janews – Shutterstock.com
Seit Jahren investieren Unternehmen in Awareness-Programme, um ihre Mitarbeiter darin zu schulen, Phishing-Versuche zu erkennen und zu melden. Laut einem Bericht von Netskope hat sich jedoch die Phishing-Klickrate im Jahr 2024 im Vergleich zum Vorjahr verdreifacht. Der Sicherheitsanbieter stellte auf Grundlage seiner Telemetriedaten fest, dass im vergangenen Jahr 8,4 von 1.000 Nutzern jeden Monat auf einen Phishing-Link klickten, verglichen mit 2,9 im Jahr 2023.
Phishing über Suchergebnisse
Ein Großteil der Anti-Phishing-Trainings in Unternehmen konzentriert sich auf das Erkennen von Phishing-E-Mails. Allerdings ist dies bei weitem nicht die einzige Phishing-Methode, um Anmeldedaten zu stehlen.
Den Daten von Netskope zufolge wurden die meisten Phishing-Klicks von verschiedenen Stellen im Internet aus getätigt, wobei Suchmaschinen zu den Hauptverweisquellen gehörten. Die Angreifer waren demnach sehr erfolgreich darin, bösartige Anzeigen zu schalten oder SEO-Poisoning-Techniken zu verwenden, um bösartige Links in den ersten Suchergebnissen von Suchmaschinen zu platzieren.
Weitere beliebte Phishing-Sites waren Einkaufs-, Technologie-, Geschäfts- und Unterhaltungswebsites. Die Angreifer schleusen bösartige Links auf diese Websites ein, indem sie Kommentarbereiche mit Spam überschwemmen. Zudem kaufen sie bösartige Anzeigen, die dann über Werbenetzwerke auf diesen Websites angezeigt werden – eine Technik, die als Malvertising bekannt ist. Eine weitere Variante der Angreifer besteht darin, die Websites selbst zu kompromittieren und Phishing-Pop-ups direkt in die Seiten einzufügen.
„Die Vielfalt der Phishing-Quellen zeigt, dass die Angreifer kreative Social-Engineering-Methoden einsetzen“, schreiben die Netskope-Forscher. “Sie wissen, dass ihre Opfer bei eingehenden E-Mails vorsichtig sein können (wo ihnen wiederholt beigebracht wird, nicht auf Links zu klicken). Viele Anwender sind eher bereit, auf Links in Suchmaschinenergebnissen zu klicken.“
Hauptziel der Phishing-Angriffe waren Anmeldeinformationen für Cloud-Anwendungen, wobei Microsoft 365 mit 42 Prozent am häufigsten angegriffen wurde, gefolgt von Adobe Document Cloud (18 Prozent) und DocuSign (15 Prozent). Laut Forschungsbericht geben sich viele Phishing-Websites als Anmeldeseiten für diese Dienste aus, bieten aber auch Anmeldemöglichkeiten bei anderen Identitätsanbietern wie Office 365, Outlook, Aol oder Yahoo.
Ausgefeiltere Phishing-Angriffe mit GenAI
„Die Hauptfaktoren, die zu diesem Anstieg geführt haben, sind kognitive Ermüdung (da die Benutzer ständig mit Phishing-Versuchen bombardiert werden) und die Kreativität und Anpassungsfähigkeit der Angreifer bei der Bereitstellung von Ködern. Diese sind schwerer zu erkennen“, erklären die Sicherheitsforscher.
Das Aufkommen von großen Sprachmodellen (Large Language Models, LLMs) hat sicherlich auch eine Rolle bei diesem Anstieg gespielt, da Angreifer nun die Erstellung von Phishing-Ködern, die vielfältiger, grammatikalisch korrekter und auf jedes Unternehmen zugeschnitten sind, leicht automatisieren können.
„Es besteht kein Zweifel, dass LLMs eine Rolle dabei gespielt haben, dass Angreifer überzeugendere Phishing-Köder erstellen konnten“, betont Ray Canzanese, Direktor von Netskope Threat Labs, gegenüber CSO. “LLMs können eine bessere Lokalisierung und eine größere Vielfalt bieten, um Spam-Filter zu umgehen. Zudem erhöhen sie Wahrscheinlichkeit, dass das Opfer getäuscht wird.“
Cyberkriminelle haben sogar spezialisierte LLM-basierte Chatbots wie WormGPT oder FraudGPT entwickelt, die in Untergrundforen beworben und verkauft werden. Diese sollen unter anderem in der Lage sein, bessere Phishing-Köder zu schreiben.
„Wir haben festgestellt, dass KI-Tools in gezielten Phishing-Kampagnen eingesetzt werden, indem in der Regel eine hochrangige Person in der Zielorganisation imitiert wird“, so der Netscope-Experte Canzanese. „Angreifer versenden Nachrichten, die mit LLM generiert wurden, oder verwendet sogar Deepfake-Audio und -Video.“
Deepfakes sind in Unternehmen generell auf dem Vormarsch. In einer kürzlich von Deloitte durchgeführten Umfrage gaben 15 Prozent der Führungskräfte an, dass die Finanzdaten ihres Unternehmens von Cyberkriminellen mithilfe von Deepfake-Betrug ins Visier genommen wurden. (jm)
