibt sich eine Wahrscheinlichkeit von über 60 %, dass ein Unternehmen jährlich Opfer eines solchen Angriffs wird.

Viele Arbeitnehmer werden mehrfach Opfer

Verizon hat nicht nur die Daten zu Sicherheitsverletzungen ausgewertet, sondern in einer kontrollierten Studie auch die Erfolgsquote von Phishing-Angriffen untersucht. Dazu hat Verizon eine Basis von drei Millionen users 2.280 Organisationen zusammengestellt. Anschließend wurden 14.000 Kampagnen durchgeführt. Das Ergebnis: „7,3 % der users mehreren Datenquellen wurden erfolgreich Opfer von Phishing – entweder über einen Link oder einen geöffneten Anhang ... Etwa 15 % aller einmaligen users einmal Opfer wurden, gingen auch ein zweites Mal auf den Köder herein.“

Social Engineering und Spear Phishing sind für die Opfer kostspielig

Diese simulierten Phishing-Angriffe waren generisch und nicht zielgerichtet. Bei den gezielteren Speer-Phishing-Angriffen ist die Erfolgsquote jedoch etwa neunmal höher. Während die von Verizon zusammengestellten Daten darauf hindeuten, dass 219.000 von drei Millionen Mitarbeitern auf einen allgemeinen Phishing-Betrug hereingefallen sind, kann man davon ausgehen, dass diese Zahl bei Spear-Phishing- oder Social-Engineering-Angriffen auf 1,8 Millionen steigt. Letzteres ist für den Angreifer mit mehr Aufwand verbunden, kann sich aber auszahlen. "Die diesjährigen Daten zeigen zahlreiche Vorfälle, bei denen sich jemand als eine Führungskraft ausgab, um Geld (manchmal sechsstellige Beträge) von Firmenkonten zu überweisen.

Verizon bezeichnet diese ausgefeilteren Social-Engineering-Angriffe als Pretexting und sagt, dass diese Angriffe "fast immer zielgerichtet sind (und daher mehr als die Hälfte der Treffer aus der Finanzabteilung stammten), was bedeutet, dass die Akteure ihre Nachforschungen anstellen, um den richtigen Mitarbeiter zu identifizieren und eine glaubwürdige Geschichte zu erfinden." Was ist die bevorzugte Methode, um den Angriff zu initiieren? Sie haben es erraten. "E-Mail war mit 88 % der Vorfälle, bei denen Finanzdaten vorgetäuscht wurden, der wichtigste Kommunikationsweg.

Menschliche Firewalls funktionieren Firewalls . Sie benötigen automatisierten Schutz.

Die Daten sind konsistent. E-Mail-Angriffe gegen Menschen umgehen Ihre Netzwerkschutzmaßnahmen, und es reicht schon, wenn ein einziger Mitarbeiter den Köder schluckt, um Ihr Unternehmen zu gefährden. Nicht nur, dass 7 % der Mitarbeiter auf Phishing-Angriffe hereinfallen und über 60 % auf Spear-Phishing, aus den Daten von Verizon geht auch hervor, dass eine beträchtliche Anzahl von Mitarbeitern ein zweites Mal hereinfällt. Deshalb ist automatisierter Schutz so wichtig.

Bei Graphus unterstützen wir den Einsatz von Phishing-Schulungen und Tools wie DMARC und SPF, sind uns jedoch auch bewusst, dass diese Maßnahmen nicht verhindern können, dass eine große Anzahl von Angriffen Ihre Abwehrmaßnahmen umgeht. Hier Graphus der von Graphus implementierte Trust Graph einen zusätzlichen Schutz und erkennt Social-Engineering-Angriffe, bevor es zu einem Vorfall kommt.

Eine umfassende Plattform für IT- und Security

Kaseya ist die Komplettlösung für die Verwaltung, Sicherung und Automatisierung Ihrer IT. Durch die nahtlose Integration aller wichtigen IT-Funktionen vereinfacht es den Betrieb, erhöht die Sicherheit und steigert die Effizienz.

Eine Demo erhalten Entdecken Sie Kaseya

Eine Plattform. Alles IT.

Kaseya -Kunden profitieren von den Vorteilen der besten IT-Management- und Sicherheitstools in einer einzigen Lösung.

Entdecken Sie Kaseya

Ihr Erfolg ist unsere Priorität Nr. 1

Partner First ist eine Verpflichtung zu flexiblen Konditionen, geteiltem Risiko und engagierter support Ihr Unternehmen.

Entdecken Sie Partner First Pledge

Globaler MSP -Bericht 2025

Der Global MSP Report 2025 von Kaseya ist Ihre erste Anlaufstelle, um zu verstehen, wohin sich die Branche entwickelt.

Jetzt herunterladen

Kategorien entdecken

Die wahren Kosten von Phishing-Angriffen

Entdecken Sie die wahren Kosten von Phishing-Angriffen und erfahren Sie, wie moderne E-Mail-Sicherheit Bedrohungen stoppt, bevor sie sich auf Ihr Unternehmen auswirken.

Blogbeitrag lesen

Zoom-Phishing-Kampagne: Wie Cyberkriminelle SSA-Warnmeldungen fälschen und ConnectWise ScreenConnect missbrauchen

Erfahren Sie, wie Angreifer Zoom und ConnectWise ScreenConnect missbraucht haben, um gefälschte SSA-Warnmeldungen zu versenden und users einer ausgeklügelten Phishing-Attacke zu täuschen.

Blogbeitrag lesen

Einblick in den OpenAI-Rechnungsbetrug: Missbrauch von SendGrid und Callback-Phishing erklärt

Cyberkriminelle stehen niemals still und entwickeln ihre Taktiken ständig weiter, um Vertrauen, Vertrautheit und menschliche Instinkte auszunutzen. INKY beobachtet INKY Bedrohungen.Mehr lesen

Blogbeitrag lesen