Zscaler Blog

Der Phishing-Report für 2022 von ThreatLabz kann hier gratis heruntergeladen werden. Die wichtigsten Ergebnisse werden zusammenfassend in unserer Infografik dargestellt.

Phishing-Angriffe stellen eine komplexe und zeitaufwendige Herausforderung dar, mit der sich Sicherheitsteams seit Jahrzehnten herumschlagen. Eine Besserung ist nicht in Sicht. Im Gegenteil zeigen die Ergebnisse des Phishing-Reports für 2022 von ThreatLabz, dass sich Bedrohungsakteure immer raffinierterer Methoden bedienen. Die Verfügbarkeit vorkonfigurierter Phishing-Kits im Darknet trägt zusätzlich dazu bei, dass die Anzahl der Angreifer steigt. Im jährlich veröffentlichten Report liefern die Experten von ThreatLabz aussagekräftige Erkenntnisse zur aktuellen Bedrohungslage. Die Grundlage bildet die Auswertung von Phishing-Daten eines gesamten Jahres aus der weltgrößten Security Cloud. Zur Abwehr der aktuell beobachteten Phishing-Angriffe ist die verstärkte Sensibilisierung der User, die Erfassung zusätzlicher Kontextdaten sowie die konsequente Umsetzung eines Zero-Trust-Ansatzes notwendig. 

 

Die wichtigsten Ergebnisse im Überblick

Bedrohungsakteure bedienen sich unterschiedlicher Tricks, um User zur Preisgabe vertraulicher Daten zu bewegen. Zu den gängigsten Taktiken und Techniken zählen u. a. die Imitation vertrauenswürdiger Marken wie Microsoft sowie das Schalten kostenpflichtiger Werbung auf Google. Im Report werden die Ergebnisse der Auswertung von Daten aus über 200 Milliarden Transaktionen pro Tag für das Jahr 2022 präsentiert. Insbesondere wurden dabei folgende Trends erkenntlich:

Die Anzahl der versuchten Phishing-Angriffe nahm von 2020 auf 2021 um 29 % zu. Dieser Zuwachs wurde durch eine Reihe von Faktoren begünstigt:

• COVID-19 und Umstieg auf dezentrale Arbeitskonzepte:  Mit der verstärkten Verlagerung vieler Alltagsaktivitäten in den Online-Bereich entstanden zugleich neue Angriffsvektoren.
• Effektiverer Schutz vor Bedrohungen: Der Ausbau von Maßnahmen zur Angriffsprävention seitens der Organisationen hat Bedrohungsakteure dazu genötigt, sich zunehmend raffinierter Methoden zu bedienen. Phishing stellt eine bewährte Methode dar, mit der es Angreifern immer wieder gelingt, sich legitime Anmeldedaten zu verschaffen, die dann zur Umgehung von Sicherheitskontrollen missbraucht werden.
• Phishing-as-a-Service: Mittels sogenannter Phishing-Kits, die vorkonfigurierte Tools kombinieren, können auch Bedrohungsakteure ohne einschlägige technische Kompetenzen raffinierte Angriffe durchführen, die für Sicherheitsteams schwer zu erkennen sind.  

Bei über 96 % der in unserer Studie untersuchten Angriffe gab es keine verweisende Domain. Das deutet darauf hin, dass das Opfer über eine E-Mail, SMS oder einen anderen Client auf einen direkten Link zur Phishing-Website geklickt hat. E-Mail ist und bleibt der wichtigste Angriffsvektor für Phishing. Zunehmend greifen Bedrohungsakteure aber auch zu anderen Methoden wie etwa den sogenannten „SMiShing“-Angriffen, bei denen der schädliche Link stattdessen per Textnachricht verschickt wird. Dahinter steckt zum einen die Erkenntnis, dass Verbraucher auf Textnachrichten weniger misstrauisch reagieren, zum anderen können sich die Angreifer auf diese Weise Zugriff auf das Smartphone des Opfers verschaffen und somit die Zwei-Faktor-Authentifizierung unterlaufen. Im Ranking der 20 beliebtesten verweisenden Domains waren Suchplattformen, Unternehmensforen und Online-Marktplätze ebenso vertreten wie Sharing-Websites und E-Commerce-Tools.

 Im Einzel- und Großhandel stieg die Anzahl der Phishing-Angriffe 2021 im Vergleich zum Vorjahr um 436 % an. Dieser massive Zuwachs dürfte auf COVID-bedingte Veränderungen im Verbraucherverhalten zurückzuführen sein – insbesondere den Trend zum Online-Shopping, den sich Angreifer für ihre Zwecke zunutze machten.So löste der Einzel- und Großhandel, der im Vorjahr noch an fünfter Stelle lag, 2021 den Fertigungssektor als Spitzenreiter unter den am stärksten von Phishing-Angriffen betroffenen Branchen ab. 

