Die wichtigsten Phishing-Statistiken für 2023
Cyberkriminalität ist eine der am weitesten verbreiteten und gefährlichsten Arten von Bedrohungen, denen Unternehmen auf der ganzen Welt derzeit ausgesetzt sind. Aber wie schlimm sieht die Bedrohungslandschaft aus?
Wie erkennt man Phishing-Angriffe?
Wie schützen Sie Ihre Geschäftsdaten?
Gehen Sie proaktiv gegen Cyberangriffe vor
Neueste Cybercrime-Trends
Um Ihnen zu helfen, über die neuesten Trends auf dem Laufenden zu bleiben, haben wir die neuesten Statistiken aus der ganzen Welt zusammengestellt, um Ihnen einen Einblick in die Breite und Ernsthaftigkeit dieser Bedrohung zu geben und Ihnen zu zeigen, was Sie tun können, um sicherzustellen, dass Sie geschützt sind.
- Betrügereien verlagern sich weg von Reedereien hin zu sozialen Medien
Heutzutage können Mitarbeiter-Phishing-E-Mails hyperpersonalisiert, ausgeklügelt, schwer zu erkennen und selbst für die sicherheitsbewussteste Person überraschend gerissen sein.
Ein kürzlich erschienener Bericht von Check Point Research (CPR) hat einen aufkommenden Trend von Social-Engineering-Betrug festgestellt, der sich von Reedereien und Technologiegiganten zu Social-Media-Netzwerken verlagert. Im ersten Quartal 2022 waren soziale Netzwerke die Kategorie mit der größten Zielgruppe, gefolgt von Versand. - Die Sicherheitsbedrohungen nahmen während der Pandemie stark zu
Zscaler gab an, dass allein zwischen Januar und März im Jahr 2020 die Zahl der blockierten verdächtigen Nachrichten, die auf Telearbeiter abzielten, um 30.000 % und die Zahl der Spear-Phishing-Angriffe im Zusammenhang mit COVID-19 um 667 % gestiegen ist.
Sie fanden auch heraus, dass es seit dem Ausbruch mehr als 130.000 verdächtige neu registrierte Domains (NRDs) gab. Cyber-Gauner haben neue Domains registriert, um Wörter und Themen zu nutzen, die mit aktuellen Ereignissen in Verbindung stehen, und um der Erkennung durch Reputations-Blocklisten zu entgehen. - Phishing bleibt die beliebteste Art der Cyberkriminalität
Unter allen Arten von Cyberangriffen bleibt Phishing die größte Bedrohung für Einzelpersonen und Unternehmen. Phishing ist eine Art von Online-Betrug, bei der Personen dazu verleitet werden, vertrauliche Informationen wie Passwörter oder Kreditkartennummern preiszugeben, indem sie sich als vertrauenswürdige Quelle ausgeben.
In unserer zunehmend technologischen Welt entwickeln sich Phishing-Angriffe schneller, als viele von uns zu erkennen scheinen. Die Zeiten, in denen eine große Masse generischer und betrügerischer E-Mails an endlose Empfänger gesendet wurden, werden oft durch neuere Taktiken ersetzt.
Laut dem im Februar 2022 veröffentlichten Phishing Activity Trends Report von APWG erreichten Phishing-Angriffe im Jahr 2021 ein Allzeithoch. Mit mehr als 300.000 registrierten Angriffen im Dezember sind diese Vorfälle mehr als dreimal so häufig wie vor weniger als zwei Jahren .
Beliebte Arten von Phishing
Phishing ist die häufigste Form cyberkrimineller Aktivitäten, unter der britische Unternehmen und Wohltätigkeitsorganisationen leiden. Laut der Cyber Security Breaches Survey 2022 der Regierung wurden 83 % von ihnen Opfer von Phishing-Betrug. Sehen wir uns die folgenden 5 beliebten Arten von Phishing-Angriffen an.
