Das ist nur eine von vielen alarmierenden Statistiken, die zeigen, wie verheerend Phishing in der j\u00fcngeren Vergangenheit f\u00fcr Menschen und Unternehmen gleicherma\u00dfen war. J\u00fcngste Ereignisse, technologische Entwicklungen (KI und Deep Fake) und umliegende Daten deuten beunruhigend darauf hin \u2013 wie Sie in diesem Artikel erfahren werden \u2013 dass die Bedrohung durch Phishing noch gr\u00f6\u00dfer und heimt\u00fcckischer werden k\u00f6nnte, als sie bereits ist.<\/p>\n
Und darauf sind wir vielleicht nicht vollst\u00e4ndig vorbereitet.<\/p>\n
Phishing-Statistiken \u2013 Der angerichtete Schaden<\/h2>\n
Teilen Sie dieses Bild auf Ihrer Website<\/strong><\/p>\n Die Phishing-Statistik zeigt einen Aufw\u00e4rtstrend, einen unverkennbaren Anstieg, der seit 3 \u200b\u200bJahren nicht mehr zu beobachten ist. Greg Aaaron, APWG Senior Research Fellow, sagte: \u201eDies ist die schlimmste Zeit f\u00fcr Phishing, die die APWG seit drei Jahren erlebt hat, seit dem vierten Quartal 2016.“<\/p>\n Laut Verizon<\/a> waren 32 % der im Jahr 2018 gemeldeten Datenschutzverletzungen das Ergebnis von Phishing-Angriffen. Dies wurde 2019 noch schlimmer, als Phishing f\u00fcr 90 %<\/a> der Datenschutzverletzungen<\/strong> verantwortlich war. Die Statistiken deuten darauf hin, dass sich Hacker immer noch \u00fcberwiegend auf Social Engineering und Vertrauenstricks verlassen und nicht auf Brute-Force- und andere raffiniertere Angriffe, um auf vertrauliche Informationen von Benutzern\/Unternehmen zuzugreifen.<\/p>\n Die Effektivit\u00e4t und hohe Erfolgsquote von Phishing-Angriffen f\u00fcr Cyberkriminelle l\u00e4sst sich auch daran absch\u00e4tzen, dass jeden Monat bis zu 1,5 Millionen Phishing-Websites erstellt werden.<\/a><\/strong> Eine solch au\u00dfergew\u00f6hnlich hohe Aktivit\u00e4t kann nur aufrechterhalten werden, wenn die Agenten hinter Phishing gut davon profitieren.<\/p>\n Auf Unternehmensebene belaufen sich die durchschnittlichen Verluste, die mittelst\u00e4ndische Phishing-kompromittierte Unternehmen erleiden, auf 1,6 Millionen US-Dollar<\/a>.<\/strong> Kein Wunder, dass Phishing einen besonderen Platz im Herzen jedes Hackers einnimmt.<\/p>\n Der anhaltende Erfolg von Phishing ist einfach ein Ergebnis unserer menschlichen Tendenz, sich zu einer Handlung verleiten zu lassen, insbesondere wenn wir der Quelle vertrauen.<\/p>\n Salvatore Stolfo, CTO bei Alluresecurity<\/a>, stellt treffend fest:<\/p>\n Es ist wahr, dass KI von Angreifern zur\u00fcckentwickelt und bewaffnet werden kann, um Menschen mit Cyber-Angriffen anzugreifen. Aber die Realit\u00e4t ist, dass Angreifer beim Phishing nicht einmal so technisch versiert sein m\u00fcssen, um erfolgreich zu sein. Und deshalb bleibt Phishing weiterhin einer der wichtigsten Angriffsvektoren. Es nutzt unseren grundlegenden Instinkt, zu vertrauen und auf einen Link zu klicken, von dem wir glauben, dass er von einer legitimen Quelle stammt, wie z. B. Ihrer Bank, oder einer Marke, die Sie kennen und der Sie vertrauen, wie Microsoft, Netflix oder PayPal.