Lookout: Mobiles Phishing in Unternehmen nimmt deutlich zu

Der Sicherheitsanbieter Lookout hat sich mit den Risiken beschäftigt, die sich für Unternehmen aus mobilen Phishing-Angriffen ergeben. Allein die Häufigkeitsrate nahm in den vergangenen Monaten deutlich zu. Im ersten Vierteljahr 2019 lag sie bei 4,55 Prozent, im ersten Quartal 2020 schon bei 21,61 Prozent. Allein gegenüber dem Vorquartal nahm die Häufigkeit zuletzt um 37,1 Prozent zu.

Mobile Phishing ist ein weltweites Phänomen (Bild: Lookout)Mobiles Phishing ist demnach ein weltweites Problem. Allerdings ergeben sich regionale Unterschiede. So lag die Häufigkeitsrate im vergangenen Jahr in den USA bei 33 Prozent, in Kanada bei 46,9 Prozent und in Frankreich gar bei 51,3 Prozent. Weniger betroffen waren vor allem Länder wie Finnland sowie viele afrikanische Staaten.

Auch die Häufigkeitsrate entwickelte sich vom vierten Quartal 2019 zum ersten Vierteljahr 2020 nicht einheitlich. In der EMEA-Region lag das Plus bei 25,5 Prozent, im asiatisch-pazifischen Raum bei 27,7 Prozent und in Nordamerika bei 66,3 Prozent.

Ein Risiko sind der Studie zufolge privat genutzte Geräte in Unternehmen. Den die Phishing-Häufigkeit von privaten Geräten liegt deutlich über der von Unternehmen. Im ersten Quartal 2020 betrug die Häufigkeitsrate 45,50 Prozent. Bereits im ersten Quartal 2020 war sie mit 26,93 Prozent höher als die Phishing-Häufigkeit in Unternehmen im ersten Quartal 2020 (21,61 Prozent).

„Auch wenn diese Raten sehr unterschiedlich sind, wird die von Gartner vorhergesagte Zunahme von Bring Your Own Device in Unternehmen wahrscheinlich die Häufigkeitsrate in Unternehmen nach oben treiben, da sich die Verhaltensweisen von BYOD-Nutzern wahrscheinlich nicht ändern werden, selbst aufgrund der höheren Verantwortung durch den Zugriff auf Unternehmensdaten“, erklärte Lookout.

Die Zahlen von Lookout legen auch nahe, dass stark regulierte Branchen wie Gesundheitswesen und Finanzdienste besonders lukrative Ziele sind. So liegt der Anteil beider Branchen an allen mobilen Phishing-Angriffe bei zusammen 30,4 Prozent. Auf das herstellende Gewerbe sowie Regierungen entfallen indes zusammen nur rund 10,6 Prozent der Attacken.

Lookout betont auch, dass mobile Geräte eine größere Angriffsfläche für Phishing bieten als stationäre Computer. Die Forscher gehen sogar davon aus, dass sich Cyberkriminelle verstärkt auf Smartphones und Tablets konzentrieren, da für den klassischen Angriffsvektor E-Mail inzwischen gute Sicherheitslösungen vorliegen.

„Da die Smartphone-Revolution fast zeitgleich mit der Eskalation des Phishing-Krieges stattfand, war die Konzentration auf Mobiltelefone der sinnvolle nächste Schritt für Phisher. Seit der Verlagerung ihres Schwerpunkts auf Mobiltelefone hat sich Phishing zu einem wirksamen Angriffsmittel entwickelt, bei dem neue Kanäle wie SMS (Smishing) und Social Engineering auf Social-Media-Plattformen genutzt werden.

Auch seien mobile Angriffe oft schwere zu erkennen als auf PCs. Die Bildschirme seien kleiner, weswegen bestimmte Details schlechter oder gar nicht zu erkennen seien. Auf einem Desktop-PC sei beispielsweise eine URL leichter als gefälscht zu enttarnen als in Adressleiste eines mobilen Browsers. Viele Nutzer wüssten gar nicht, wie sie sich eine vollständige URL auf einem mobilen Gerät anzeigen lassen können.

Ein weiterer Aspekt der Studie ist das finanzielle Risiko. Dafür nennt Lookout drei Beispiele, die unter anderem die Zahl der möglicherweise betroffenen Geräte und den Umfang der möglicherweise zu kompromittierenden Daten. So schätzt der Sicherheitsanbieter, dass sich für ein Unternehmen aus dem Gesundheitssektor der jährliche Schaden durch Phishing auf durchschnittlich 500.000 Dollar addiert. Maximal sind in dem Beispiel jedoch 150 Millionen Dollar Schaden pro Jahr möglich. Bei einem mittelgroßen regionalen Unternehmen soll die Schadenspanne bei durchschnittlich 10.000 Dollar bis maximal 10 Millionen Dollar pro Jahr liegen.

Selbstverständlich empfiehlt Lookout als Anbieter von Sicherheitslösung den Einsatz eines Phishing-Schutzes auf mobilen Geräten. Allerdings sollten auch gut informierte Mitarbeiter das Risiko eines erfolgreichen Angriffes minimieren. „Wenn ein Mitarbeiter auf einen Phishing-Link stößt und in der Lage ist, ihn als solchen zu identifizieren, stehen die Chancen gut, dass er die E-Mail, den Text oder die Social Media-Nachricht einfach löschen wird“, ergänzte Lookout. Besser sei es allerdings, einen solchen Vorfall der Unternehmens-IT zu melden, damit sie in der Lage sei, die eigene Schutzstrategie anzupassen.