Phishing-Bedrohungen in der Post-Perimeter-Ära

Mit Mobilgeräten wird inzwischen auf Daten außerhalb des Firmennetzwerks zugegriffen. Das ist Angreifern nicht verborgen geblieben. Erfahren Sie, wie Lookout Sie vor Angriffen in der mobilen und cloudorientierten Arbeitswelt von heute schützt.

STUDIE

Durchschnittlich verursacht eine Datenpanne Kosten von 3,86 Millionen USD¹

Phishing-Attacken sind inzwischen nicht mehr auf E-Mails beschränkt. Daher wird es immer schwieriger, derartige Angriffe auf ein mobiles oder sonstiges Endgerät frühzeitig zu erkennen. Die Angreifer folgen diesem Trend. Laut Verizon Mobile Security Index 2019 "finden 85 % der Phishing-Attacken auf Mobilgeräte über andere Wege als E-Mails statt. Viele Organisationen blockieren mit Filtern E-Mail-basierte Angriffe. Für die anderen Angriffsrouten haben jedoch deutlich weniger Organisationen einen vergleichbaren Schutz eingerichtet."

1. Quelle: IBM, Cost of a Data Breach Report 2019


Whitepaper Bericht anfordern

Die fünf Bindeglieder in der Phishing-Kill-Chain für Mobilgeräte

Mehr als die Hälfte der Angreifer hat es auf Mobilgeräte und Desktops abgesehen. Daher stellen Phishing-Attacken eine erhebliche Bedrohung für die Nutzer von Mobilgeräten und von deren Arbeitgebern dar. Kein Angriff ist wie der andere. Aber bei allen geht es letztlich darum, sensible Unternehmensdaten zu entwenden. Studien von Lookout zufolge ist die Gefahr, dass Nutzer auf eine infizierte URL-Adresse klicken, auf einem Mobilgerät um das Dreifache erhöht. Der Angriff mit dem Schadprogramm Pegasus hat gezeigt: Ein unbedachter Fingertipp genügt, um ein Mobilgerät mit aggressiver Surveillanceware zu infizieren.

Es gibt viele Möglichkeiten, Mobilgeräte über Phishing auszuspionieren

malicious network icon

Schädliche Anzeigennetzwerke

URLs werden von Apps genutzt, um im Hintergrund mit anderen Diensten zu kommunizieren, z. B. mit Anzeigennetzwerken. Wenn eine App eine präparierte URL aufruft, könnten dem Nutzer in der Folge ungewollt Anzeigen angezeigt werden.

personal email icon

Private E-Mail-Adressen

Private E-Mails sind ein beliebtes Angriffsziel. Zwar bieten die meisten Anbieter privater E-Mail-Dienste einen standardmäßigen Phishing-Schutz, jedoch sind Angreifer in der Lage, diese Technologien zu umgehen und Mitarbeiter ins Visier zu nehmen, damit diese sensible Daten preisgeben.

Messages icon

Messaging-Plattformen

Schädliche Akteure wie Dark Caracal nutzen Messaging-Plattformen in Apps wie WhatsApp, Facebook Messenger und Instagram, um Anwender unbemerkt Spyware-Programme wie Pallas herunterladen zu lassen.

SMS Image

SMS

Die Angreifer versenden Phishing-SMS mit einem unverfänglichen Wortlaut, etwa: „Ich habe gerade dieses Bild von dir gesehen. Schau doch mal rein.“ Damit verleiten sie ihre Opfer dazu, Malware, insbesondere Surveillanceware herunterzuladen.

Geschäftliche E-Mail-Adressen

Firmen-E-Mail-Adressen werden häufig gezielt angegriffen, deshalb stehen sie bei den Sicherheitsadministratoren von Unternehmen unter besonderer Beobachtung. Wie Sie jedoch sehen, ist der Schutz von Firmen-E-Mail-Adressen nicht umfassend genug.

Phishing stellt weltweit das größte Risiko für die Cybersicherheit dar

Eine exklusive Lookout-Studie zum Thema Phishing auf Mobilgeräten hat weltweit eine Reihe schädlicher Akteure aufgedeckt, darunter die staatlich geförderte Gruppe hinter Dark Caracal, die über 600 Smartphones in über 21 Ländern gezielt mit Phishing-Attacken angriff, um sie auszuspähen. Selbst bei Pegasus, dem Remote-Jailbreak-Exploit der NSO Group, die Cyber-Waffen anbietet, musste das Opfer zunächst eine Phishing-Nachricht in einer SMS antippen. FrozenCell, xRAT, ViperRAT, SocialPath und Xsser/mRAT sind alles mobile Bedrohungen, die mit Phishing beginnen.


Erkennen Sie die Phishing-Website?

Phishing auf Mobilgeräten ist auf den ersten Blick nur sehr schwer zu erkennen. Die von den Phishing-Angreifern erstellten Oberflächen wirken täuschend echt und gleichen ihren seriösen Pendants bis ins Detail, deshalb stellt Phishing auf Mobilgeräten ein solch großes Risiko für Unternehmen dar. 

  • Dropbox

    Wählen Sie A oder B. Zum Vergrößern anklicken.