Über 60 % der in der Studie analysierten Angriffsversuche richteten sich gegen Opfer in den USA, die damit erneut die Liste der am stärksten von Phishing betroffenen Länder anführen. Die Anzahl der Angriffsversuche auf US-amerikanische Ziele hingegen nahm gegenüber dem Vorjahr nur um 7 % zu, während in anderen Ländern deutlich höhere Zuwächse verzeichnet wurden. Der Report enthält Angaben zu den 10 Ländern mit der höchsten Anzahl von Phishing-Angriffen sowie eine detaillierte Aufschlüsselung, aus der ersichtlich ist, in welchen Ländern die Phishing-Angriffe am stärksten zunahmen.

Im diesjährigen Report werden zudem die Ergebnisse einer Analyse gängiger Phishing-Techniken sowie der Faktoren vorgestellt, die zum Anstieg der Risiken für Unternehmen beitragen. Die Schwerpunkte liegen dabei auf folgenden Themen:

• Am stärksten betroffene Regionen und Branchen 
• Personalisierung und gezielte Angriffe
• Zero-Day-Schwachstellen und schnelle Exploits
• Phishing-as-a-Service und Phishing-Kits
• Sichere Domains und vertrauenswürdige Plattformen

 

Abwehr von Phishing-Angriffen verbessern

Aus Branchenstatistiken geht hervor, dass ein durchschnittliches Unternehmen täglich Dutzende von Phishing-E-Mails erhält, wobei die finanziellen Auswirkungen immer größer werden, da die durch Malware- und Ransomware-Angriffe verursachten Verluste die durchschnittlichen Kosten von Phishing-Angriffen Jahr für Jahr in die Höhe treiben. Die Abwehr aller in diesem Report beschriebenen Bedrohungen ist eine Mammutaufgabe. Zwar lässt sich das Risiko von Phishing-Bedrohungen nicht vollständig eliminieren. Die aus den beobachteten Trends und Vorfällen gewonnenen Erkenntnisse können jedoch zur Optimierung des Risikomanagements beitragen.

Grundlegende Maßnahmen zur Minderung des Risikos von Phishing-Angriffen:

1. Richtlinien und Strategien sollten unter Berücksichtigung aller aktuell bekannten Risiken formuliert werden
2. Automatische Tools und Datenanalysen liefern wichtige Erkenntnisse zur Reduzierung der Vorfallshäufigkeit
3. Mit Zero-Trust-Architekturen lässt sich das Schadenspotenzial erfolgreicher Angriffe begrenzen
4. Regelmäßige Schulungen sensibilisieren die Mitarbeiter für potenzielle Bedrohungen und fördern die Meldung von Vorfällen
5. Durch Simulation von Phishing-Angriffen können Schwachstellen in den Abwehrmaßnahmen des Unternehmens erkannt werden

 

Vorteile der Zscaler Zero Trust Exchange zur Abwehr von Phishing-Angriffen

Der Schutz des Unternehmens vor Angriffen, bei denen User zum Zugriff auf schädliche Links verleitet werden, stellt Sicherheitsbeauftragte vor enorme Herausforderungen. Bewältigen lassen sie sich nur durch die Implementierung entsprechender Kontrollmechanismen zur Abwehr von Phishing-Angriffen im Rahmen einer umfassenden Zero-Trust-Strategie, die es dem Unternehmen ermöglicht, aktive Sicherheitsverletzungen zu erkennen und das Schadenspotenzial erfolgreicher Angriffe zu minimieren. Die Zscaler Zero Trust Exchange basiert auf einer ganzheitlichen Zero-Trust-Architektur und stellt leistungsstarke Funktionen bereit, mit denen Unternehmen ihre Angriffsfläche verkleinern, User-Zugriffe auf verdächtige Links verhindern, die laterale Ausbreitung von Bedrohungen stoppen und Datenverluste blockieren. Die Zscaler-Plattform bietet folgende Vorteile zur Abwehr von Phishing-Angriffen:

• Sie hindert User am Zugriff auf verdächtige Websites: Durch komplette SSL-Überprüfung auch bei hohem Traffic-Volumen, Browser Isolation und richtlinienbasierte Kontrollen werden Zugriffe auf riskante Websites verhindert.
• Sie lässt keine lateralen Bewegungen zu: Indem User direkt mit Anwendungen und nicht mit dem Netzwerk verbunden werden, wird das Schadenspotenzial im Falle eines erfolgreichen Angriffs begrenzt.
• Sie blockiert kompromittierte Konten und Insider-Bedrohungen: Wenn es einem Angreifer gelingt, sich Zugang zu den Anmeldedaten von Mitarbeitern zu verschaffen, wird durch Inline-Überprüfung der Zugriff auf unternehmensinterne Anwendungen verhindert. Mithilfe der integrierten Deception Technology lassen sich auch geschickte Angreifer entlarven.
• Sie verhindert Datendiebstähle: Daten werden bei der Übertragung und im Ruhezustand überprüft, um ihren Diebstahl im Zuge eines laufenden Angriffs zu verhindern.

