Mobiles Phishing als Einfallstor

Lesezeit
2 Minuten
Bis jetzt gelesen

Mobiles Phishing als Einfallstor

28.03.2023 - 09:37
Veröffentlicht in:

Gestohlene Zugangsdaten von Mitarbeitern sind eine der effektivsten Möglichkeiten für Angreifer, die Infrastruktur eines Unternehmens zu infiltrieren. Sobald sie die Anmeldeinformationen eines der Konten in der Hand haben, ist es für sie viel einfacher, die Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten. Wie kommen die Angreifer an diese Anmeldedaten? Die Antwort lautet in vielen Fällen Mobile Phishing.

Eine weltweite Studie von Lookout hat ergeben, dass die Zahl der Mobile-Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt. Auch im ersten Quartal 2023 war dieser Trend ungebrochen.

Hybride Arbeitsumgebungen und Bring-your-own-device (BYOD)-Richtlinien könnten zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass immer häufiger persönliche Mobilgeräte für berufliche Zwecke zum Einsatz kommen. Es gilt jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, iOS oder Android – anfällig für Phishing-Versuche ist.

Wie BYOD die Phishing-Landschaft verändert hat

Smartphones und Tablets haben es für Mitarbeiter einfacher gemacht, von überall aus produktiv zu sein, aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht. BYOD-Richtlinien bedeuten, dass mehr Menschen als je zuvor ihre privaten Geräte für die Arbeit nutzen. Dies bedeutet, dass die Risiken, denen sie bei der Nutzung dieser Geräte aus persönlichen Gründen begegnen, auch Risiken für das Unternehmen darstellen. IT- und Sicherheitsteams haben außerdem einen deutlich geringeren Einblick in diese Geräte als in die unternehmenseigenen Geräte, was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu kontrollieren.

Diese Faktoren führen dazu, dass Angreifer nun gezielt die privaten Geräte der Benutzer angreifen, um in Unternehmensumgebungen einzudringen. Ein Mitarbeiter kann über private Kanäle wie soziale Medien, WhatsApp oder E-Mail Opfer eines Social-Engineering-Angriffs werden. Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten. Das ist zudem kein einmaliges Ereignis, so zeigen Daten von Lookout, dass im Jahr 2022 mehr als 50 Prozent der privaten Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt waren.

Millionenbeträge stehen auf dem Spiel

Daten sind nicht das Einzige, was Unternehmen riskieren, wenn Mitarbeiter auf einen Phishing-Betrug hereinfallen. Lookout schätzt, dass die maximalen finanziellen Auswirkungen eines erfolgreichen Phishing-Angriffs für Unternehmen mit 5.000 Mitarbeitern auf fast vier Millionen US-Dollar gestiegen sind. Stark regulierte Branchen wie Versicherungen, Banken und das Rechtswesen gelten als die lukrativsten Märkte und sind aufgrund der großen Menge an sensiblen Daten, die sie besitzen, besonders anfällig für Angriffe.

Diese hohen Kosten fallen in eine Zeit, in der die Zahl der Phishing-Angriffe so hoch ist wie nie zuvor. Im Vergleich zu 2020 ist die Zahl der Phishing-Angriffe auf Unternehmensgeräten jetzt um zehn Prozent und auf privaten Geräten um 20 Prozent höher. Außerdem klicken die Menschen häufiger auf Phishing-Links als noch im Jahr 2020, was bedeuten könnte, dass die Angreifer immer besser darin werden, authentisch aussehende Nachrichten zu erstellen. Da mehr Risiken und mehr Geld auf dem Spiel stehen als je zuvor, müssen Unternehmen ihre Sicherheitsstrategien anpassen, um ihre Daten zu schützen.

Daten gegen mobile Phishing-Bedrohungen schützen

Die Mobile-Phishing-Landschaft ist tückischer als je zuvor, vor allem, da das standortunabhängige Arbeiten zunimmt. IT- und Sicherheitsteams müssen Strategien anwenden, die es ihnen ermöglichen, die Datenrisiken, die von Phishing-Angriffen ausgehen, auf allen Mitarbeitergeräten zu visualisieren, zu erkennen und zu minimieren. Dies gilt unabhängig davon, ob es sich um unternehmenseigene oder private Geräte handelt. Mit der richtigen Strategie, basierend auf dem Zero-Trust-Prinzip und SASE (Secure Access Service Edge), ist es möglich, die hybride Arbeitswelt sicher zu gestalten.

Ähnliche Beiträge