Warum sich Sicherheitsexperten vor Smishing fürchten müssen
Nigel Seddon, Vizepräsident EMEA West, Ivanti, untersucht die Zunahme von Smishing und was Unternehmen dagegen tun können.
Da immer mehr Mitarbeiter remote arbeiten und Unternehmens-Smartphones verwenden, um die Produktivität und Konnektivität des Unternehmens aufrechtzuerhalten, nehmen Smishing-Angriffe zu. Kurz für SMS-Phishing, Smishing ist sowohl in unserem Berufs- als auch in unserem Privatleben alltäglich geworden. 36 Millionen Briten wurden im letzten Jahr dazu verleitet, Viren oder Malware auf ihre Mobilgeräte herunterzuladen, wodurch Hacker einfachen Zugriff auf sensible Daten erhalten.
Wie Phishing-E-Mails zielt Smishing darauf ab, Benutzer dazu zu verleiten, wertvolle Informationen preiszugeben, indem der Empfänger davon überzeugt wird, dass die Nachricht von einer vertrauenswürdigen Quelle stammt. Tatsächlich haben aktuelle Google-Suchdaten ergeben, dass Smishing-Betrug von Royal Mail a 1,077% in Großbritannien im Jahr 2020. Allein im März 2021 gab es a 645% Zunahme in Phishing-Betrug im Zusammenhang mit Royal Mail, so die Sicherheitsfirma Check Point.
Smishing-Angriffe sind besonders besorgniserregend, da die Menschen auf Textnachrichten vertrauensvoller und reaktionsschneller sind als auf E-Mails. Nur 1 von 4 E-Mails wird von Verbrauchern geöffnet, während 82 % der SMS werden innerhalb von fünf Minuten gelesen. Obwohl es diese Arten von Betrug seit Jahrzehnten gibt und in der Regel E-Mail-Konten ausgenutzt werden, sollte der dramatische Anstieg von Smishing-Angriffen in den letzten Jahren, insbesondere während der Pandemie, Cybersicherheitsexperten Sorgen bereiten.
Ausnutzung unserer vertrauensvollen Natur: Clevere Hacker beten für unsere smishing Verwundbarkeit
Smishing-Angriffe sind kein neues Konzept. Es gibt sie schon seit Jahren. Smishing ist jedoch für die IT-Sicherheit in der Post-Covid-Ära besorgniserregender.
Warum? Die Mitarbeiter haben sich an den Umgang mit gängigen Phishing-E-Mails angepasst, indem sie E-Mail-Phishing auf unternehmenseigenen PCs blockieren oder ihren Spambox-Filter verwenden, um potenzielle Bedrohungen zu selektieren, und erkennen die verräterischen Anzeichen besser. Aber die heutigen Remote-Mitarbeiter verwenden jetzt ihre privaten Smartphones, um auf eine Mischung aus Unternehmens- und privaten Apps und Daten zuzugreifen. Ab 2021, 3.8 Milliarden Benutzer auf der ganzen Welt tragen jetzt Smartphones. Geräte sind überall und bieten Hackern eine riesige, ausnutzbare Bedrohungslandschaft.
Dank Lockdown eins, zwei, drei nutzt jeder sein Handy mehr. Laut einer im Februar 2021 durchgeführten Umfrage gab dies fast die Hälfte der Befragten an im Durchschnitt verbrachten sie täglich fünf bis sechs Stunden mit ihrem Telefon, ohne arbeitsbedingte Smartphone-Nutzung. Aber wir verlassen uns auch mehr auf sie bei der Arbeit. 72 % der Mitarbeiter stimmen zu, dass ihr mobiles Gerät wichtig war, um ihre Produktivität während des Lockdowns sicherzustellen.
Letztendlich gibt es einfach keine einfache Möglichkeit, die Authentizität von URLs auf Smartphones zu überprüfen, sodass Benutzer einfach klicken und einen Cyberangriff auslösen können.
Alarmstufe Rot: „Eingeschaltet“ bleiben.
Viele Unternehmen schulen ihre Mitarbeiter immer noch nicht in den Grundlagen der Cybersicherheit, und die Arbeitgeber werden aufgefordert, Schulungen zum Sicherheitsbewusstsein einzuführen und die „Smishing-Pandemie“ zu bewältigen.
Nach Angaben des Bericht der britischen Regierung zu Cyber-Sicherheitsverletzungen, nur 14 % der Unternehmen schulen Mitarbeiter in Cybersicherheit für mobile Geräte und nur jedes fünfte hat die Reaktion der Mitarbeiter auf Cybervorfälle getestet. Dies ist besonders besorgniserregend, da viele Unternehmen ihren Mitarbeitern weiterhin erlauben, ihre privaten Geräte für arbeitsbezogene Aufgaben zu verwenden.
