Wenn es um die beliebteste Art und Weise geht, wie Nutzer in Online-Betrügereien verstrickt werden, ist und bleibt die gute alte E-Mail die absolute Nummer eins unter Cyber-Kriminellen. Beim Versuch, an persönliche Log-in- oder Bankkontodaten heranzukommen, spielen Phishing-Attacken über neuere Technologien oder Smartphones überraschenderweise weiterhin eine eher untergeordnete Rolle. Zu diesem Ergebnis kommt der aktuelle "2015 Data Breach Investigations Report" aus der Feder von Verizon Enterprises. Besonders erschreckend: 30 Prozent der Phishing-Mails werden ohne nachzudenken einfach geöffnet.
100'000 Sicherheitsbedrohungen
"Die Gruppen der kriminellen Cyber-Diebe verstecken ihre gefährlichen Ladungen immer noch in E-Mails, weil sich diese Methode zunehmend als effektiv entpuppt", zitiert "BBC News" Marc Spitler, den leitenden Autor des jährlich vorgelegten Sicherheitsberichts. Dieser beinhaltet Analysedaten von insgesamt mehr als 100'000 Sicherheitsbedrohungen und Übergriffen auf Tausende von Unternehmen im Laufe des Jahres 2015. "Bei fast 90 Prozent dieser Vorfälle ging es um Versuche, Geld zu stehlen", so Spitler.
Interessant und für einige Experten auch überraschend ist wohl der Umstand, dass der Verizon-Bericht keinerlei Beweise dafür finden konnte, dass neuere Technologien inklusive aller Arten von vernetzten Gadgets oder Smartphones langsam die E-Mail als Phishing-Tool verdrängen würden. "Wir konnten keine Anzeichen für eine derartige Verschiebung der Angriffswerkzeuge feststellen", betont der Security-Experte.
Mangelndes Gefahrenbewusstsein
Als "erschreckend" bezeichnet Spitler das mangelnde Gefahrenbewusstsein, was den Umgang mit E-Mails betrifft. Aus dem Bericht geht nämlich hervor, dass rund 30 Prozent aller Phishing-Mails, die an Privatpersonen und Unternehmen verschickt wurden, geöffnet werden. "2014 lag der entsprechende Vergleichswert noch bei lediglich 23 Prozent", heißt es im Bericht. Von den geöffneten schadhaften Mails wurde in 13 Prozent der Fälle auch das angehängte Attachement geöffnet, was zu einer Aktivierung der versteckten Malware führte.
"Das bedeutet, dass es den Cyber-Kriminellen oft in wenigen Minuten gelingen konnte, das Netzwerk des Opfers zu kompromittieren. Wenn so ein Angriff funktioniert, geht das also meistens sehr schnell", erläutert Spitler. Ganz anders sei die Situation, wenn es darum gehe, die Sicherheitsbedrohung rechtzeitig zu erkennen. "Unglücklicherweise kann man zwar schnell zum Opfer werden. In den meisten Fällen hat es aber viel zu lange gedauert, bis man überhaupt erkannt hat, dass es ein Datenleck gibt", schildert der Verizon-Experte. Bei 84 Prozent der analysierten Übergriffe habe es sogar mehrere Wochen gebraucht, bis die illegalen Eindringlinge entdeckt wurden.
Was ist Pishing?