Mobile Phishing gegen Unternehmensmitarbeiter

Mobile Phishing gegen Unternehmensmitarbeiter

Beitrag teilen

Gestohlene Zugangsdaten von Mitarbeitern sind eine der effektivsten Möglichkeiten für Angreifer, die Infrastruktur eines Unternehmens zu infiltrieren. 2022 war die Zahl der Mobile-Phishing-Angriffe so hoch wie noch nie.

Sobald sie die Anmeldeinformationen eines der Konten in der Hand haben, ist es für sie viel einfacher, die Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten. Doch, wie kommen die Angreifer an diese Anmeldedaten? Die Antwort lautet in vielen Fällen Mobile Phishing. Eine weltweite Studie “The Global State of Mobile Phishing Report” von Lookout hat ergeben, dass die Zahl der Mobile-Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt. Auch im ersten Quartal 2023 war dieser Trend ungebrochen.

Wie BYOD die Phishing-Landschaft verändert hat

🔎 Häufigkeit von Mobile Phishing-Angriffen auf Mobiltelefone in der ganzen Welt im Jahr 2022 (Bild: Lookout).

Hybride Arbeitsumgebungen und Bring-your-own-device (BYOD)-Richtlinien könnten zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass immer häufiger persönliche Mobilgeräte für berufliche Zwecke zum Einsatz kommen. Es gilt jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, iOS oder Android – anfällig für Phishing-Versuche ist.

Smartphones und Tablets haben es für Mitarbeiter einfacher gemacht, von überall aus produktiv zu sein, aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht. BYOD-Richtlinien bedeuten, dass mehr Menschen als je zuvor ihre privaten Geräte für die Arbeit nutzen. Dies bedeutet, dass die Risiken, denen sie bei der Nutzung dieser Geräte aus persönlichen Gründen begegnen, auch Risiken für das Unternehmen darstellen. IT- und Sicherheitsteams haben außerdem einen deutlich geringeren Einblick in diese Geräte als in die unternehmenseigenen Geräte, was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu kontrollieren.

Gezielte Angriffe auf privaten Geräte der Angestellten

Diese Faktoren führen dazu, dass Angreifer nun gezielt die privaten Geräte der Benutzer angreifen, um in Unternehmensumgebungen einzudringen. Ein Mitarbeiter kann über private Kanäle wie soziale Medien, WhatsApp oder E-Mail Opfer eines Social-Engineering-Angriffs werden. Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten. Das ist zudem kein einmaliges Ereignis, so zeigen Daten von Lookout, dass im Jahr 2022 mehr als 50 Prozent der privaten Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt waren.

Millionenbeträge stehen auf dem Spiel

Daten sind nicht das Einzige, was Unternehmen riskieren, wenn Mitarbeiter auf einen Phishing-Betrug hereinfallen. Lookout schätzt, dass die maximalen finanziellen Auswirkungen eines erfolgreichen Phishing-Angriffs für Unternehmen mit 5.000 Mitarbeitern auf fast vier Millionen US-Dollar gestiegen sind. Stark regulierte Branchen wie Versicherungen, Banken und das Rechtswesen gelten als die lukrativsten Märkte und sind aufgrund der großen Menge an sensiblen Daten, die sie besitzen, besonders anfällig für Angriffe.

Diese hohen Kosten fallen in eine Zeit, in der die Zahl der Phishing-Angriffe so hoch ist wie nie zuvor. Im Vergleich zu 2020 ist die Zahl der Phishing-Angriffe auf Unternehmensgeräten jetzt um 10 Prozent und auf privaten Geräten um 20 Prozent höher. Außerdem klicken die Menschen häufiger auf Phishing-Links als noch im Jahr 2020, was bedeuten könnte, dass die Angreifer immer besser darin werden, authentisch aussehende Nachrichten zu erstellen. Da mehr Risiken und mehr Geld auf dem Spiel stehen als je zuvor, müssen Unternehmen ihre Sicherheitsstrategien anpassen, um ihre Daten zu schützen.

