Auf Mobilgeräten ist Phishing besonders problematisch

Um Daten heute vor Manipulation zu schützen, muss verhindert werden, dass Mitarbeiter präparierte URLs antippen, die sich in Apps, SMS, Messaging-Plattformen sowie geschäftlichen und privaten E-Mails verbergen.

STUDIE

56 % aller Anwender haben bereits Phishing-URLs über ihr Mobilgerät erhalten und aufgerufen.

Mobilgeräte bewegen sich außerhalb von schützenden Firewalls, verfügen meist nicht über Endpoint-Sicherheitslösungen und greifen auf eine Vielzahl neuer Messaging-Plattformen zu, die auf Desktops nicht verwendet werden. Darüber hinaus bietet die Nutzerschnittstelle von Mobilgeräten nicht die nötige Detailtiefe, um Phishing-Angriffe erkennen zu können (z. B. indem man den Mauszeiger über Hyperlinks bewegt, um die Ziel-URL anzuzeigen). All das sowie die Unmengen an persönlichen Daten auf Mobilgeräten machen Smartphones und Co. zum neuen Lieblingsziel von Phishern.


Whitepaper Bericht anfordern

Die fünf Bindeglieder in der Phishing-Kill-Chain für Mobilgeräte

Ein unbedachter Fingertipp genügt, um ein Mobilgerät zu infizieren. Vielleicht tippen Sie auf eine präparierte URL, die im Browser-Fenster verkürzt angezeigt wurde, oder eine URL, die eine App im Hintergrund aufgerufen hat und damit unbeabsichtigt eine Verbindung zu einem schädlichen Anzeigennetzwerk herstellt, oder auf einen Link in einer privaten E-Mail, die den Nutzer dazu verleitet, seine Firmenzugangsdaten preiszugeben. So gelangen Angreifer in Ihre Infrastruktur und können sich systematisch zu Ihren wertvollen Daten vorarbeiten.

Es gibt viele Möglichkeiten, Mobilgeräte über Phishing auszuspionieren

malicious network icon

Schädliche Anzeigennetzwerke

URLs werden von Apps genutzt, um im Hintergrund mit anderen Diensten zu kommunizieren, z. B. mit Anzeigennetzwerken. Wenn eine App eine präparierte URL aufruft, könnten dem Nutzer in der Folge ungewollt Anzeigen angezeigt werden.

personal email icon

Private E-Mail-Adressen

Private E-Mails sind ein beliebtes Angriffsziel. Zwar bieten die meisten Anbieter privater E-Mail-Dienste einen standardmäßigen Phishing-Schutz, jedoch sind Angreifer in der Lage, diese Technologien zu umgehen und Mitarbeiter ins Visier zu nehmen, damit diese sensible Daten preisgeben.

Messages icon

Messaging-Plattformen

Schädliche Akteure wie Dark Caracal nutzen Messaging-Plattformen in Apps wie WhatsApp, Facebook Messenger und Instagram, um Anwender unbemerkt Spyware-Programme wie Pallas herunterladen zu lassen.

SMS Image

SMS

Die Angreifer versenden Phishing-SMS mit einem unverfänglichen Wortlaut, etwa: „Ich habe gerade dieses Bild von dir gesehen. Schau doch mal rein.“ Damit verleiten sie ihre Opfer dazu, Malware, insbesondere Surveillanceware herunterzuladen.

Geschäftliche E-Mail-Adressen

Firmen-E-Mail-Adressen werden häufig gezielt angegriffen, deshalb stehen sie bei den Sicherheitsadministratoren von Unternehmen unter besonderer Beobachtung. Wie Sie jedoch sehen, ist der Schutz von Firmen-E-Mail-Adressen nicht umfassend genug.

Phishing stellt weltweit das größte Risiko für die Cybersicherheit dar

Eine exklusive Lookout-Studie zum Thema Phishing auf Mobilgeräten hat weltweit eine Reihe schädlicher Akteure aufgedeckt, darunter die staatlich geförderte Gruppe hinter Dark Caracal, die über 600 Smartphones in über 21 Ländern gezielt mit Phishing-Attacken angriff, um sie auszuspähen. Selbst bei Pegasus, dem Remote-Jailbreak-Exploit der NSO Group, die Cyber-Waffen anbietet, musste das Opfer zunächst eine Phishing-Nachricht in einer SMS antippen. FrozenCell, xRAT, ViperRAT, SocialPath und Xsser/mRAT sind alles mobile Bedrohungen, die mit Phishing beginnen.


Erkennen Sie die Phishing-Website?

Phishing auf Mobilgeräten ist auf den ersten Blick nur sehr schwer zu erkennen. Die von den Phishing-Angreifern erstellten Oberflächen wirken täuschend echt und gleichen ihren seriösen Pendants bis ins Detail, deshalb stellt Phishing auf Mobilgeräten ein solch großes Risiko für Unternehmen dar. 

  • Dropbox

    Wählen Sie A oder B. Zum Vergrößern anklicken.

    A
    B

    Echt

    Gefälscht

    Was Sie sehen:

    Die Unterschiede zwischen diesen beiden Dropbox-Anmeldebildschirmen sind äußerst subtil. Im Wesentlichen unterscheiden sie sich in der Pixelanzahl und -größe und der Verwendung des Unternehmenslogos, der Farbabweichung zwischen den beiden Anmeldeschaltflächen sowie einem fehlenden „G“ bei der Google-Anmeldeschaltfläche. Hier zeigt sich sehr gut, warum es so schwer ist, zwischen einer seriösen und einer Phishing-Website auf Mobilgeräten zu unterscheiden.

