2023 steht vor der Tür. Um die Sicherheit Ihrer Geschäftsdaten im kommenden Jahr zu gewährleisten, ist es von entscheidender Bedeutung, die neuen und anhaltenden Phishing-Trends zu verstehen. Basierend auf Branchenberichten und Untersuchungen haben wir vier große Cybersicherheitsbedrohungen zusammengestellt, die erhebliche Auswirkungen auf Ihr Unternehmen haben werden. Wenn Sie Mitarbeiter mit Phishing-Simulationen schulen, möchten Sie möglicherweise auch einige dieser Themen in die Schulung einbeziehen.
#2 Betrug mit künstlicher Intelligenz (KI).
#3 Bedrohungen in der Lieferkette
#4 Multi-factor authentication (MFA) threats
Statten Sie Ihre Mitarbeiter mit dem nötigen Wissen aus
Bei Betrügereien mit Energiesystemen geben sich böswillige Akteure als Energieversorger oder Regulierungsbehörden aus, um an Ihre Gelder oder Geschäftsinformationen zu gelangen. National Grid hat gewarnt, dass der Kälteeinbruch und eine Unterbrechung der russischen Gaslieferungen nach Europa zu Stromausfällen führen könnten. Bedenken hinsichtlich der Energieversorgung und -preise im Vereinigten Königreich haben zu mehr böswilligen Cyberoperationen geführt. Während die Regierung Unternehmen und Familien mit dem Energy Bill Relief Scheme und dem 400 £ Energy Discounte unterstützt, nehmen Cyberkriminelle auch diese neu eingeführten Programme ins Visier und machen sich unsere Schwachstellen zunutze.
Actionfraud, die nationale Meldestelle für Betrug und Cyberkriminalität im Vereinigten Königreich, berichtete, dass sich Cyberkriminelle als die Energieregulierungsbehörde Ofgem ausgaben und Phishing-E-Mails im „GOV.UK“-Stil verschickten, in denen sie die Menschen aufforderten, ihre Bankdaten einzugeben, um die Energierückerstattung zu erhalten.
Darüber hinaus sind aufgrund der steigenden Großhandelspreise und Energiepreise viele Energieversorger im vergangenen Jahr zusammengebrochen. Der Guardian berichtete, dass Betrüger die Situation ausgenutzt hätten. Sie gaben sich als Inkassounternehmen aus, verschickten Phishing-E-Mails an Benutzer und versuchten, wertvolle Zugangsdaten zu stehlen. Die Nachrichtenagentur verwies zudem auf einen steigenden Trend der Betrügereien. Zahlen von Action Fraud zeigten, dass im ersten Quartal 2022 die Betrügereien mit Nennung der größten Energieversorger im Vergleich zum Vorjahreszeitraum um 10 % zugenommen hatten. Allein im Januar gab es einen Anstieg von 27 % gegenüber 2021.
Laut einer von Citizens Advice im Jahr 2022 durchgeführten Studie waren über 40 Millionen Menschen Ziel von Betrügern und 12 % der Betrügereien stehen im Zusammenhang mit Energie. Wir haben bereits einen Anstieg des Phishings zum Thema Energie beobachtet. Dieser Trend dürfte sich auch im kommenden Jahr fortsetzen. Um dieser Bedrohung entgegenzuwirken, sollten Ihre Mitarbeiter, die Zugriff auf Bankkontoinformationen erhalten, um regelmäßige Zahlungen zu leisten, gut geschult sein.
Auf künstlicher Intelligenz basierende Software wird zunehmend für schändliche Zwecke eingesetzt. Diese KI-gestützten Betrügereien sind in der Lage, realistische computergenerierte Bilder, Videos, Gesichter und sogar Stimmen zu erzeugen. Sie ermöglichen es Kriminellen, in großem Umfang überzeugende Phishing-Nachrichten mit gefälschten und manipulierten Bildern zu erstellen.
