[datensicherheit.de, 16.05.2023] Lookout betont in einer aktuellen Stellungnahme, dass man grundsätzlich vorsichtig sein sollte bei jeder Art von Textnachrichten, „die man erhält und die mit dem Anspruch auf Dringlichkeit auftritt“ – diesen Tipp sollten Nutzer sogenannter Messenger und SMS-Nachrichten immer im Kopf haben. Dies gilt demnach besonders dann, wenn man eine zufällige Nachricht von seinem angeblichen Chef oder „CEO“ erhält, in der zu lesen ist: „Hallo Herr oder Frau Soundso, ich brauche heute bis um 15 Uhr folgende Finanzinformationen …“ – und es ist tatsächlich bereits 13.30 Uhr, wodurch „Eile angesagt“ wäre.

Foto: Lookout

Sascha Spangenberg: Prinzipiell verdächtige Anwendungen könnten Bedrohungsakteure als Einfallstor für Phishing-Angriffe missbrauchen!

Lookout rät zur Überprüfung, ob Nachricht aus seriöser Quelle stammt

Sascha Spangenberg, Manager bei Lookout, rät hierzu: „Am besten überprüft man immer sofort, ob die Nachricht aus einer seriösen Quelle stammt. Zum Beispiel wenn es um einen Text geht, der einen Hyperlink enthält und behauptet: ,Heute kommt eine Lieferung, die sofort bestätigt werden muss’ oder ,Sie müssen Ihre Finanzdaten aktualisieren und auf diesen Link klicken, um sich anzumelden’.“ Er warnt, dass es sich dann in den meisten Fällen dabei tatsächlich um eine Art von Phishing-Versuch handele, „mit dem man entweder auf eine bestimmte Internet-Seite geführt werden soll und auf der man dann aufgefordert wird, sensible Daten wie die eigenen Bankinformationen einzugeben“. Zudem komme es in einigen Fällen (wie zum Beispiel bei dem Banking-Trojaner „FluBot“) sogar dazu, „dass man aufgefordert wird, eine gefährliche Anwendung auf sein eigenes Gerät herunterzuladen“.

Man sollte deshalb prinzipiell misstrauisch bei jeder Textnachricht sein, in der man um vertrauliche Informationen gebeten wird – unabhängig davon, ob jemand vorgibt, vom gleichem Arbeitgeber zu kommen, oder vortäuscht, die Position eines Vorgesetzten zu besitzen. Seriöse Unternehmen machten so etwas nicht. Man sollte sich in einem solchen Fall an eine seriöse Quelle wenden – wie zum Beispiel direkt an die eigene Bank oder an den Kundendienst eines Versandunternehmens, um sofort die Echtheit der Kontaktaufnahme zu überprüfen. Wenn eine SMS von jemandem aus dem Unternehmen zu stammen scheint, für das man selbst arbeitet, von der man aber noch nie etwas gehört hat oder einen direkten Kontakt zu ihr gehabt hatte, möge man sich direkt über ein anderes Medium wie zum Beispiel einen Telefonanruf unmittelbar an diese Person wenden und sie direkt fragen: „Hallo, waren Sie das wirklich?“

Auffällige Anzeichen dafür, dass eine Android-App eventuell nicht sicher ist, lt. Lookout:

Wenn eine „Android“-App eine große Anzahl von Berechtigungen verlangt oder solche, die für die Aufgabe unnötig erscheinen, ist sie möglicherweise alles andere als sicher. Dies ist zum Beispiel dann der Fall, wenn eine Anwendung im Hintergrund (Flashlight- oder Wallpaper-App) plötzlich Zugriff auf die Audio-Funktionen des Geräts, die Kamera, SMS-Nachrichten oder andere auffällige und unbegründete Berechtigungen anfordert. Man erlebt es leider oft, dass sich bösartig orientierte Anwendungen als harmlos tarnen und so viele Informationen wie nur irgend möglich einsammeln wollen. Allzu oft gehen die Anwender gar nicht von dem Ernstfall aus, dass man wirklich versucht hatte, sie anzugreifen, und machen allzu leichtsinnig den Fehler, auf „OK“ zu klicken.

Ein weiteres Anzeichen dafür, dass die Anwendung bösartig gesinnt ist, besteht darin, wenn man sie vielleicht sogar selbst installiert hat und sie dann plötzlich nicht mehr richtig funktioniert oder wenn man sie nicht mehr auf seinem Gerät identifizieren kann – das bedeutet dann wahrscheinlich, dass im Hintergrund bereits etwas Schlimmes passiert ist. Man kann dies häufig bei Überwachungsprogrammen beobachten, bei denen man eine Anwendung installieren kann, die sich zwar als harmlos ausgibt und die sich dann nach dem Starten das Symbols nicht mehr auf dem Gerät zu befinden scheint, ohne dass die Anwendung selbst wirklich entfernt worden ist. Dies sollte man als einen Hinweis darauf lesen, dass ein bösartig gesinnter Angreifer versucht hat und dies weiter tun wird, Informationen über einen selbst einzusammeln.

