In Zeiten allgegenwärtiger und alleskönnender Smartphones haben sich Phishing-Angriffe längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten. Höchste Zeit, die Gefahren erst zu nehmen!
Das Smartphone ist für Hacker das attraktivste Gerät für Phishing-Angriffe.
Smartphones, wie wir sie heute vielfältig nutzen, haben ihre ganz eigene Entwicklungsgeschichte hinter sich. Vom reinen Telefon zum Kommunikationsinstrument, hin zu einem Gerät, das sich in seinen Funktionen und seiner technischen Ausstattung prinzipiell nicht mehr von einem Laptop unterscheidet.
Mit ganz wenigen Ausnahmen laufen solche Mobilgeräte nicht mehr auf proprietären oder gerätespezifischen Betriebssystemen. Vielmehr stützen sich 97 % aller verkauften Mobilgeräte auf eines von zwei Betriebssystemen. Ein Fakt, den Hacker sich längst zunutze gemacht haben. Aus gutem Grund.
Aktuelle Malware ist mittlerweile so effektiv, dass sie sich sogar dediziert gegen bestimmte Gerätetypen richten kann. Für Hacker öffnet sich damit nicht nur ein breites zusätzliches Betätigungsfeld, sondern auch eines, welches man mit begrenzten Ressourcen erschließen kann. Moderne Mobilgeräte sind anfällig für Malware, Man-in-the-Middle-Angriffe, das Abgreifen von SMS-Informationen und vor allem für Phishing-Angriffe.
Die meisten Angriffsszenarien profitieren davon, dass wir bei einem Mobilgerät noch viel eher geneigt sind, auf einen schädlichen Link zu klicken oder eine legitim aussehende Malware zu installieren. Social Engineering, Phishing oder auch eine Kombination aus verschiedenen Angriffsvektoren sind die Mittel der Wahl. Der einzige Weg, sich vor Angriffen dieser Art zu schützen ist, den Nutzer zu sensibilisieren und technologisch zu unterstützen. Die Ergebnisse des letztjährigen Lookout-Reports Mobile Phishing 2018: Mythen und Fakten für jedes moderne Unternehmen, zeigen, dass die Quote, mit der Nutzer eine mobile Phishing-URL anklicken, seit 2011 jedes Jahr im Durchschnitt um 85 Prozent gestiegen ist.
Attraktiv, weil allgegenwärtig
Ein Grund für den rasanten Anstieg liegt in der ubiquitären beruflichen Nutzung von Mobilgeräten. Im Gegensatz zu einer ‚kontrollierten‘ und konzentrierten Nutzung eines Laptops oder Desktops werden Smartphones im Multi-Tasking-Modus verwendet: auf dem Weg in die Arbeit oder ins nächste Meeting, während einer kurzen Pause oder mal schnell am Abend auf der Couch vor den Nachrichten. Hinzu kommt, dass viele Geräte in einem Mix sowohl für berufliche wie private Zwecke genutzt werden. Dies im Zusammenspiel mit kleineren Bildschirmen und den eingeschränkten Möglichkeiten auf mobilen Plattformen, Echt von Unecht zu unterscheiden, hat Kriminellen neue Möglichkeiten eröffnet. Die Entwicklung hat sie sogar „gezwungen“, sich mit dem Angriffsmethoden auf mobilen Plattformen auseinanderzusetzen, um nicht nur Zugangsdaten von Endverbrauchern zu „phishen“, sondern Mobilgeräte als Zugang auf Unternehmensinformationen zu missbrauchen.
Darüber hinaus verschwimmen und verschwinden aus Unternehmenssicht die ehemals klar definierten Grenzen traditioneller Unternehmensnetzwerke und Lösungsansätze. Vor diesem Hintergrund greifen entsprechende Perimeter-Lösungen nur bedingt, will man sich vor Phishing-Versuchen auf mobilen Endgeräten schützen, da Geräte mehrheitlich außerhalb des eigenen, kontrollierbaren Netzes genutzt werden. Somit ist es für Cyberkriminelle heute einfacher und profitabler, ein weitgehend ungeschütztes mobiles Endgerät anzugreifen als einen vergleichsweise gut geschützten Laptop oder Desktop.
Herkömmliche Sicherheitsmaßnahmen kapitulieren vor mobilen Phishing-Angriffen
Herkömmliche Sicherheitslösungen wie beispielsweise Secure E-Mail Gateways filtern potenzielle Phishing-E-Mails und bösartige URLs heraus, bevor sie auf dem E-Mail-Server beziehungsweise beim Anwender landen. Secure Web Gateways wiederum analysieren den Internet-Content der Mitarbeiter auf Schadcode und Phishing-Seiten. Beides Methoden, die sich grundsätzlich hervorragend zum Schutz betrieblicher E-Mails eignen. Jedoch nutzen Mitarbeiter auf ihren Endgeräten neben betrieblichen auch privat E-Mails sowie eine Vielzahl verschiedener mobiler Messaging- und Social-Media-Anwendungen.