- Phishing für geschäftliche E-Mail-Kompromittierung (BEC) und E-Mail-Kontenkompromittierung (EAC)
BEC/EAC ist ein ausgeklügelter Betrug, der sowohl auf Unternehmen als auch auf Einzelpersonen abzielt, die Geldtransfers durchführen. Der Betrug wird häufig durchgeführt, wenn eine Person legitime geschäftliche E-Mail-Konten durch Social Engineering oder Computereindringtechniken kompromittiert, um nicht autorisierte Geldtransfers durchzuführen.
BEC- und EAC-Verluste haben von 2016 bis 2021 weltweit 43 Milliarden US-Dollar überschritten
Cyberkriminelle haben einen unglaublich hohen ROI erzielt. Das Federal Bureau of Investigation (FBI) sagte in seiner öffentlichen Bekanntmachung, dass „die Verluste durch geschäftliche E-Mail-Kompromittierung (BEC) und E-Mail-Kontokompromittierung (EAC) von 2016 bis 2021 weltweit 43 Milliarden US-Dollar (36 Milliarden Pfund Sterling) überschritten haben“.
Ihr jüngster Bericht über Internetkriminalität zeigte auch eine zunehmende Anzahl ausgeklügelter Betrügereien, die sowohl auf Unternehmen als auch auf Einzelpersonen abzielen, um Geldtransfers durchzuführen. „Im Jahr 2021 gingen beim IC3 19.954 Beschwerden über Business Email Compromise (BEC)/E-Mail Account Compromise (EAC) mit bereinigten Verlusten von fast 2,4 Milliarden US-Dollar (1,99 Milliarden Pfund) ein.“
Offensichtlich ist der schnellste und kostengünstigste Weg, Geld von Einzelpersonen und Unternehmen zu stehlen, immer noch die Verwendung bösartiger, aber normal aussehender E-Mails. - Speerfischen
Spear-Phishing beschreibt betrügerische E-Mails, die an eine bestimmte Person gesendet werden. Kriminelle haben bereits einige personenbezogene Daten einer Person gesammelt, wie z. B. Name, Firmenname, Berufsbezeichnung, E-Mail-Adresse usw. Sie zielen auf Opfer ab, die personenbezogene Daten ins Internet stellen. Sie sehen sich möglicherweise einzelne Profile an, während sie eine Social-Media-Plattform scannen. Von einem Profil aus können sie den Standort einer Person, die Nachbarschaft, die Freundesliste, die E-Mail-Adresse und alle Beiträge zu neuen Produkten finden, die kürzlich gekauft wurden.
Mit den vorliegenden personenbezogenen Daten kann der Cyberkriminelle die Person mit Namen ansprechen und sie auffordern, einen schädlichen Anhang zu öffnen oder auf einen Link zu klicken, der sie zu einer gefälschten Website führt, auf der sie aufgefordert werden, Benutzernamen, Passcodes, Bankkontonummern, Bankleitzahlen, PIN-Nummern etc.
Sicherheitsherausforderungen unter der neuen Normalität der Fernarbeit
Der New Future of Work Report von Microsoft besagt, dass die Sicherheitsbedrohungen während der COVID-19-Krise bei den kommerziellen Kundenorganisationen von Microsoft zugenommen haben. Dem Bericht zufolge haben 80 % der Sicherheitsexperten seit der Umstellung auf Remote-Arbeit eine Zunahme von Sicherheitsbedrohungen erlebt. Von diesen 80 % geben 62 % an, dass Phishing-Versuche stärker zugenommen haben als jede andere Art von Bedrohung. - Walfang-Phishing
Ein Walfangangriff (auch als CEO-Betrug bekannt) ist eine Methode, die von Cyberbetrügern verwendet wird, um sich als leitender Akteur in einer Organisation zu tarnen, um von einem Mitarbeiter einen Gefallen zu verlangen, mit dem Ziel, Geld oder sensible Informationen zu stehlen oder Zugang zu ihnen zu erhalten Computersysteme für kriminelle Zwecke.
Walfang-E-Mails sind raffiniert, sie spielen mit der Bereitschaft der Mitarbeiter, Anweisungen ihrer Vorgesetzten zu befolgen. Die Empfänger könnten vermuten, dass etwas nicht stimmt, haben aber Angst, den Absender zu konfrontieren.