Man sollte auf jeden Fall vorsichtig bei solchen Anwendungen sein, die „Accessibility Services“ einfordern, also eine Art von Zugangsberechtigung. Dies ist zwar eine völlig legitime Funktion des Betriebssystems von „Android“, die es Anwendern mit Behinderungen ermöglicht, mit ihrem Gerät zu interagieren, aber Bedrohungsakteure missbrauchen dies oft: Sie wollen damit alles sehen oder beobachten können, was man gerade auf seinem Gerät unternimmt. Dies erlaubt ihnen zum Beispiel zu beobachten, ob man gerade eine Messaging- oder eine Banking-Anwendung geöffnet hat. Anschließend könnten sie zum Beispiel auf der Grundlage der Ereignisse, die sie mitbekommen, in ihrem Sinne reagieren, und Nachrichten an die im Hintergrund agierende bösartige Anwendung weiterleiten.

Lookout-Tipps: Wie man erkennt, ob iPhone- oder Android-Anwendung Sicherheitsberechtigungen missbraucht:

Wenn eine „iPhone“- oder „Android“-Anwendung Zugriff auf Gerätefunktionen anfordert, die für den Zweck der Anwendung nicht sinnvoll erscheinen, könnte sie absichtlich oder unabsichtlich mehr Informationen einsammeln, als sie eigentlich sollte. Dies könnte dann ein Fall von mangelhafter Sicherheit der Anwendung oder ein Indiz für bösartige Aktivitäten sein. Neuere Versionen von Betriebssystemen benachrichtigen die Benutzer in der Regel, wenn eine App auf bestimmte Funktionen zugreifen möchte, zum Beispiel auf den Standort oder die Kamera. Wenn die App den Zugriff jedoch nicht für die vorgesehene Funktion benötigt oder man eine Zugriffsanforderung zu einem Zeitpunkt beobachten kann, der keinen unmittelbaren Sinn ergibt (zum Beispiel bei der Anforderung von Standortdaten, wenn man gerade keine Karteninformationen verwendet), könnte dies ein Warnsignal sein.

Wenn man ein Gerät verwendet, das eine Verbindung zur Infrastruktur des Unternehmens herstellt, besteht immer das Risiko, dass sensible Daten über den eigenen Arbeitsplatz in Gefahr stehen könnten. Lookout-Daten zeigen, dass praktisch einer von drei Mitarbeitern von Zuhause aus mehr als 20 Stunden pro Woche mit seinem persönlichen Tablet oder Smartphone arbeitet. Und auf solchen Geräten befinden sich oft Dutzende von nicht zugelassenen, also prinzipiell verdächtigen Anwendungen, die von Bedrohungsakteuren als Einfallstor für ihre Phishing-Angriffe genutzt werden könnten. 32 Prozent der Remote- und Hybrid-Mitarbeiter verwenden demnach Apps oder Software, die nicht von der IT-Abteilung genehmigt wurden, und 92 Prozent der externen Mitarbeiter erledigen Aufgaben für ihren Beruf auf ihren persönlichen Tablet- oder Smartphone-Geräten.

[datensicherheit.de, 28.03.2023] Gestohlene Zugangsdaten von Mitarbeitern sind offensichtlich eine der effektivsten Möglichkeiten für Angreifer, die Infrastruktur eines Unternehmens zu infiltrieren: Sobald sie die Anmeldeinformationen eines der Konten in der Hand haben, ist es für sie viel einfacher, die Sicherheitsmaßnahmen zu umgehen und Zugang zu sensiblen Daten zu erhalten. Da stellt sich die Frage, wie die Angreifer an diese Anmeldedaten kommen – die Antwort lautet demnach in vielen Fällen Mobile Phishing. Eine weltweite Studie von Lookout hat nach eigenen Angaben ergeben, dass die Zahl der Mobile-Phishing-Angriffe im Jahr 2022 so hoch war wie nie zuvor: „Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen war mindestens einem Angriff pro Quartal ausgesetzt.“ Auch im ersten Quartal 2023 sei dieser Trend ungebrochen.

Foto: Lookout

Sascha Spangenberg: Gerade der Schutz vor mobilen Phishing-Bedrohungen muss dabei Priorität haben, wenn hybrides Arbeiten Realität ist!

Jedes mobile Gerät anfällig für Phishing-Versuche

Sascha Spangenberg, „Global MSSP Solutions Architect bei Lookout“, erläutert hierzu: „Hybride Arbeitsumgebungen und Bring-your-own-device (BYOD)-Richtlinien könnten zwei Gründe für den Anstieg sein. Die Unternehmen mussten akzeptieren, dass immer häufiger persönliche Mobilgeräte für berufliche Zwecke zum Einsatz kommen.“

Es gelte jedoch zu bedenken, dass jedes mobile Gerät – ob privat oder unternehmenseigen, verwaltet oder nicht verwaltet, „iOS“ oder „Android“ – anfällig für Phishing-Versuche sei.