 

Weitere relevante Produkte von Zscaler:

 

Zscaler Internet Access unterstützt die Erkennung und Blockierung von Angriffen, indem der gesamte Internet-Traffic durch die Zero Trust Exchange geleitet und überprüft wird. Folgende Traffic-Typen werden blockiert:

• URLs und IPs, die in der Zscaler Cloud beobachtet und als verdächtig eingestuft wurden bzw. in nativ integrierten Open-Source- und kommerziellen Datenbanken verzeichnet sind. Dazu gehören URL-Kategorien, die in den Richtlinien als hochriskant definiert sind und häufig für Phishing-Angriffe verwendet werden – z. B. neu beobachtete und neu aktivierte Domains.
• IPS-Signaturen, die von ThreatLabz aus der Analyse von Phishing-Kits und -Seiten ermittelt wurden.
• Neuartige Phishing-Seiten, die durch Inhaltsscans mit KI/ML-Erkennung identifiziert werden.

Advanced Threat Protection blockiert alle bekannten Command-and-Control-Domains.

Advanced Cloud Firewall erweitert den Command-and-Control-Schutz auf alle Ports und Protocols, einschließlich neuer C&C-Ziele.

Cloud Browser Isolation isoliert User durch einen undurchdringlichen Air Gap vom Internet. Web-Inhalte werden als gestochen scharfer Bilderstrom angezeigt und das Risiko von Datenverlusten und aktiven Bedrohungen ausgeschaltet.

Advanced Cloud Sandbox verhindert die Auslieferung unbekannter Malware in der zweiten Angriffsphase.

Zscaler Private Access schützt Anwendungen, indem durch Mikrosegmentierung von User-to-App-Verbindungen und kompletter Inline-Überprüfung des Traffics von unternehmensinternen Anwendungen die laterale Bewegungsfreiheit von Angreifern eingeschränkt wird.

Zscaler Deception ködert und entlarvt Angreifer beim Versuch, sich lateral durchs Netzwerk zu bewegen bzw. sich erweiterte Zugriffsberechtigungen zu verschaffen, mit Decoys, die echten Servern, Anwendungen, Verzeichnissen und User-Konten täuschend ähnlich sehen.

Weitere Informationen

Der Phishing-Report für 2022 von ThreatLabz steht zum Herunterladen bereit. Der Report enthält Fakten und Zahlen zu folgenden thematischen Schwerpunkten:

• Überblick über 21 gängige Phishing-Angriffstypen, 11 Betrugskategorien und Auswertung der bei gängigen und neuartigen Betrugsmaschen angewandten Taktiken, Techniken und Verfahren
• Trend zu hochgradig gezielten und effektiven Phishing-Kampagnen durch Spezialisierung und Automatisierung
• Best Practices zur Erkennung von Angriffen und Stärkung der Phishing-Abwehr
• Vorteile einer Zero-Trust-Architektur für den zuverlässigen Schutz vor Phishing-Angriffen
• Trendprognosen für 2023

Der Report steht hier zum Herunterladen bereit. 

Über uns

Als globales Forschungsteam hat Zscaler ThreatLabz sich dem Auftrag verschrieben, Organisationen rund um die Uhr vor komplexen Cyberbedrohungen zu schützen. Die über 100 Sicherheitsexperten bringen jahrzehntelange Erfahrung in der Verfolgung von Bedrohungsakteuren, der Nachkonstruktion von Malware durch Reverse Engineering, der Verhaltensanalyse und der Datenwissenschaft mit. Zur Erkennung und Verhinderung neuartiger Bedrohungen greift das ThreatLabz-Team auf die Erkenntnisse aus 300 Milliarden Signalen pro Tag zurück, die von der Zscaler Zero Trust Exchange verarbeitet werden.

Seit seiner Gründung verfolgt ThreatLabz die Entwicklung neuer Bedrohungsvektoren, Angriffskampagnen und krimineller Gruppen und liefert wichtige Ergebnisse sowie Erkenntnisse zu Zero-Day-Sicherheitsrisiken. Insbesondere werden Daten zu aktiven Kompromittierungsindikatoren und Angriffstaktiken, -techniken und -verfahren für Bedrohungsakteure, Malware- und Ransomware-Gruppen, Phishing-Kampagnen usw. erfasst und ausgewertet.

ThreatLabz engagiert sich für den branchenweiten Informationsaustausch und leistet einen entscheidenden Beitrag zur Entwicklung erstklassiger Sicherheitslösungen bei Zscaler. Aktuelle Forschungsergebnisse aus ThreatLabz-Studien werden regelmäßig im Zscaler-Blog vorgestellt.