„Walfangangriffe mit Imitationen von Führungskräften haben im ersten Quartal 2021 gegenüber dem ersten Quartal 2020 um 131 % zugenommen“, so das E-Mail-Sicherheitsunternehmen GreatHorn. Ihr Bericht legt auch nahe, dass „59 % der Organisationen sagen, dass eine Führungskraft Zielscheibe von Walfangangriffen wurde und 46 % dieser Führungskräfte diesen Angriffen zum Opfer gefallen sind.“ Angesprochene Führungskräfte erhielten außerdem alle 24 Tage Whaling-E-Mails.
- Verschleierung von Dokumenten und Hyperlinks
Die Lieblingstaktik der alten Cyberkriminellen, bösartige E-Mail-Anhänge als Rechnungen zu tarnen, bleibt die beliebteste Taktik, um Benutzer dazu zu verleiten, den Köder zu öffnen. Andere Taktiken, die in den letzten Jahren stark aufgetaucht sind, umfassen die Tarnung von Anhängen, die als gescannte Dokumente von Bürodruckern gesendet werden, E-Mail-Zustellfehlermeldungen, Bestell- und Zahlungsbestätigungen, hochspezifische Flugbestätigungen und sogar einen gefälschten HMRC-Steuerrückerstattungs-Hyperlink. - Phishing mit imitierter Marke
Markenidentität ist ein Angriff, bei dem ein vertrauenswürdiges Unternehmen, eine Marke oder eine Domäne imitiert wird, um die Opfer dazu zu bringen, zu antworten und persönliche oder anderweitig vertrauliche Informationen preiszugeben.
Im ersten Quartal 2022 kam es zu einem dramatischen Anstieg von Phishing-Angriffen. Der Cybersicherheitsanbieter CheckPoint enthüllte in seinem 2022 Q1 Brand Phishing Report, dass Phishing-Angriffe, die sich als professionelle Social-Networking-Site ausgeben, im ersten Quartal 2022 weltweit mehr als die Hälfte (52 %) aller Versuche ausmachten. Dies entspricht einem Anstieg von 44 % im Vergleich zum Vorjahr Quartal, Q4 2021, als LinkedIn die am fünfthäufigsten imitierte Marke war.
„Nach LinkedIn waren DHL (14 %), Google (7 %), Microsoft (6 %), FedEx (6 %), WhatsApp (4 %), Amazon (2 %) und Maersk die am häufigsten imitierten Marken bei Phishing-Angriffen (1%), AliExpress (0,8%) und Apple (0,8%)."
CPR schlug vor: „Insbesondere Mitarbeiter sollten darin geschult werden, verdächtige Anomalien zu erkennen …“ Die Schulung der Mitarbeiter im Kampf gegen Cyber-Gauner ist jetzt für erfahrene IT-Experten oberstes Gebot, und die gute Nachricht ist, dass wir das haben, was Sie brauchen um Ihnen zu helfen, sich von den Cyber-Risiken fernzuhalten. Mit unserer proaktiven Lösung – uPhish – können Sie die Anfälligkeit Ihrer Mitarbeiter einschätzen; Holen Sie sich Hilfe bei der Auswahl geeigneter Schulungen, um Sicherheitsverletzungen für Ihr Unternehmen zu verhindern.
So erkennen Sie Phishing-Angriffe
Manchmal kann es schwierig sein, mit Sicherheit festzustellen, ob Sie eine Phishing-E-Mail erhalten haben. Vor allem, wenn Sie auf professionell aussehende, gut geschriebene E-Mails stoßen, die so aussehen, als würden sie von Unternehmen gesendet, die Sie kennen und denen Sie vertrauen. Solange Sie jedoch Vorsicht walten lassen und auf die folgenden verräterischen Anzeichen achten, werden Sie wahrscheinlich vermeiden, Opfer dieser Betrügereien zu werden.
Schlecht geschriebene E-Mails
Eines der häufigsten Anzeichen für betrügerische E-Mails sind schlechte Rechtschreib- und Grammatikfehler. Die meisten Organisationen haben die Rechtschreibprüfung für ausgehende E-Mails aktiviert. Daher ist es unwahrscheinlich, dass E-Mails, die von einer professionellen Quelle stammen, eine schlechte Rechtschreibung oder eine falsche Verwendung der Grammatik enthalten.