    A
    B

    Echt

    Gefälscht

    Was Sie sehen:

    Die Unterschiede zwischen diesen beiden Dropbox-Anmeldebildschirmen sind äußerst subtil. Im Wesentlichen unterscheiden sie sich in der Pixelanzahl und -größe und der Verwendung des Unternehmenslogos, der Farbabweichung zwischen den beiden Anmeldeschaltflächen sowie einem fehlenden „G“ bei der Google-Anmeldeschaltfläche. Hier zeigt sich sehr gut, warum es so schwer ist, zwischen einer seriösen und einer Phishing-Website auf Mobilgeräten zu unterscheiden.

  • Google

    Wählen Sie A oder B. Zum Vergrößern anklicken.

    A
    B

    Gefälscht

    Echt

    Was Sie sehen:

    Hier gibt es einige Unterschiede, die Nutzern auffallen dürften, die sich gut mit den Anmeldeseiten von Google auskennen. Zunächst einmal unterscheidet sich der Wortlaut über dem Login-Modul. „Sign in to continue to Gmail“ (Anmelden und weiter zu Gmail) im Gegensatz zu „One account. All of Google“ (Einmal anmelden. Alle Google-Produkte nutzen.) – doch das wird bei den wenigsten Nutzern, die sich einfach nur anmelden wollen, die Alarmglocken schrillen lassen. Zum zweiten weicht die Handlungsaufforderung „Find my account“ (Mein Konto finden) ab, auf der gefälschten Website heißt es dort „Need help?“ (Brauchen Sie Hilfe?).Zu guter Letzt fehlt der Bereich „One Google Account for everything Google“ (Ein Google-Konto für alle Google-Dienste ), in dem alle anderen Google-Produkte aufgelistet sind. Das sind zwar keineswegs geringfügige Auslassungen, aber sie sind auch nicht besonders auffällig. Viel wahrscheinlicher ist es daher, dass ein Nutzer, der sich nur auf seine Anmeldung konzentriert, diese Abweichungen überliest und seine Zugangsdaten eingibt.

  • Office 365

    Wählen Sie A oder B. Zum Vergrößern anklicken.

    A
    B

    Echt

    Gefälscht

    Was Sie sehen:

    Diese beiden Beispiele sind zwar sehr unterschiedlich, aber beide wirken äußerst überzeugend. Ohne zu wissen, dass es sich bei der Anmeldeseite eigentlich eher um eine typische Microsoft-Anmeldeseite handelt, könnten Nutzer auf das Office 365-Logo, das scheinbar seriöse Microsoft-Logo sowie den Copyright-Hinweis unten auf der Seite hereinfallen. Das wesentliche Element, dass dem Nutzer ungewöhnlich erscheinen dürfte, ist die Meldung „Work or school account“ (Geschäfts-, Schul- oder Unikonto). Die Zeichensetzung fehlt und die Meldung schwebt merkwürdig über dem Anmeldebereich (der sowohl ein Feld für den Nutzernamen als auch das Passwort enthält, wohingegen die Original-Webseite nur mit der E-Mail-Adresse oder der Telefonnummer beginnt).

Phishing- und Content-Schutz von Lookout

Lookout bietet umfassenden Schutz vor Phishing-Angriffen auf Android- und iOS-Mobilgeräten, damit Unternehmensdaten in unserer vielschichtigen, mobilen Arbeitswelt sicher sind.

Ausweitung des Phishing-Schutzes auf Mobilgeräte

Mittlerweile haben die meisten Phishing-Angriffe ihren Ursprung auf Mobilgeräten. Lookout bietet dafür einen Extraschutz.

Umfassender Schutz, der mitwächst

Schützt vor Phishing-Angriffen über sämtliche Vektoren wie präparierte URLs, die sich in Apps, SMS, Messaging-Plattformen sowie geschäftlichen und privaten E-Mails verstecken.

Mehr Kontrolle für Administratoren

Administratoren können den Zugriff auf schädliche URLs blockieren, Anwender vor gefährlichen Websites warnen, Richtlinien zum Schutz vor Phishing-Versuchen festlegen und Geräte als nicht konform markieren, wenn der Schutz nicht aktiviert wurde.

Unterstützt den digitalen Wandel

Dank unserem Content-Schutz steht nun auch der Verwendung von Smartphones für geschäftliche Zwecke nichts mehr im Wege, egal ob ein Mitarbeiter sich innerhalb oder außerhalb der Firewall befindet.

Datenblatt herunterladen arrow_forward

Datenblatt

Mehr über den Phishing- und Content-Schutz von Lookout

Erfahren Sie mehr darüber, wie Lookout umfassenden Schutz vor Phishing-Angriffen auf Android- und iOS-Mobilgeräten bietet, Administratoren leistungsstarke Tools für die Überwachung, Verwaltung und Absicherung von Mobilgeräten an die Hand gibt und Unternehmen für die Nutzung von Smartphones im Geschäftsalltag vorbereitet.


Datenblatt Datenblatt herunterladen

Fordern Sie eine Demo an und erfahren Sie, was Lookout für Sie tun kann.

Kontaktieren Sie uns call_made