<\/p>\n<\/blockquote>\n Die Methoden und Strategien f\u00fcr Phishing werden mit der Zeit immer ausgefeilter. Tats\u00e4chlich sind bereits Verbesserungen der Techniken erkennbar, die auf ein ernsthaft prek\u00e4res Cybersicherheitsumfeld in der kommenden Zeit hindeuten.<\/p>\n<\/p>\n Teilen Sie dieses Bild auf Ihrer Website<\/strong><\/p>\n Wir haben bereits eine \u00c4nderung der Normen beim E-Mail-Phishing erlebt. Traditionell wird der Shotgun-Ansatz h\u00e4ufiger verwendet, wenn der Hacker so viele Menschen wie m\u00f6glich anlocken m\u00f6chte. Angriffe auf die Unternehmenssicherheit sind jedoch wesentlich erfolgreicher, wenn sie gezielt durchgef\u00fchrt werden, eine Technik, die als Spear-Phishing bekannt ist.<\/p>\n Cisco behauptet, dass<\/a> 95 % aller Angriffe auf Sicherheitsnetzwerke von Unternehmen durch Spear-Phishing erm\u00f6glicht werden. Bei einem Spear-Phishing-Angriff kann sich ein Hacker als echtes \u2013 oft hochkar\u00e4tiges \u2013 Mitglied einer Organisation oder Branche ausgeben, um den Empf\u00e4nger der E-Mail dazu zu bringen, seine Informationen preiszugeben.<\/p>\n Spear-Phishing-E-Mails wurden 2017 von 71 % der Hackergruppen als prim\u00e4re Infektionsmethode ausgenutzt<\/a>. Die hohe Erfolgsrate von Spear-Phishing ist einfach das Ergebnis einer besser getarnten Identit\u00e4t, die selbst die Vorsichtigeren unter uns dazu verleitet betrogen werden.<\/p>\n Dennis Bell, ein IT-Experte und Gr\u00fcnder von Byblos Coffee,<\/a> prognostiziert Folgendes:<\/p>\n Im Jahr 2021 w\u00fcrde Spear-Phishing weiter verbreitet sein \u2026 KI und ML k\u00f6nnen verwendet werden, um die besten Ziele basierend auf ihren Online-Aktivit\u00e4ten zu identifizieren. Sie k\u00f6nnen sogar Informationen dar\u00fcber sammeln, wer in ihrem Unternehmensnetzwerk den meisten Zugriff hat. Sobald KI und ML Profile erstellt haben, k\u00f6nnen sie basierend auf den Schwachstellen des Ziels angepasste Phishing-Materialien senden.<\/p>\n<\/blockquote>\n Der Missbrauch von KI und die daraus resultierende Entwicklung von Technologien wie Deep Fake ist ein weiterer schwerer Schlag f\u00fcr unsere Hoffnungen auf ein phishingfreies Internet. Vor KI konnten sich Phisher nur hinter ausgekl\u00fcgelten E-Mails und Websites tarnen. Mit KI und Deep Fake k\u00f6nnen sie sogar das Gesicht und die Stimme einer beliebigen Person nachahmen, was dem Social-Engineering-Betrug eine ganz neue Dimension verleiht.<\/p>\n Kim Martin, VP Marketing<\/a> beim Biometrieunternehmen ID R&D<\/a>, weist darauf hin:<\/p>\n Betr\u00fcger verwenden maschinelles Lernen und KI, um ausgekl\u00fcgelte Phishing-Angriffe durchzuf\u00fchren, bei denen sie sich durch Fortschritte in der synthetischen Sprache als echte, autorisierte Benutzer ausgeben. In einem k\u00fcrzlichen Szenario war eine Stimme \u201edeep fake“, die einen CEO dazu verleitete, 243.000 US-Dollar an einen ungarischen Lieferanten zu \u00fcberweisen. Der CEO dachte, die Anfrage k\u00e4me von seinem Chef. Mit diesen F\u00e4higkeiten haben Betr\u00fcger ein neues Vehikel f\u00fcr Social Engineering und einen Weg gefunden, um an der biometriebasierten Authentifizierung vorbeizukommen, wenn kein angemessener Schutz vorhanden ist.