E-Mails, die von einer öffentlichen E-Mail-Domäne gesendet werden
Eine weitere einfache Möglichkeit, einen potenziellen Phishing-Angriff zu identifizieren, besteht darin, nach Diskrepanzen in E-Mail-Adressen, Links und Domänennamen zu suchen. Die meisten Unternehmen haben ihre eigene E-Mail-Domäne und Firmenkonten. Passen Sie auf, wenn die Domainnamen nicht mit dem Firmennamen übereinstimmen.
E-Mails enthalten verdächtige Links oder Anhänge
Alle Anhänge sollten mit Vorsicht geöffnet werden. Wenn der Anhang eine Erweiterung hat, die häufig mit Malware-Downloads in Verbindung gebracht wird, oder eine unbekannte Erweiterung hat, kann dies ein Warnsignal sein. Denken Sie daran, Anhänge immer auf Viren zu scannen, bevor Sie sie öffnen.
Nachrichten mit einem Gefühl der Dringlichkeit
Meistens drohen böswillige E-Mails mit negativen Folgen; oder nutzen Sie die Dringlichkeit, um sofortige Maßnahmen zu fördern. Leser prüfen den Inhalt möglicherweise nicht gründlich und ein Phishing-Vorgang kann unentdeckt bleiben.
Wie schützen Sie Ihre Geschäftsdaten?
Laut der Cyber Security Breaches Survey 2022 der Regierung:
● 82 % der Führungskräfte stufen Cybersicherheit als „sehr hohe“ oder „ziemlich hohe“ Priorität ein, ein Anstieg um 77 % im Jahr 2021.
● 72 % der Wohltätigkeitsorganisationen stufen Cybersicherheit als „sehr hohe“ oder „ziemlich hohe Priorität“ ein.
● 50 % der Unternehmen und 42 % der Wohltätigkeitsorganisationen geben an, dass sie den Vorstand mindestens vierteljährlich über Fragen der Cybersicherheit informieren.
Sicherheitsbewusstseinstraining
Phishing-Berichte und -Statistiken sind mehr als ein Warnsignal dafür, wie ernst und verbreitet Phishing-Kampagnen sind. Die Schulung und Aufklärung von Mitarbeitern über die Risiken von Phishing-Angriffen und das Erkennen der verräterischen Anzeichen sind bewährte Methoden, um die Bedrohung zu verringern.
Eine der effektivsten Methoden, um zu sehen, wie anfällig Ihre Endbenutzer sind, sind simulierte Phishing-Kampagnen. Für weitere Informationen darüber, wie wichtig es ist, das Bewusstsein für Phishing-Betrug zu schärfen, probieren Sie unsere kostenlose Testversion der Phishing-Simulation aus.
Gehen Sie proaktiv gegen Cyberangriffe vor
Das leistungsstarke Anti-Phishing-Produkt von Usecure – uPhish – ermöglicht es Unternehmen, Schein-Phishing-Angriffe auf ihre Mitarbeiter einzusetzen, um dem Unternehmen zu helfen, die Schwachstelle ihrer Mitarbeiter zu verstehen und welche Arten von relevanten Schulungen bereitgestellt werden sollten.
Die Administratoren, die für die Bereitstellung dieser simulierten Phishing-Kampagnen verantwortlich sind, können vorgefertigte E-Mail-Phishing-Vorlagen verwenden. uPhish wird mit einer umfangreichen Bibliothek vorgefertigter Vorlagen geliefert, mit denen Sie schnell und einfach realistische Kampagnen bereitstellen können. Sie können auch auswählen, welche Vorlagen Sie ausschließen möchten (sowohl benutzerdefinierte als auch vorgefertigte), welche Benutzergruppen Sie ausschließen möchten und ob Benutzer Simulationen nur während der Arbeitszeit erhalten sollen.
Probieren Sie jetzt uPhish aus, bevor bewaffnete E-Mails Ihre Mitarbeiter erreichen!employees!