Und um das Problem noch zu potenzieren, erfolgt die Nutzung von Smartphones mehrheitlich außerhalb des Unternehmens-WLANs – also in Netzen, die Unternehmen nicht kontrollieren können. In Summe sind Unternehmen, was den Schutz vor Mobile Phishing angeht, zunehmend auf verlorenem Posten und kommen nicht umhin, sich ernsthafter als bisher mit dem Thema mobiler Sicherheit auseinanderzusetzen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Private E-Mails
Hacker sind sich bewusst, dass die teilweise strengen Sicherheitsvorkehrungen für betriebliche E-Mails bei privaten Konten oftmals fehlen. Hinzu kommt, dass die meisten Menschen heute private und berufliche Mails zuerst auf ihrem mobilen Endgerät lesen. Phishing-Versuche, die auf private E-Mail-Konten zielen, funktionieren in etwa so:
Eine Mitarbeiterin erhält von ihrer Freundin eine private E-Mail auf ihrem Mobiltelefon, um Fotos über eine neue Foto-Sharing-App zu teilen. Die besagte Mitarbeiterin findet das nicht weiter ungewöhnlich. Es ist nicht das erste Mal, dass sie und ihre Freundin Fotos per SMS und E-Mail ausgetauscht haben. Also klickt die Mitarbeiterin auf den Link und lädt die App herunter. Nach dem Herunterladen sieht es zunächst so aus als würde die App nicht funktionieren. Später am Nachmittag tätigt die Mitarbeiterin eine Banküberweisung auf das gemeinsame Familienkonto, öffnet ihre Mobile Banking App und gibt ihre Zugangsdaten ein. Was der Mitarbeiterin allerdings entgangen ist, ist, dass sich hinter der angeblichen „Foto“-App ein Banking Trojaner befindet.
Ein ähnliches Szenario haben die Sicherheitsanalysten von Lookout beim BancaMarStealer Banking-Trojaner beobachtet. Sobald dieser auf einem Gerät installiert ist und ein Opfer eine ausgewählte Banking-App öffnet oder eine Website besucht, die für den Angreifer von Interesse ist, verleitet der BancaMarStealer die Opfer, unwissentlich ihre Zugangsdaten einzugeben.
Social Networking und Mobile Messaging Apps
Mobile Endgeräte und deren App-Stores machen eine Flut von Messaging-Apps und Plattformen zugänglich. Die Kehrseite: Sie eröffnen auch Angreifern völlig neue Wege. Stellen Sie sich einen Mitarbeiter vor, der regelmäßig mit Freunden, Familie und sogar Kollegen und Kunden über WhatsApp kommuniziert. Eines Tages sendet ein Kollege, mit dem der besagte Mitarbeiter normalerweise über WhatsApp chattet, eine Nachricht, in der er ihn bittet, einen Stapel Informationen für ein Kundenmeeting so schnell wie möglich zu überprüfen. Aufgrund der gemeinsamen Vorgeschichte zögert der Mitarbeiter nicht lange und klickt auf den besagten Link. Dieser führt ihn zu einer Microsoft-Login-Seite, wo er ganz normal seine Zugangsdaten eingibt, denn das Team nutzt Office 365 für Präsentationen. Anstatt eine Präsentation zu laden, erscheint allerdings eine leere Seite, der betreffende Kundenstapel ist nirgends zu finden. Letztlich ist der Mitarbeiter aber nicht weiter beunruhigt. Wahrscheinlich hat mit dem Link etwas nicht geklappt. Leider handelte es sich aber um einen erfolgreichen Phishing-Versuch, bei dem die Zugangsdaten des Mitarbeiters soeben gestohlen wurden. Nicht einmal er selbst hat das bemerkt, und die IT-Sicherheitsabteilung des Unternehmens hat keinen Einblick in Phishing über Mobile-Messaging-Anwendungen.
Neben privaten E-Mails sind also sämtliche Social-Messaging-Anwendungen eine potenzielle Bedrohung für ein Unternehmen.
SMS/MMS
Der dritte von Angreifern gern genutzte Weg für einen Phishing-Angriff sind SMS oder MMS. Laut einer von Lookout in den USA durchgeführten Studie klicken über 25 Prozent der Mitarbeiter auf einen Link in einer SMS-Nachricht, wenn die gefälschte Telefonnummer so aussieht, als käme sie aus der betreffenden Region. Tatsächlich verwendete Pegasus, einer der ausgereiftesten mobilen Advanced Persistent Threats (mAPT), genau diese Methode. So war es möglich ein iPhone mit nur einem Klick zu knacken, Spyware zu installieren und den Nutzer genauso klug wie zuvor zurückzulassen.
Bernd Ullritz.
(Bild: Maurice Jager / Lookout)
Wenn man versteht, wie einfach es ist, die genannten Schwachpunkte auszunutzen, ist es keineswegs überraschend, dass mobile Phishing-Angriffe deutlich zunehmen. Überraschend ist demgegenüber eher, dass die meisten Unternehmen und Organisationen weiterhin beispielsweise nur betriebliche E-Mails vor Phishing-Angriffen schützen. Phishing-Angriffe haben sich längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären, aber notorisch unterschätzten Einfallstore für den Zugriff auf sensible Unternehmensdaten.
Über den Autor
Bernd Ullritz ist Regional Sales Manager DACH bei Lookout.
Der siebte ENTERPRISE WORKSPACE SUMMIT 2019 (formerly known as ENTERPRISE MOBILITY SUMMIT) am 10. und 11. Oktober in der Villa Kennedy in Frankfurt am Main ist die ideale Plattform, um sich über Best Practices des Digital Workspace auszutauschen. Dabei stehen die Integration der Mitarbeiter, die Mobilisierung der Geschäftsprozesse sowie die Nutzung neuer Technologien wie 5G, IoT, KI, Edge, VR/AR im Fokus.
Keynotes, Peer References und Thinktanks versprechen intensiven Erfahrungsaustausch auf Augenhöhe, wertvolle Use Cases zu den Themen Virtual Desktop Infrastructure, Workplace-as-a-Service, Collaboration und Unified Endpoint Management runden die prall gefüllte Agenda ab. Als besonderes Highlight gibt die ISS-Astronautin Suzanna Randall Insights zu ihrem „Work-Space“.