  • Google

    Wählen Sie A oder B. Zum Vergrößern anklicken.

    A
    B

    Gefälscht

    Echt

    Was Sie sehen:

    Hier gibt es einige Unterschiede, die Nutzern auffallen dürften, die sich gut mit den Anmeldeseiten von Google auskennen. Zunächst einmal unterscheidet sich der Wortlaut über dem Login-Modul. „Sign in to continue to Gmail“ (Anmelden und weiter zu Gmail) im Gegensatz zu „One account. All of Google“ (Einmal anmelden. Alle Google-Produkte nutzen.) – doch das wird bei den wenigsten Nutzern, die sich einfach nur anmelden wollen, die Alarmglocken schrillen lassen. Zum zweiten weicht die Handlungsaufforderung „Find my account“ (Mein Konto finden) ab, auf der gefälschten Website heißt es dort „Need help?“ (Brauchen Sie Hilfe?).Zu guter Letzt fehlt der Bereich „One Google Account for everything Google“ (Ein Google-Konto für alle Google-Dienste ), in dem alle anderen Google-Produkte aufgelistet sind. Das sind zwar keineswegs geringfügige Auslassungen, aber sie sind auch nicht besonders auffällig. Viel wahrscheinlicher ist es daher, dass ein Nutzer, der sich nur auf seine Anmeldung konzentriert, diese Abweichungen überliest und seine Zugangsdaten eingibt.

  • Office 365

    Wählen Sie A oder B. Zum Vergrößern anklicken.

    A
    B

    Echt

    Gefälscht

    Was Sie sehen:

    Diese beiden Beispiele sind zwar sehr unterschiedlich, aber beide wirken äußerst überzeugend. Ohne zu wissen, dass es sich bei der Anmeldeseite eigentlich eher um eine typische Microsoft-Anmeldeseite handelt, könnten Nutzer auf das Office 365-Logo, das scheinbar seriöse Microsoft-Logo sowie den Copyright-Hinweis unten auf der Seite hereinfallen. Das wesentliche Element, dass dem Nutzer ungewöhnlich erscheinen dürfte, ist die Meldung „Work or school account“ (Geschäfts-, Schul- oder Unikonto). Die Zeichensetzung fehlt und die Meldung schwebt merkwürdig über dem Anmeldebereich (der sowohl ein Feld für den Nutzernamen als auch das Passwort enthält, wohingegen die Original-Webseite nur mit der E-Mail-Adresse oder der Telefonnummer beginnt).

Phishing- und Content-Schutz von Lookout

Lookout bietet umfassenden Schutz vor Phishing-Angriffen auf Android- und iOS-Mobilgeräten, damit Unternehmensdaten in unserer vielschichtigen, mobilen Arbeitswelt sicher sind.

Ausweitung des Phishing-Schutzes auf Mobilgeräte

Mittlerweile haben die meisten Phishing-Angriffe ihren Ursprung auf Mobilgeräten. Lookout bietet dafür einen Extraschutz.

Umfassender Schutz, der mitwächst

Schützt vor Phishing-Angriffen über sämtliche Vektoren wie präparierte URLs, die sich in Apps, SMS, Messaging-Plattformen sowie geschäftlichen und privaten E-Mails verstecken.

Mehr Kontrolle für Administratoren

Administratoren können den Zugriff auf schädliche URLs blockieren, Anwender vor gefährlichen Websites warnen, Richtlinien zum Schutz vor Phishing-Versuchen festlegen und Geräte als nicht konform markieren, wenn der Schutz nicht aktiviert wurde.

Unterstützt den digitalen Wandel

Dank unserem Content-Schutz steht nun auch der Verwendung von Smartphones für geschäftliche Zwecke nichts mehr im Wege, egal ob ein Mitarbeiter sich innerhalb oder außerhalb der Firewall befindet.

Datenblatt herunterladen arrow_forward

Datenblatt

Mehr über den Phishing- und Content-Schutz von Lookout

Erfahren Sie mehr darüber, wie Lookout umfassenden Schutz vor Phishing-Angriffen auf Android- und iOS-Mobilgeräten bietet, Administratoren leistungsstarke Tools für die Überwachung, Verwaltung und Absicherung von Mobilgeräten an die Hand gibt und Unternehmen für die Nutzung von Smartphones im Geschäftsalltag vorbereitet.


Datenblatt Datenblatt herunterladen


WEBINAR: JETZT ANSEHEN
Mobile Threat Defense: Phishing, das bislang größte ungelöste Cybersicherheitsproblem

Gartner Research Director

Dionisio Zumerle


Lookout Chief Strategy Officer

Aaron Cockerill

Fordern Sie eine Demo an und erfahren Sie, was Lookout für Sie tun kann.

Kontaktieren Sie uns call_made

Informationen zu weiteren Produkten

Lookout schützt Smartphones, Tablets, Anwendungen, Mobilgeräteflotten und mehr.

Mobile Endpoint Security

Lösungen zum Schutz Ihres Unternehmens.

Mehr erfahren

App Defense

Lösungen für die Entwicklung und die Bereitstellung sicherer Apps.

Mehr erfahren

Personal

Lösungen für sämtliche privat genutzten Mobilgeräte.

Mehr erfahren

Threat Intelligence

Detaillierte Einblicke in globale Bedrohungen für mobile Plattformen.

Mehr erfahren
close
Um Ihnen ein optimales Benutzererlebnis zu bieten, nutzt diese Website Cookies. Durch die Nutzung unserer Website erklären Sie sich damit einverstanden, dass sie Cookies verwendet. Mehr erfahren