Gestohlene Zugangsdaten von Mitarbeitern sind eine der effektivsten Möglichkeiten für Angreifer, die Infrastruktur eines Unternehmens zu infiltrieren. 2022 war die Zahl der Mobile-Phishing-Angriffe so hoch wie noch nie.
Sobald sie die Anmeldeinformationen eines der Konten in der Hand haben, ist es für sie viel einfacher, die Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten. Doch, wie kommen die Angreifer an diese Anmeldedaten? Die Antwort lautet in vielen Fällen Mobile Phishing. Eine weltweite Studie „The Global State of Mobile Phishing Report“ von Lookout hat ergeben, dass die Zahl der Mobile-Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt. Auch im ersten Quartal 2023 war dieser Trend ungebrochen.
Wie BYOD die Phishing-Landschaft verändert hat
🔎 Häufigkeit von Mobile Phishing-Angriffen auf Mobiltelefone in der ganzen Welt im Jahr 2022 (Bild: Lookout).
Hybride Arbeitsumgebungen und Bring-your-own-device (BYOD)-Richtlinien könnten zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass immer häufiger persönliche Mobilgeräte für berufliche Zwecke zum Einsatz kommen. Es gilt jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, iOS oder Android – anfällig für Phishing-Versuche ist.
Smartphones und Tablets haben es für Mitarbeiter einfacher gemacht, von überall aus produktiv zu sein, aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht. BYOD-Richtlinien bedeuten, dass mehr Menschen als je zuvor ihre privaten Geräte für die Arbeit nutzen. Dies bedeutet, dass die Risiken, denen sie bei der Nutzung dieser Geräte aus persönlichen Gründen begegnen, auch Risiken für das Unternehmen darstellen. IT- und Sicherheitsteams haben außerdem einen deutlich geringeren Einblick in diese Geräte als in die unternehmenseigenen Geräte, was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu kontrollieren.
Gezielte Angriffe auf privaten Geräte der Angestellten
Diese Faktoren führen dazu, dass Angreifer nun gezielt die privaten Geräte der Benutzer angreifen, um in Unternehmensumgebungen einzudringen. Ein Mitarbeiter kann über private Kanäle wie soziale Medien, WhatsApp oder E-Mail Opfer eines Social-Engineering-Angriffs werden. Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten. Das ist zudem kein einmaliges Ereignis, so zeigen Daten von Lookout, dass im Jahr 2022 mehr als 50 Prozent der privaten Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt waren.
Millionenbeträge stehen auf dem Spiel
Daten sind nicht das Einzige, was Unternehmen riskieren, wenn Mitarbeiter auf einen Phishing-Betrug hereinfallen. Lookout schätzt, dass die maximalen finanziellen Auswirkungen eines erfolgreichen Phishing-Angriffs für Unternehmen mit 5.000 Mitarbeitern auf fast vier Millionen US-Dollar gestiegen sind. Stark regulierte Branchen wie Versicherungen, Banken und das Rechtswesen gelten als die lukrativsten Märkte und sind aufgrund der großen Menge an sensiblen Daten, die sie besitzen, besonders anfällig für Angriffe.
Diese hohen Kosten fallen in eine Zeit, in der die Zahl der Phishing-Angriffe so hoch ist wie nie zuvor. Im Vergleich zu 2020 ist die Zahl der Phishing-Angriffe auf Unternehmensgeräten jetzt um 10 Prozent und auf privaten Geräten um 20 Prozent höher. Außerdem klicken die Menschen häufiger auf Phishing-Links als noch im Jahr 2020, was bedeuten könnte, dass die Angreifer immer besser darin werden, authentisch aussehende Nachrichten zu erstellen. Da mehr Risiken und mehr Geld auf dem Spiel stehen als je zuvor, müssen Unternehmen ihre Sicherheitsstrategien anpassen, um ihre Daten zu schützen.
Daten gegen mobile Phishing-Bedrohungen schützen
Die Mobile-Phishing-Landschaft ist tückischer als je zuvor, vor allem, da das standortunabhängige Arbeiten zunimmt. IT- und Sicherheitsteams müssen Strategien anwenden, die es ihnen ermöglichen, die Datenrisiken, die von Phishing-Angriffen ausgehen, auf allen Mitarbeitergeräten zu visualisieren, zu erkennen und zu minimieren. Dies gilt unabhängig davon, ob es sich um unternehmenseigene oder private Geräte handelt. Mit der richtigen Strategie, basierend auf dem Zero-Trust-Prinzip und SASE (Secure Access Service Edge), ist es möglich, die hybride Arbeitswelt sicher zu gestalten.
„Eine geräteinterne und KI-gestützte Phishing-Erkennung über eine cloudbasierte Sicherheitsplattform ermöglicht es, Angriffe dort zu stoppen, wo sie beginnen. Eine entsprechende Sicherheitslösung hindert Benutzer daran, sich sowohl auf Unternehmens- als auch Privatgeräten mit Phishing-Websites zu verbinden“, erklärt Sascha Spangenberg, , Global MSSP Solutions Architect bei Lookout. „Eine solche Lösung erkennt und blockiert Phishing-Angriffe über jede beliebige mobile App und hindert Mitarbeiter daran, Zugangsdaten preiszugeben oder bösartige Software herunterzuladen. Gerade der Schutz vor mobilen Phishing-Bedrohungen muss dabei Priorität haben, wenn hybrides Arbeiten Realität ist.“
Mehr bei Lookout.com
Über Lookout Die Mitbegründer von Lookout, John Hering, Kevin Mahaffey und James Burgess, schlossen sich 2007 mit dem Ziel zusammen, Menschen vor den Sicherheits- und Datenschutzrisiken zu schützen, die durch die zunehmende Vernetzung der Welt entstehen. Noch bevor Smartphones in jedermanns Tasche waren, erkannten sie, dass Mobilität einen tiefgreifenden Einfluss auf die Art und Weise haben würde, wie wir arbeiten und leben.