Im Laufe des Jahres 2021 wurde eine Betrugswarnung mit gefälschten Texten des NHS aufgedeckt, in denen den Menschen mitgeteilt wurde, dass sie für ihre Covid-19-Impfung in Frage kämen. Diese URL führte die Benutzer dann zu einer überzeugenden, aber falschen NHS-Website, die nach persönlichen Daten fragte – leider werden diese Arten von Betrug täglich aufgedeckt und nehmen ständig zu.
Das Erkennen betrügerischer SMS ist keine leichte Aufgabe. Es ist wichtig, dass CISOs alle Mitarbeiter unabhängig von ihrer Abteilung schulen, damit sie selbst den kleinsten Fehler melden können, wie z. B. das Klicken auf einen Spam-Link. Dies kann durch die Einrichtung eines einfachen Protokolls zur Meldung von Smishing-Vorfällen erfolgen.
IT-Führungskräfte sollten außerdem Smishing-Sensibilisierungsschulungen durchführen, die Mitarbeitern helfen, Phishing-Betrug zu erkennen, bevor sie ihnen zum Opfer fallen. Cybersicherheitsexperten zu arrangieren, die ins Büro kommen, um eine Schulung für alle Mitarbeiter abzuhalten, oder sogar Personalabteilungen zu bitten, Seminare für Mitarbeiter durchzuführen, ist ein langer Weg.
Während strukturierte jährliche oder halbjährliche Sensibilisierungsschulungen zur Cybersicherheit empfohlen werden, sollten die Mitarbeiter auch eine On-the-Fly-Schulung zur Sensibilisierung für Phishing/Smishing erhalten, wenn ein Angriff erfolgt. Wenn ein Mitarbeiter auf einen Phishing-Link klickt, sollte er sofortiges Feedback und zusätzliche Schulungen erhalten. Den Überblick über die Phishing-/Smishing-Schulungen des Unternehmens zu behalten, ist der Schlüssel zum Erfolg.
Der unverzichtbare Leitfaden für CISOs zur mobilen Sicherheit von Mitarbeitern.
Im Dezember 2020 wurde Ivanti in Auftrag gegeben eine unabhängige Forschungsstudie um ein besseres Verständnis der CISO-Prioritäten zu erlangen. Es zeigte sich, dass 87 % der CISOs in der gesamten EMEA-Region angaben, dass die Sicherung mobiler Geräte jetzt im Mittelpunkt ihrer Cybersicherheitsstrategien steht. Dies ist vor allem auf den 52-prozentigen Anstieg von SMS-Zustellbetrug in Großbritannien in den letzten 12 Monaten zurückzuführen, bei dem Cyber-Akteure Menschen dazu verleiteten, ihre Zugangsdaten, einschließlich Passwörter, preiszugeben.
Laut Untersuchungsbericht 2020 von Verizon zu Datenschutzverletzungen, sind kompromittierte Passwörter für 81 % aller Datenschutzverletzungen im Zusammenhang mit Hacking verantwortlich. Die Abschaffung von Passwörtern zugunsten der Multifaktor-Authentifizierung (MFA) ist eines der einfachsten Dinge, die CISOs jetzt tun können, um Remote-Mitarbeitern zu helfen, produktiv zu bleiben und gleichzeitig Sicherheitsbedrohungen zu minimieren. Durch die Anforderung von Biometrie oder anderen Faktoren für die Authentifizierung kann die IT die „Phishability“ von Anmeldeinformationen reduzieren. MFA verbessert auch die Benutzererfahrung erheblich, indem die Notwendigkeit entfällt, komplexe und leicht vergessene Passwörter auf kleinen Bildschirmen einzugeben.
Hyperautomatisierung ist der Schlüssel zum Erfolg von IT-Abteilungen im Zuge der Pandemie. Während viele Unternehmen in Schulungsinitiativen für das Sicherheitsbewusstsein investiert haben, sollten sie auch fortschrittliche Technologien für Automatisierung, künstliche Intelligenz und maschinelles Lernen priorisieren und anwenden, um Phishing-Bedrohungen schneller und konsistenter zu identifizieren, zu verifizieren und zu beheben.
WEITERLESEN:
- Die Kraft der KI zur Beschleunigung des Wachstums
- Warum Entwickler unsere beste Verteidigung gegen Cyberangriffe sind
- Vereinheitlichte Daten steuern die Fabrik von morgen
- CTOs geben Ratschläge an ihr 25-jähriges Ich
CISOs wissen, dass sie sich nicht nur auf fehlbare, abgelenkte Menschen verlassen können, um cyberkriminelle Aktivitäten zu vereiteln. Ein umfassender und „always-on“-Ansatz für mobile Sicherheit, mit dem mobile Bedrohungen erkannt und verhindert werden können, ohne den Zugriff der Mitarbeiter zu beeinträchtigen, sollte im kommenden Jahr ganz oben auf der To-do-Liste jedes CISO stehen.
Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!
Folge uns auf LinkedIn machen Twitter