Daten gegen mobile Phishing-Bedrohungen schützen

Die Mobile-Phishing-Landschaft ist tückischer als je zuvor, vor allem, da das standortunabhängige Arbeiten zunimmt. IT- und Sicherheitsteams müssen Strategien anwenden, die es ihnen ermöglichen, die Datenrisiken, die von Phishing-Angriffen ausgehen, auf allen Mitarbeitergeräten zu visualisieren, zu erkennen und zu minimieren. Dies gilt unabhängig davon, ob es sich um unternehmenseigene oder private Geräte handelt. Mit der richtigen Strategie, basierend auf dem Zero-Trust-Prinzip und SASE (Secure Access Service Edge), ist es möglich, die hybride Arbeitswelt sicher zu gestalten.

„Eine geräteinterne und KI-gestützte Phishing-Erkennung über eine cloudbasierte Sicherheitsplattform ermöglicht es, Angriffe dort zu stoppen, wo sie beginnen. Eine entsprechende Sicherheitslösung hindert Benutzer daran, sich sowohl auf Unternehmens- als auch Privatgeräten mit Phishing-Websites zu verbinden“, erklärt Sascha Spangenberg, , Global MSSP Solutions Architect bei Lookout. „Eine solche Lösung erkennt und blockiert Phishing-Angriffe über jede beliebige mobile App und hindert Mitarbeiter daran, Zugangsdaten preiszugeben oder bösartige Software herunterzuladen. Gerade der Schutz vor mobilen Phishing-Bedrohungen muss dabei Priorität haben, wenn hybrides Arbeiten Realität ist.“

Mehr bei Lookout.com

 


Über Lookout

Die Mitbegründer von Lookout, John Hering, Kevin Mahaffey und James Burgess, schlossen sich 2007 mit dem Ziel zusammen, Menschen vor den Sicherheits- und Datenschutzrisiken zu schützen, die durch die zunehmende Vernetzung der Welt entstehen. Noch bevor Smartphones in jedermanns Tasche waren, erkannten sie, dass Mobilität einen tiefgreifenden Einfluss auf die Art und Weise haben würde, wie wir arbeiten und leben.


 

Passende Artikel zum Thema

Digitale Identitäten: Fünf Herausforderungen 2024

Schon im vergangenen Jahr sorgten generative KI und die weltweite IT-Sicherheitslage für Schlagzeilen. Beides hat Auswirkungen auf digitale Identitäten und ➡ Weiterlesen

28. Januar 2024: Europäischer Datenschutztag

Am 28. Januar 2024 ist Europäischer Datenschutztag. In dem Zusammenhang gilt es, das Bewusstsein für Privatsphäre sowie Datenschutz zu schärfen ➡ Weiterlesen

Die gefährlichste Malware im November: Formbook Platz 1

Die häufigste Malware im November 2023 ist der Infostealer Formbook und die am häufigsten angegriffene Branche ist ISP/MSP. Command Injection ➡ Weiterlesen

KI-basierte Cybersecurity noch ganz am Anfang

Cybersecurity-Verantwortliche sehen zwar das große Potential, das in KI-basierten Securitylösungen steckt, aber eine breite Umsetzung in den Unternehmen ist noch ➡ Weiterlesen

IT-Fachkräfte: 149.000 Stellen in Deutschland nicht besetzt

Laut Bitkom-Umfrage bleiben Stellen für IT-Fachkräfte im Durchschnitt über sieben Monate unbesetzt. 77 % der Befragten erwarten, dass sich die ➡ Weiterlesen

Künstliche Intelligenz: Die wichtigsten Trends 2024

Die Weiterentwicklungen im Bereich Künstlicher Intelligenz bergen für Unternehmen sowohl Risiken für die Cybersicherheit als auch Chancen. Vor allem in ➡ Weiterlesen

Prognosen zur Sicherheit von cyber-physischen Systemen 2024

Die großen geopolitischen Krisen des vergangenen Jahres, wie der anhaltende Krieg Russlands gegen die Ukraine und der Nahost-Konflikt, haben sich ➡ Weiterlesen

CISOs im Jahr 2024

Was denken CISOs, was in 2024 alles passieren wird? Einer ist Sergej Epp, Chief Information Security Officer (CISO) für Zentraleuropa ➡ Weiterlesen