KI-Phishing-Inhalte sind hochentwickelt und schwer zu erkennen. Wired.com, eine beliebte Informationsquelle für Technologie, zitierte ein überraschendes Ergebnis der Government Technology Agency von Singapur. Die Agentur stellte in einem Experiment fest, dass KI tatsächlich bessere Phishing-E-Mails schrieb als Menschen. Sie schickten simulierte Phishing-E-Mails, die sie selbst erstellt hatten, und andere, die von einem KI-Tool generiert wurden, an 200 ihrer Kollegen. Sie waren schockiert, als sie feststellten, dass deutlich mehr ihrer Kollegen auf die Links in den von der KI generierten E-Mails klickten als auf die von Menschen geschriebenen.
PYMNTS.com, eine führende globale Nachrichten-Website, gab bekannt, dass die weltberühmte professionelle Networking-Website LinkedIn mit einem ernsthaften Problem gefälschter Konten konfrontiert ist. Die Sustainability Professionals Group von LinkedIn hat im Jahr 2022 12.700 mutmaßliche Fake-Profile blockiert.
Die amerikanische Non-Profit-Medienorganisation National Public Radio erwähnte auf ihrer Website das Problem der durch KI generierten Gesichter. Bei den oben genannten handelt es sich vermutlich um KI-generierte Gesichter aus gefälschten LinkedIn-Konten, die von Forschern der Stanford University gefunden wurden. Die Forscher vermuteten, dass die zentrale Positionierung der Augen ein verräterisches Zeichen für ein computererstelltes Gesicht ist.
„Wir erhalten wöchentlich über 500 gefälschte Profilanfragen zur Teilnahme“, sagte der Teamleiter der Gruppe, Hamish Taylor. „Seit etwa Januar dieses Jahres ist es wie eine Hölle. Davor gab es bei uns nicht die Fälschungsströme, die wir jetzt erleben.“
McAfee, das weltbekannte Unternehmen für Antivirensoftware, hat gerade seine Verbraucherbedrohungsprognosen für das Jahr 2023 veröffentlicht. Sie gehen davon aus, dass KI-Tools eine der Hauptbedrohungen sein werden, die Betrügern und Cyberkriminellen, die ahnungslose Benutzer anlocken möchten, Macht verleihen wird.
Es ist wichtig, Ihre Mitarbeiter über KI-Phishing aufzuklären. Stellen Sie sicher, dass sie über das nötige Wissen verfügen, um KI-generierte Profile zu unterscheiden und die Interaktion mit diesen gefälschten Konten zu vermeiden.
Bei Angriffen auf die Lieferkette, auch Angriffe Dritter genannt, dringt ein Krimineller über einen vertrauenswürdigen Anbieter mit Zugriff auf Ihre Geschäftsdaten in Ihr System ein. Fast alle Organisationen arbeiten mit externen Partnern oder Drittanbietern zusammen und teilen mit ihnen Geschäftsdaten. An einer Lieferkette sind oft viele Anbieter beteiligt, die viele verschiedene Aufgaben erledigen. Aus diesem Grund können Lieferketten groß und komplex sein. Der Schutz von Geschäftsdaten in Ihrem Netzwerk kann eine Herausforderung sein, da an jedem Punkt der Lieferkette Schwachstellen auftreten können.
Der jüngste Supply-Chain-Angriff, den wir als Beispiel nehmen können, fand erst vor wenigen Tagen statt. Uber erlitt erneut einen schweren Datenverstoß. Von dem Verstoß waren rund 80.000 Mitarbeiter betroffen. Geschäftsdaten wie E-Mail-Adressen von Mitarbeitern, Unternehmensberichte und IT-Asset-Informationen wurden gestohlen. Untersuchungen haben ergeben, dass die Daten nicht direkt von Uber weitergegeben wurden, sondern von einem ihrer Drittanbieter in ihrer Lieferkette, Teqtivity, der Asset-Management- und Tracking-Dienste für Uber bereitstellt.
