Spear Phishing Report von Barracuda Unternehmen sind Ziel von 700 Attacken pro Jahr

Autor: Melanie Staudacher

Beim Social Engineering beziehen Cyberangreifer die sozialen Bedürfnisse ihrer Opfer mit ein, wodurch die Angriffe täuschend echt wirken und noch gefährlicher werden. Laut Barracuda werden Unternehmen im Durchschnitt pro Jahr rund 700 Mal angegriffen.

Firmen zum Thema

Cyberkriminelle individualsieren ihre Attacken, damit Phishing E-Mails und Co. noch echter wirken.
Cyberkriminelle individualsieren ihre Attacken, damit Phishing E-Mails und Co. noch echter wirken.
(Bild: © Maksim Kabakou - stock.adobe.com)

Wie entwickeln sich Spear-Phishing-Angriffe, welche neuen Tricks wenden Cyberkriminelle an und auf wen haben sie es besonders abgesehen? Diesen Fragen geht der Hersteller Barracuda im Spear Phishing Report 2021 nach.

Zwischen Mai 2020 und Juni 2021 untersuchten die Analysten von Barracuda mehr als zwölf Millionen Spear-Phishing- und Social-Engineering-Angriffe. Diese betrafen knapp mehr als drei Millionen Mailboxen in über 17.000 Unternehmen weltweit.

Die zentralen Ergebnisse von Barracuda über das Angreiferverhalten sind:

  • Einer von zehn Social-Engineering-Angriffen beruht auf Business E-Mail Compromise (BEC).
  • 43 Prozent der Phishing-Angriffe geben sich als Microsoft-Nachrichten aus.
  • Ein durchschnittliches Unternehmen wird in einem Jahr von über 700 Social-Engineering-Angriffen bedroht.
  • Einer von fünf BEC-Angriffen zielt auf Mitarbeiter in Vertriebsfunktionen ab.
  • 77 Prozent der BEC-Angriffe zielen auf Mitarbeiter außerhalb der Finanz- und Führungsebene ab.
  • IT-Mitarbeiter verzeichnen in einem Jahr durchschnittlich 40 gezielte Phishing-Angriffe.
  • Im Durchschnitt erhält ein CEO 57 gezielte Phishing-Angriffe in einem Jahr.
Bildergalerie

Welche Arten von Social Engineering gibt es?

Phishing, Scamming, BEC. Für Social Engineering stehen Cyberkriminellen viele Methoden zur Verfügung.

Phishing: Cyberangreifer tarnen sich als Bank, Internetanbieter oder anderer Dienstleister mit gefälschten Absenderadressen. Sie schicken mittlerweile täuschend echt aussehende E-Mails ab und fordern von den Empfängern die Eingabe persönlicher Daten oder Passwörter. Eine Sonderform ist das Spear Phishing. Diese Methode richtet sich gezielt an bestimmte Unternehmen. Die Mails sind mit hohem Aufwand konkret auf das Opfer zugeschnitten und sind daher täuschend echt.

Business E-Mail Compromise (BEC): Auch bei BEC verwenden Kriminelle gefälschte E-Mails, um an sensible Daten zu kommen. Dabei täuschen die Akteure vor, dass die Nachricht von einem Mitarbeiter, einer Führungsperson oder Geschäftspartner stammt. Sie fordern den Empfänger dazu auf, bestimmte Tätigkeiten zu ihren Gunsten auszuführen, zum Beispiel Geld zu überweisen.

Scamming: Scammer bedeutet auf Deutsch Betrüger. Sie geben sich beim Scamming zum Beispiel als Vermieter oder Arbeitgeber aus und verlangen von ihren Opfern Vorauszahlungen für eine Wohnung oder Arbeitskleidung. Perfider ist das Romance Scamming, bei dem sich die Cyberkriminellen auf Online-Partnerbörsen anmelden und ihre Bekanntschaften dazu überreden, ihnen Geld zu überweisen.

„Cyberkriminelle gehen immer raffinierter vor. Oft zielen sie auf Mitarbeiter außerhalb des Finanz- und Führungsteams ab und suchen nach einer Schwachstelle in der Organisation“, sagt Don MacLennan, Senior Vice President Engineering & Product Management, Email Protection bei Barracuda. „Mitarbeiter der unteren Ebenen ins Visier zu nehmen, verschafft ihnen den Eingang, um sich anschließend zu lohnenderen, höheren Angriffszielen vorzuarbeiten. Deshalb muss sichergestellt sein, dass alle Mitarbeiterinnen und Mitarbeiter geschützt und geschult sind. Es reicht nicht, sich nur auf diejenigen zu konzentrieren, von denen man annimmt, dass sie am ehesten angegriffen würden.“

(ID:47546488)

Über den Autor

 Melanie Staudacher

Melanie Staudacher

Volontärin, Vogel IT-Medien GmbH