Barracuda Networks, Anbieter von cloudbasierten Security- und Datensicherungslösungen, hat seinen aktuellen Spear-Phishing-Report veröffentlicht.
Im Zeitraum von Juli bis September 2019 identifizierte der Sicherspezialist 1,5 Millionen Spear-Phishing-Attacken bei über 4.000 Unternehmen oder Institutionen, die Barracuda Sentinel einsetzen, ein Cloud-Service mit KI-Lösung zur Echtzeit-Abwehr von Spear-Phishing-Attacken und Betrugsversuchen.
Folgender vier Vektoren bedienten sich die Angreifer hauptsächlich:
Scamming (39 Prozent): Diese Angriffe zielen ab auf private, sensible und persönliche Informationen wie etwa Kontodaten oder Kreditkartennummern.
Brand Impersonation (47 Prozent): Diese Art von Spear-Phishing imitiert bekannte Unternehmen wie etwa Microsoft und damit verbundene, häufige Geschäftsvorgänge.
Blackmailing (7 Prozent): Die häufigsten Erpressungsbetrügereien sind Sextortion-Angriffe. Dabei geben Cyberkriminelle vor, im Besitz eines kompromittierenden Videos zu sein, das angeblich auf dem Computer des Opfers aufgezeichnet wurde, und drohen, es mit allen Kontakten des Opfers zu teilen – es sei denn, die Zielperson bezahlt.
BEC-Attacken (7 Prozent): Business Email Compromise-Angriffe, auch bekannt als CEO-Fraud, Whaling oder Wire-Transfer-Fraud, machen zwar nur einen kleinen Teil der Spear-Phishing-Angriffe aus, sind aber umso gefährlicher. Laut FBI waren BEC-Angriffe in den vergangenen vier Jahren für einen Schaden von mehr als 26 Milliarden Dollar verantwortlich. Diese äusserst zielgerichteten Angriffe sind extrem schwer zu erkennen, weil sie selten eine URL oder einen bösartigen Anhang enthalten, und stehen im Mittelpunkt des Barracuda-Reports.
Die wichtigsten Erkenntnisse aus dem Report:
- 91 Prozent der BEC-Angriffe finden werktags statt und werden im Regelfall während der üblichen Geschäftszeiten des ins Visier genommene Unternehmen verschickt. Die Angreifer wollen damit die typischen Geschäftsabläufe simulieren, um diese so unverdächtig wie möglich erscheinen zu lassen.
- Der durchschnittliche BEC-Angriff zielt auf nicht mehr als sechs Mitarbeiter ab. 94,5 Prozent aller Angriffe nehmen weniger als 25 Personen ins Visier.
- 85 Prozent der BEC-Exploits sind als dringende Anfragen getarnt, die vorgeblich eine schnelle Reaktion erfordern.
- BEC-Angriffe auf geschäftliche E-Mails haben hohe Klickraten. Jede zehnte Spear-Phishing-E-Mail verleitet den Adressaten, diese anzuklicken. 3 von 10 Spear-Phishing-E-Mails bringen den Adressaten dazu, sie zu öffnen, wenn das Schreiben von der Personal- oder der IT-Abteilung des Unternehmens kommt.
„Angreifer finden immer wieder neue Wege, um BEC-Angriffe noch überzeugender zu gestalten, was sie letztlich teurer und schädlicher für Unternehmen macht", sagt Don MacLennan, SVP, Email Protection, Engineering and Product Management bei Barracuda. „Die richtigen Vorsichtsmassnahmen zu treffen und über die Taktiken der Cyberkriminellen auf dem Laufenden zu bleiben, wird Unternehmen helfen, sich effektiver gegen diese sehr gezielten Angriffe zu verteidigen.“