<\/p>\n<\/blockquote>\n Fortschritte in der Verarbeitung nat\u00fcrlicher Sprache er\u00f6ffnen Bedrohungsakteuren einen weiteren Weg. Die Verwendung von maschinellem Lernen zum Verfassen offizieller Korrespondenzen, die darauf abzielen, Gesch\u00e4ftsmitarbeiter zu betr\u00fcgen, ist heute eine sehr reale M\u00f6glichkeit und wird sich mit ziemlicher Sicherheit in Zukunft weiter durchsetzen.<\/p>\n Die Verarbeitung nat\u00fcrlicher Sprache ist eines der am aktivsten erforschten Gebiete der KI, das in der Lage ist, menschliche Sprachen zu verstehen und effektiv mit ihnen zu kommunizieren. Da sich diese F\u00e4higkeiten im Laufe der Zeit verbessern, wird es eine gro\u00dfe Herausforderung sein, den Unterschied zwischen menschlicher und maschineller Sprache zu erkennen. Der Experte f\u00fcr digitale Privatsph\u00e4re, Attila Tomaschek<\/a>, betont:<\/p>\n Ein Cyberkrimineller k\u00f6nnte eine Malware in einen bestehenden E-Mail-Thread einschleusen, der KI und ML nutzen kann, um die Sprache und den Kontext des Threads zu analysieren, um die nat\u00fcrliche menschliche Sprache zu lernen und zu emulieren und dadurch \u00fcberzeugende, nat\u00fcrlich klingende Phishing-E-Mails zu erstellen zu individuellen Zielen.“ Er weist auch darauf hin, wie KI-gesteuerte Chat-Bots Opfer dazu verleiten k\u00f6nnen, auf b\u00f6sartige Links zu klicken.<\/p>\n<\/blockquote>\n Die alarmierendste Tatsache unter all dem ist, dass dies keine futuristische Vorhersage ist, die zu weit von der Gegenwart entfernt ist, um sich dar\u00fcber Sorgen zu machen. Das sind sehr reale F\u00e4higkeiten, die bereits in einem fast erschreckenden Ausma\u00df vorhanden sind.<\/p>\n Maschinelles Lernen kann auch dazu beitragen, Phishing-Angriffe unauffindbar zu machen. Im Laufe der Zeit k\u00f6nnen E-Mails lernen, E-Mail-Filter zu umgehen, indem sie eine immer realistischere Sprache verwenden, um v\u00f6llig legitim zu erscheinen. Will Pearce, Senior Security Consultant bei Silent Break Security,<\/a> teilt dies mit<\/p>\n Adversarial Machine Learning hat die F\u00e4higkeit, Phishing-Versuche unauffindbar zu machen \u2013 einige im Jahr 2019 ver\u00f6ffentlichte Forschungsergebnisse mit dem Titel \u201eProof-Pudding“ taten genau dies. Der Proofpoint-Spam-Filter lie\u00df Spam-Vorhersage-Scores durchsickern, die Forschung sammelte einen Datensatz und trainierte ein Modell, um W\u00f6rter auszugeben, die sicherstellen w\u00fcrden, dass Phishing-E-Mails \u201eunentdeckt“ blieben. Systeme des maschinellen Lernens sind eine neue Angriffsfl\u00e4che, die im Allgemeinen nicht gut verstanden wird.<\/p>\n<\/blockquote>\n In Anbetracht der Tatsache, dass einfache Algorithmen verwendet werden k\u00f6nnen, um sogar versteckte Informationen in Facebook-Profilen<\/a> zu ermitteln, wird die Kombination von Deep Fake und Adversarial ML die Bandbreite der Angriffe, die einem durchschnittlichen Phisher zur Verf\u00fcgung stehen, erheblich erweitern.