Cyber-Bedrohungen stellen weiterhin ein wachsendes Sicherheitsproblem dar, wobei jeden Tag neue Angriffsvektoren auftauchen. Die meisten Cyberkriminellen verlassen sich bei der Ausführung auf Social-Engineering-Taktiken, da sie die menschliche Begierde, Neugierde, Angst und Dringlichkeit ausnutzen.
Jürgen Stock, Generalsekretär von Interpol sagt dazu:
„Cyberkriminelle entwickeln und verbessern ihre Angriffe in einem beunruhigenden Tempo und nutzen die Unsicherheit und Angst aus, die durch die unsichere wirtschaftliche und soziale Lage verursacht werden.“
Aus diesem Grund müssen sich Cybersecurity-Experten an diese sich entwickelnden Social-Engineering-Trends anpassen, um ihre Infrastruktur und Systeme zu schützen.
Während der COVID-19-Pandemie erlebten die meisten Organisationen einen Anstieg der Phishing-Angriffe. Einige Cyberkriminelle geben sich sogar als Vertreter der Weltgesundheitsorganisation aus, um Menschen zur Herausgabe sensibler Informationen zu verleiten.
Im Jahr 2020 stiegen die Phishing-Angriffe auf dem Höhepunkt der COVID-19-Pandemie um 220 %. Laut CBS News waren 36 % der erfolgreichen Angriffe auf Unternehmen mit Phishing verbunden, was einen Anstieg von 11 % im letzten Jahr bedeutet.
Werfen wir einen genaueren Blick auf die wichtigsten Cybersecurity-Trends für 2022.
Deep Fakes sind ein tiefsitzendes Problem
Die Entwicklung der modernen Technologie hat verschiedene Innovationen hervorgebracht, von denen eine ganz besonders für Aufruhr in der Cyberwelt sorgt: Deep Fakes. Es handelt sich um einen der Top-Trends in der Cybersicherheit 2022. Deepfake nutzt KI-Technologie, um gefälschte Videos, Bilder oder Audioaufnahmen von echten Menschen zu erstellen.
Deepfake ist sehr überzeugend, und seine Weiterentwicklung kann es schwierig machen, zwischen gefälschten und echten Inhalten zu unterscheiden. Obwohl Deepfake noch ein neuer Trend im Bereich der künstlichen Intelligenz (KI) ist, sollten sowohl Einzelpersonen als auch Unternehmen vorsichtig sein, da es eine wichtige Rolle bei aufkommenden Trends in der Cyberkriminalität und beim Betrug spielen kann.
Angreifer können Deepfake-Technologie nutzen, um gefälschte Videos von hochrangigen Regierungsvertretern zu erstellen, Fehlinformationen zu verbreiten, Hass zu schüren und Stimmungen zu manipulieren. Im Jahr 2020 wurden die Kosten eines Deepfake-Angriffs auf rund 250 Millionen US-Dollar geschätzt, wobei die Technologie noch in den Kinderschuhen steckt.
Es ist unbestreitbar, dass Cyberkriminelle mit der Weiterentwicklung der Deepfake-Technologie fortschrittliche Wege finden werden, um sie gegen Einzelpersonen und Organisationen einzusetzen.
Phishing-as-a-Service (PaaS) setzt neue Maßstäbe
Vom Klicken auf bösartige Links bis zum Herunterladen von E-Mail-Anhängen – Phishing ist eine der am häufigsten eingesetzten Social-Engineering-Taktiken. Mit den Fortschritten in der Cybersicherheit entwickeln Angreifer immer ausgefeiltere Methoden zur Durchführung ihrer Phishing-Angriffe.
Phishing-as-a-Service ist einer der neuen Trends in der Cybersecurity-Branche, den erfahrene Social-Engineering-Angreifer nutzen, um die Netzwerke von Unternehmen zu kompromittieren. Cyberkriminelle können jetzt Phishing-Kits oder -Tools mieten oder kaufen, um Anmeldeinformationen und andere vertrauliche Daten zu stehlen.
Cyberkriminelle können Phishing-Kits bereits für 20 US-Dollar erwerben, während Spitzenlösungen rund 200 US-Dollar kosten. Mit zunehmender Beliebtheit wurde der Verkauf von Phishing-Kits teurer und lag 2019 bei 120 US-Dollar.
Im Oktober 2021 veröffentlichte Microsoft eine Untersuchung der BulletProofLink PaaS, die in einer einzigen Kampagne über 300.000 Sub-Domains ausnutzte.
2021 wurde ein neues Phishing-Kit aufgedeckt, das als LogoKit bekannt ist und automatisch das Logo des Opfers auf die bösartige Anmeldeseite zieht. Dieses neue Kit wurde auf mindestens 700 Domains entdeckt, die Dienste wie Adobe Document Cloud, SharePoint, Office 365 OneDrive und viele andere nachahmen und angreifen.