Dieser Vorfall machte deutlich, wie eine Schwachstelle in einer Lieferkette enorme Auswirkungen auf Ihr Unternehmen haben kann. Ian McShane, Vizepräsident für Strategie bei Arctic Wolf, kommentierte den Verstoß in einem Interview mit den Worten: „Die Risikobewertung von Anbietern ist ein entscheidender Aspekt der Sicherheitsabläufe jeder Organisation, und dies muss für 2023 Priorität haben.“ Viele Cybersicherheitsexperten stimmen dieser Ansicht zu. Avani Desai, CEO von Schellman und Mitglied des Forbes Technology Council, äußerte in einem Artikel die gleichen Bedenken. Sie betonte, dass Angriffe auf die Lieferkette zu einem zentralen Anliegen in den Vorstandsetagen geworden sind und Unternehmen weiterhin heimsuchen.
Als Reaktion auf die wachsende Zahl von Vorfällen hat NCSC im Oktober 2022 außerdem neue Leitlinien zur Bedrohung durch Angriffe auf die Lieferkette herausgegeben, um diesen besorgniserregenden Bereich hervorzuheben. Es wird erwartet, dass diese Herausforderung auch im Jahr 2023 bestehen bleibt. Um dieses Risiko zu mindern, ist es wichtig, Ihre Mitarbeiter über die Kommunikation mit Dritten Ihrer Organisation zu schulen.
Die Multi-Faktor-Authentifizierung (MFA) ist für Unternehmen zu einem wichtigen Instrument zum Schutz ihrer Konten geworden. Allerdings haben Cyberkriminelle ausgefeiltere Techniken erfunden, die MFAs nicht mehr völlig narrensicher machen.
Seit Juni 2022 nutzt Scattered Spider, ein finanziell motivierter Bedrohungsakteur, Berichten zufolge Social Engineering über Telefonanrufe, SMS und Telegram-Nachrichten, um sich als IT-Personal auszugeben und Opfer dazu zu verleiten, ihre Anmeldedaten auf einer Phishing-Seite einzugeben. Scattered Spider würde auch direkt mit den Zielen interagieren, um deren Einmalpasswort zu erhalten, wenn die Multi-Faktor-Authentifizierung aktiviert wäre.
The CISO Perspective, eine beliebte Quelle für Cybersicherheitsnachrichten, hat ein Video erstellt, in dem erklärt wird, wie Cyberkriminelle MFA umgehen könnten. Obwohl die Botschaft des Videos für Cybersicherheitsexperten etwas beunruhigend war, sollten wir uns alle darüber im Klaren sein, dass Hacker jetzt Wege finden, MFA abzufangen und ohne Genehmigung auf die Konten anderer Personen zuzugreifen.
Heutzutage greifen viele Benutzer über persönliche Geräte wie Mobiltelefone oder Heim-PCs auf Arbeitsressourcen zu. Es besteht kein Zweifel, dass Cyberkriminelle im Bereich MFA weiter an Boden gewinnen werden. Aufgrund der zunehmenden Zahl von MFA-Bedrohungen hat Microsoft kürzlich eine Warnung herausgegeben. Sie wiesen darauf hin, dass diese ungeschützten Geräte ein Hauptziel für MFA-Diebe seien.
Man geht davon aus, dass im Jahr 2023 mehr Bedrohungsakteure neue Wege finden werden, um Informationen über MFA zu stehlen. Wenn Ihre Mitarbeiter beruflich unterschiedliche Arten und Geräte verwenden, ist es wichtig, dass sie eine Phishing-Schulung erhalten, um Geschäftsdaten auf diesen Geräten zu schützen.
Ganz gleich, um welche Art von Betrug es sich handelt, das Versenden von Phishing-E-Mails bleibt die beliebteste Vorgehensweise von Cyberkriminellen. Schließlich ist es der effizienteste und direkteste Weg zur größten IT-Schwachstelle des Unternehmens, nämlich den Endbenutzern. Um Cyberkriminalität zu bekämpfen, müssen Unternehmen mit aktuellen und aufkommenden Cybersicherheitstrends Schritt halten. Probieren Sie unsere 14-tägige kostenlose Phishing-Simulation aus oder buchen Sie eine On-Demand-Demo und statten Sie Ihre Mitarbeiter mit dem nötigen Wissen aus, um die neuen Phishing-Herausforderungen im kommenden Jahr zu bewältigen.