<\/p>\n Ein Homograph-Angriff nutzt die Tatsache aus, dass viele Buchstaben im Alphabet der meisten modernen Sprachen \u00e4hnlich sind. Zum Beispiel ist der Buchstabe B auf Griechisch \u03b2. Mit diesem Wissen kann eine b\u00f6swillige Phishing-Website einen Domainnamen verwenden, der genau wie eine andere legitime Domain aussieht. Der Unterschied eines kleinen Zeichens ist oft nicht zu erkennen, insbesondere auf den Bildschirmen kleinerer Handheld-Ger\u00e4te wie Smartphones.<\/p>\n Zum Beispiel: https:\/\/www.the\u00edndependent.com\/<\/a> unterscheidet sich von der Domain von The Independent nur in einem Zeichen: dem \u201e\u00ed“ f\u00fcr das \u201ei“. Diese Look-Alike-Domains erweitern nur das Arsenal an Techniken, die modernen Phishern zur Verf\u00fcgung stehen.<\/p>\n Teilen Sie dieses Bild auf Ihrer Website<\/strong><\/p>\n Technologische F\u00e4higkeiten stellen nur einen von mehreren M\u00f6glichkeiten dar, die Phisher nutzen, um immer verheerendere Cyberangriffe zu starten. Betr\u00fcger nutzen die durch das mysteri\u00f6se Coronavirus ausgel\u00f6ste Panik und starten Phishing-Kampagnen, um Menschen dazu zu verleiten, auf b\u00f6sartige Links zu klicken und vertrauliche Informationen preiszugeben.<\/p>\n Der bemerkenswerteste Fall solcher Phishing-Exploits wurde von Kaspersky gemeldet,<\/a> wo Phishing-E-Mails, die vorgeben, von der CDC gesendet zu werden, Ihre Informationen stehlen, wenn Sie auf einen Link klicken, der nach Ihrem Outlook-Login fragt. Die E-Mails stammen von einer cdc-gov.org-Dom\u00e4ne, obwohl die Dom\u00e4ne der legitimen CDC cdc.gov ist.<\/p>\n Es gen\u00fcgt zu sagen, dass es f\u00fcr einen durchschnittlichen Benutzer \u00e4u\u00dferst schwierig ist, diesen Unterschied in der Domain zu bemerken und Betrug zu vermuten, insbesondere wenn die E-Mail so \u00fcberzeugend mit legitim erscheinenden externen Links formuliert ist. Nat\u00fcrlich ist an der ganzen E-Mail in Wirklichkeit nichts legitim.<\/p>\n Diese Taktiken beziehen ihre Wirksamkeit aus der Panik, die die Situation umgibt (in diesem Fall das Coronavirus), wo die vorherrschende Unsicherheit und Dringlichkeit selbst das Urteil eines weisen Mannes kurzschlie\u00dfen kann. Im Gegensatz zu realen Bedrohungen ist die Gefahr von Cyberangriffen, egal wie real, nur weit entfernt und bestenfalls am Rande.<\/p>\n Die US-Wahlen 2021 bieten Phishern eine weitere Gelegenheit, ihren schlechten Gesch\u00e4ften nachzugehen, wie sie es bei den vorherigen Wahlen getan haben. Wie Orion Casetto, Director of Product Marketing<\/a> bei Exabeam<\/a>, einf\u00fchlsam feststellt<\/p>\n Phishing wird so schnell nicht verschwinden. Der Eifer rund um die US-Pr\u00e4sidentschaftswahlen 2021 bietet potenziellen Angreifern die perfekte Umgebung, um Phishing- und Social-Engineering-Kampagnen durchzuf\u00fchren. Viele Menschen sind leidenschaftlich, bereit zu handeln und erhalten eine Flut von Mitteilungen aus neuen Quellen; Dies ist ein perfekter Sturm, der den Menschen reichlich Gelegenheit bietet, Opfer gut gestalteter Phishing-E-Mails zu werden, die als Kommunikation von politischen Organisationen und Kandidaten getarnt sind.<\/p>\n<\/blockquote>\n Diese wichtigen Ereignisse, gepaart mit der Unterst\u00fctzung von KI, werden Phisher und Betr\u00fcger nur ermutigen, \u00e4u\u00dferst sch\u00e4dliche Kampagnen durchzuf\u00fchren, die auf jeden Teil der Gesellschaft abzielen, vom Einzelnen bis hin zu Organisationen aller Gr\u00f6\u00dfen.