Von der Regierung gesponsertes Social Engineering wird fortgesetzt
Die digitale Infrastruktur ist ein integraler Bestandteil der täglichen Arbeit einer Nation, weshalb Schurkenstaaten die Einsätze in der Cyberkriegsführung erhöhen. Diese Art von Angriffen dient den Interessen einer Nation im In- und Ausland. Der Angriff kann vom Absturz der Website eines Staates bis zur Sabotage des Finanzsystems eines Landes reichen.
Microsoft hat Berichten zufolge zwischen Juli 2019 und Juni 2020 13.000 Benachrichtigungen verschickt, in denen Kontoinhaber vor von der Regierung gesponserten Angriffen gewarnt wurden. Dies war dieselbe Taktik, die Berichten zufolge von russischen Hackern verwendet wurde, um E-Mails von der Democratic National Convention zu hacken und durchsickern zu lassen, um die ehemalige amerikanische Präsidentschaftskandidatin Hillary Clinton zu schädigen.
Von der Regierung unterstütztes Hacking wird auch in der modernen Kriegsführung eingesetzt. Zusätzlich zu den realen Kämpfen zwischen Armeen sind auch Cyberspace-Kämpfe zwischen Nationen üblich.
Phishing hält sich hartnäckig
Trotz des Auftauchens neuer Bedrohungen ist Phishing nach wie vor eine der meistgenutzten Taktiken von Angreifern, um Systeme zu kompromittieren. Die COVID-19-Pandemie führte aus vielen Gründen zu einer Zunahme von Phishing-Angriffen. Dazu gehören die nachlassende Wachsamkeit von Menschen, die von zu Hause aus arbeiten, das Ausnutzen von Virenängsten und Betrügereien im Zusammenhang mit Impfungen. Es gibt bestimmte Arten von Phishing, die unserer Einschätzung nach im Jahr 2022 besonders stark sein werden.
Einwilligungs-Phishing
Einwilligungs-Phishing ist eine Social-Engineering-Technik, bei der mithilfe bösartiger Apps die Einwilligung der Benutzer für den Zugriff auf Netzwerkressourcen des Unternehmens eingeholt wird. Diese bösartigen Apps müssen keinen Code auf dem Gerät des Benutzers ausführen, sodass die Endpunktsicherheit leicht umgangen werden kann.
Der Angriff auf das SANS Institute im August 2020 ist ein hervorragendes Beispiel für Einwilligungs-Phishing. Er führte zum Verlust von rund 28.000 Datensätzen mit personenbezogenen Daten. Ein bösartiges Office-365-Add-on veranlasste ein E-Mail-Konto der Mitarbeiter, E-Mails automatisch an die E-Mail-Adresse eines Angreifers weiterzuleiten.
Angler-Phishing
Ein weiterer Phishing-Trend, auf den Unternehmen im Jahr 2022 achten müssen, ist Angler-Phishing. Dabei werden Personen über soziale Medien kontaktiert, während sich die Angreifer als Kundendienstmitarbeiter eines Unternehmens ausgeben. Die Tatsache, dass Menschen in sozialen Medien nach Hilfe suchen, macht diesen Angriff zu einem effektiven Mittel, um Nutzer zur Preisgabe ihrer Anmeldedaten zu bewegen.
Da die Nutzung sozialer Medien zunimmt, sollten Unternehmen im Jahr 2022 mit einer Zunahme von Angler-Phishing-Angriffen rechnen. Cyberangreifer setzen diese Taktik aufgrund ihrer Effektivität ein. Sie erstellen gefälschte Konten des Kundensupports eines Unternehmens und warten dann auf Kunden, die um Hilfe bitten.
Hochschuleinrichtungen sichern ihre Infrastruktur
Das Hochschulwesen war und wird auch im Jahr 2022 ein attraktives Ziel für Cyberkriminelle sein. Zu den Trends bei der Cybersicherheit im Hochschulbereich gehört die Einführung von E-Mail-Sicherheitsprotokollen. Immer mehr Einrichtungen erkennen die Bedeutung von SPF, DKIM und DMARC für den Schutz einer großen Menge an personenbezogenen Daten, Forschungsinformationen und medizinischen Unterlagen, die sie speichern und mit denen sie arbeiten.
Laut Microsoft Security Intelligence gab es im Bildungssektor allein in den letzten 30 Tagen mehr Malware-Begegnungen als in jeder anderen Branche. In einer von Campus Technology durchgeführten Umfrage aus dem Jahr 2021 wird behauptet, dass Einrichtungen, die Opfer von Cyberangriffen wurden, durchschnittlich 366.000 US-Dollar für die Wiederherstellung ausgaben. Ein Drittel dieser Einrichtungen benötigte einen Monat oder länger, um den Angriff zu identifizieren, zu bewältigen und zu beheben.