BYOD hat Phishing-Landschaft verändert

Smartphones und Tablets hätten es für Mitarbeiter einfacher gemacht, von überall aus produktiv zu sein – „aber sie haben auch neue Herausforderungen für IT- und Sicherheitsteams mit sich gebracht“. BYOD-Richtlinien bedeuteten, dass mehr Menschen als je zuvor ihre privaten Geräte für die Arbeit nutzten.

„Dies bedeutet, dass die Risiken, denen sie bei der Nutzung dieser Geräte aus persönlichen Gründen begegnen, auch Risiken für das Unternehmen darstellen“, warnt Spangenberg. IT- und Sicherheitsteams hätten außerdem einen deutlich geringeren Einblick in diese Geräte als in die unternehmenseigenen Geräte – „was bedeutet, dass es schwieriger ist, diese erhöhten Risiken zu kontrollieren“.

Über 50% der privaten Geräte mindestens einmal pro Quartal mobilem Phishing-Angriff ausgesetzt

Diese Faktoren führten dazu, dass Angreifer nun gezielt die privaten Geräte der Benutzer angriffen, um in Unternehmensumgebungen einzudringen. Ein Mitarbeiter könne über private Kanäle wie Soziale Medien, „WhatsApp“ oder E-Mail Opfer eines Social-Engineering-Angriffs werden. „Sobald dies der Fall ist, können Angreifer Zugang zu den Netzwerken oder Daten seines Arbeitgebers erhalten“, so Spangenberg.

Dies sei zudem kein einmaliges Ereignis – so zeigten Daten von Lookout, dass im Jahr 2022 mehr als 50 Prozent der privaten Geräte mindestens einmal pro Quartal einer Art von mobilem Phishing-Angriff ausgesetzt gewesen seien.

Phishing-Betrug: Millionenbeträge stehen auf dem Spiel

„Daten sind nicht das Einzige, was Unternehmen riskieren, wenn Mitarbeiter auf einen Phishing-Betrug hereinfallen“, stellt Spangenberg klar. Lookout schätzt, „dass die maximalen finanziellen Auswirkungen eines erfolgreichen Phishing-Angriffs für Unternehmen mit 5.000 Mitarbeitern auf fast vier Millionen US-Dollar gestiegen sind“. Stark regulierte Branchen wie Versicherungen, Banken und das Rechtswesen gälten als die lukrativsten Märkte und seien aufgrund der großen Menge an sensiblen Daten in ihrem Besitz besonders anfällig für Angriffe.

„Diese hohen Kosten fallen in eine Zeit, in der die Zahl der Phishing-Angriffe so hoch ist wie nie zuvor.“ Im Vergleich zu 2020 sei die Zahl der Phishing-Angriffe auf Unternehmensgeräten jetzt um zehn Prozent und auf privaten Geräten um 20 Prozent höher. Außerdem klickten die Menschen häufiger auf Phishing-Links als noch im Jahr 2020, „was bedeuten könnte, dass die Angreifer immer besser darin werden, authentisch aussehende Nachrichten zu erstellen“. Spangenberg betont: „Da mehr Risiken und mehr Geld auf dem Spiel stehen als je zuvor, müssen Unternehmen ihre Sicherheitsstrategien anpassen, um ihre Daten zu schützen.“

Wie Daten gegen mobile Phishing-Bedrohungen geschützt werden können

Die Mobile-Phishing-Landschaft sei tückischer als je zuvor, vor allem, da das standortunabhängige Arbeiten zunehme. IT- und Sicherheitsteams müssten Strategien anwenden, welche es ihnen ermöglichten, die von Phishing-Angriffen ausgehenden Datenrisiken auf allen Mitarbeitergeräten zu visualisieren, zu erkennen und zu minimieren. Dies gelte unabhängig davon, ob es sich um unternehmenseigene oder private Geräte handelt. Mit der richtigen Strategie, basierend auf dem Zero-Trust-Prinzip und SASE (Secure Access Service Edge), sei es möglich, die hybride Arbeitswelt sicher zu gestalten.

„Eine geräteinterne und KI-gestützte Phishing-Erkennung über eine ,cloud’-basierte Sicherheitsplattform ermöglicht es, Angriffe dort zu stoppen, wo sie beginnen. Eine entsprechende Sicherheitslösung hindert Benutzer daran, sich sowohl auf Unternehmens- als auch Privatgeräten mit Phishing-Websites zu verbinden“, erklärt Spangenberg. Er führt abschließend hierzu aus: „Eine solche Lösung erkennt und blockiert Phishing-Angriffe über jede beliebige mobile App und hindert Mitarbeiter daran, Zugangsdaten preiszugeben oder bösartige Software herunterzuladen.“ Gerade der Schutz vor mobilen Phishing-Bedrohungen müsse beim hybriden Arbeiten Priorität haben.

Weitere Informationen zum Thema:

Lookout
The Global State of Mobile Phishing Report