<\/p>\n Die beste Verteidigung gegen Phishing ist immer noch Ihr altmodisches Urteilsverm\u00f6gen, Ihre Intelligenz, Ihr gesunder Menschenverstand und Ihre Vorsicht. Leider wird es in einer schnelllebigen Welt, in der Menschen eine abnehmende Aufmerksamkeitsspanne und noch weniger Geduld haben, zu einer ziemlichen Herausforderung, vor jedem Link, auf den Sie klicken, und jeder Website, die Sie besuchen, Sorgfalt und Vorsicht walten zu lassen.<\/p>\n Deshalb gewinnt auch Anti-Phishing-Software an Bedeutung, um Menschen bei der Fehleinsch\u00e4tzung zu unterst\u00fctzen. Dennoch k\u00f6nnen einige vern\u00fcnftige Tipps Sie davor bewahren, das n\u00e4chste Phishing-Opfer zu werden.<\/p>\n Dies sind einige Vorsichtsma\u00dfnahmen, die Sie als Benutzer treffen k\u00f6nnen. Aber es gibt immer noch eine gr\u00f6\u00dfere Verantwortung f\u00fcr Organisationen aller Art, Phishing effektiver zu bek\u00e4mpfen. Sie k\u00f6nnen damit beginnen, ihre anf\u00e4lligen alten Computersysteme auf moderne, aktualisierte Systeme aufzur\u00fcsten, wie Sivan Nir, Leiter des Threat Intelligence Team bei Skybox Security, betont<\/a><\/p>\n Der NCSC-Bericht von 2019 stellte fest, dass mehr als 318 \u00f6ffentliche Netzwerke auf Windows XP laufen, obwohl Microsoft 2014 die Unterst\u00fctzung daf\u00fcr eingestellt hat. Da sich Unternehmen auf \u201ealte“ Software verlassen und Cyberkriminelle KI und ML verwenden, um ihre Malware zu mutieren, werden Phishing-Angriffe f\u00fcr a nahezu unsichtbar den Augen des Unternehmens und noch verheerender.<\/p>\n<\/blockquote>\n Stolfo merkt an, dass die meisten Phisher h\u00e4ufig Web Scraping verwenden, um die legitime Domain zu imitieren. Er empfiehlt, Code in die urspr\u00fcngliche Website einzubetten, der es Webmastern erm\u00f6glicht, nachzuverfolgen und zu erkennen, ob ihre Website gekratzt wurde, und den eingebetteten Code mitzunehmen. Dieser Code l\u00f6st dann eine Warnung aus und sammelt Informationen \u00fcber den Hacker, z. B. seine Geolokalisierung, um die Ursache des Problems aufzusp\u00fcren.<\/p>\n Obwohl diese Ma\u00dfnahmen f\u00fcr Unternehmen wichtig sind, um ihre Widerstandsf\u00e4higkeit gegen Phishing-Angriffe zu verbessern, gibt es keinen Ersatz f\u00fcr die Sensibilisierung der Benutzer als die effektivste vorbeugende Strategie zur Bek\u00e4mpfung von Phishing. Im Grunde genommen ist Phishing im Wesentlichen ein ausgekl\u00fcgelter Vertrauenstrick.<\/p>\n\n
Sich entwickelnde Methoden \u2013 Phishers on the Storm<\/h2>\n
Speerfischen<\/h3>\n
\n
Deep Fakes und KI<\/h3>\n
\n
\n
\n
Homograph-Angriffe<\/h3>\n
Die kommende Zukunft \u2013 Corona, US-Wahlen und Technologiemissbrauch<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e692b8fe.png\")
<\/a><\/p>\n\n
Vorbereitung auf einen Phishing-Ausbruch<\/h2>\n
![\"\"](\"https:\/\/vpn.inform.click\/wp-content\/uploads\/2022\/04\/post-125841-625d0e6a88a99.png\")
<\/a><\/p>\nTeilen Sie dieses Bild auf Ihrer Website<\/h3>\n
Tipps f\u00fcr Benutzer<\/h3>\n
\n
Die Rolle von Organisationen<\/h3>\n
\n