Angreifer nehmen Managed Service Provider (MSPs) ins Visier
MSPs haben immer Zugriff auf das Netzwerk und die Systeme ihrer Kunden. In diesem Fall benötigen MSPs Tools für die Fernüberwachung und -verwaltung (Remote Monitoring and Management, RMM), um auf die Netzwerke ihrer Kunden zuzugreifen und sie aus der Ferne zu verwalten und zu steuern. Angreifer können diese RMM-Tools für einen böswilligen Fernzugriff aus einer kompromittierten MSP-Umgebung ausnutzen.
MSPs haben viele Kunden aus verschiedenen Branchen, und ein Angriff auf sie ist für Hacker besonders wertvoll. Angreifer brauchen nur einen MSP ins Visier zu nehmen, können aber den Vorteil des Zugriffs auf Informationen und digitale Werte vieler Unternehmen nutzen. Wird beispielsweise ein MSP erpresst, kann der Angreifer eine hohe Zahlung vom MSP oder kleine Zahlungen von jedem betroffenen Kunden verlangen.
Anbieter von verwalteten Diensten müssen über leistungsfähige Sicherheitssysteme verfügen, um Kundendaten zu schützen. Wenn es dem MSP beispielsweise nicht gelingt, seine Infrastruktur mit Hilfe von E-Mail-Sicherheitsprotokollen (SPF, DKIM und DMARC) vor Phishing und Spoofing zu schützen, könnten die Kunden Phishing- und Spoofing-Angriffe, Spam-Flows, Ransomware und andere schlimme Folgen erleben.
Business Email Compromise (BEC) wird teuer
Nach Angaben des Federal Bureau of Investigation (FBI) ist die Kompromittierung von Geschäfts-E-Mails (Business Email Compromise, BEC) eines der finanziell schädlichsten Online-Verbrechen. Bei diesem Angriff wird die Tatsache ausgenutzt, dass ein Unternehmen zur Abwicklung seiner Geschäfte auf E-Mails angewiesen ist. Die Angreifer geben sich als legitime Geschäftskontakte aus, um die Zielpersonen dazu zu bringen, Geld zu überweisen oder Zugang zu sensiblen Unternehmensressourcen zu gewähren.
Laut einer Ponemon-Studie aus dem Jahr 2021 belaufen sich die durchschnittlichen jährlichen Kosten für BEC-Phishing auf 5,56 Millionen US-Dollar. Wenn Führungskräfte betroffen sind, belaufen sich die potenziellen Kosten auf schätzungsweise über 150 Millionen US-Dollar.
Selbst wenn das Risiko nicht die Aufmerksamkeit der obersten Führungsebene erregt, beläuft sich der durchschnittliche Gesamtbetrag, der jährlich an BEC-Cyberkriminelle gezahlt wird, auf etwa 1,17 Millionen US-Dollar. Laut Gartner werden sich BEC-Angriffe bis zum Jahr 2023 jährlich verdoppeln, wobei die durchschnittlichen Kosten für die Opfer schockierende 5 Millionen US-Dollar betragen werden.
Kryptowährung und Social Engineering gehen Hand in Hand
Die Welt der Kryptowährungen hat seit der Einführung von Bitcoin im Jahr 2008 einen Boom erlebt. Heute wird 1 BTC mit über 41.000 US-Dollar bewertet (und ist während der Bearbeitung dieses Artikels sicherlich noch gestiegen). Die Aufregung darüber, dass die Märkte für Kryptowährungen enorme Gewinne generieren können, hat in extrem kurzer Zeit Neulinge in diesen Bereich gezogen.
Selbst diejenigen, die nicht verstehen, wie der Markt funktioniert, investieren schließlich ohne gründliche Recherche. Social Engineering nutzt die Angst, das Halbwissen und die Gier der Menschen aus, um schnelles Geld zu machen. Dies führt schließlich dazu, dass aufstrebende Krypto-Investoren falschen Versprechungen durch Airdrops und Werbegeschenke hinterherlaufen. Im Jahr 2021 erbeuteten Cyberkriminelle Kryptowährungen im Wert von 14 Milliarden US-Dollar, und auch im Jahr 2022 wird der Trend in diesem Bereich zunehmen.
Fazit
Im Zuge des technologischen Fortschritts nutzen Angreifer die neuesten und besten Trends, um ihre Social-Engineering-Taktiken noch überzeugender zu gestalten. Unternehmen müssen sich über digitale und Social-Engineering-Schutztrends auf dem Laufenden halten, damit sie die besten Sicherheitspraktiken zur Abwehr neuer Angriffsarten und -methoden einsetzen können.
Sie müssen Ihre Mitarbeiter unbedingt über die Social-Engineering-Taktiken aufklären, die Angreifer einsetzen, um Netzwerksysteme zu kompromittieren. Installieren Sie ausgefeilte Antivirenlösungen in Ihren Netzwerken, verwenden Sie die neuesten E-Mail-Sicherheitsprotokolle und halten Sie sie stets auf dem neuesten Stand.