Mobile First Phishing

Mobile Endgeräte werden immer häufiger in Unternehmen eingesetzt. Zum Beispiel im Rahmen einer Multi-Faktor-Authentifizierung oder um eine Mobile-First-Anwendung nutzen zu können. Cyberkriminelle machen sich diesen Umstand laut der Studie zunehmend zunutze, da mobile Endgeräte in der Regel mit schwächeren Abwehrlösungen ausgestattet sind als beispielsweise Desktop-Lösungen.

Mishing – das Phishing über mobile Endgeräte – ist nicht nur eine Weiterentwicklung herkömmlicher mobiler Phishing-Taktiken, sondern eine völlig neue Angriffskategorie, die darauf abzielt, die spezifischen Schwachstellen und Eigenschaften eines mobilen Endgerätes, wie zum Beispiel die Kamera und das Mikrofon eines Smartphones, in einen Angriff einzubeziehen. Angriffe können über SMS, QR-Codes, Sprachnachrichten oder auch E-Mails initiiert werden.

Laut den Autoren der Studie ist Smishing (SMS/Text-basiertes Phishing) nach wie vor der häufigste Angriffsvektor beim Mobile Phishing. Quishing (QR-Code-Phishing) ist auf dem Vormarsch. Ebenso das traditionelle Phishing per E-Mail. Letzteres hält jedoch eine besondere Überraschung für mobile Nutzer bereit.

Die Opfer erhalten eine typische Standard-Phishing-Mail – versehen mit einem versteckten bösartigen Payload oder mit Links, die sie auf eine getarnte Phishing-Website weiterleiten sollen. Das Besondere daran: Der schädliche Payload wird ebenso wie die Weiterleitung auf die getarnte Phishing-Seite nur dann ausgelöst, wenn die E-Mail auf einem mobilen Endgerät geöffnet wird. Trifft die E-Mail hingegen auf einem herkömmlichen Desktop ein, wird die Angriffskette nicht ausgelöst.

Die Opfer werden dann beispielsweise beim Anklicken des Links automatisch zu einem legitimen Dienst wie Google oder Facebook weitergeleitet. Die Erkennung und Analyse des Phishing-Angriffs durch Standard-E-Mail- und Netzwerksicherheitslösungen wird dadurch erheblich erschwert. Angreifer können lange im Verborgenen agieren, was die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöht.

Die Studie kommt zu dem Schluss, dass Unternehmen spezifische Sicherheitsstrategien für mobile Endgeräte einführen müssen, um diese immer raffinierteren Angriffsstrategien und -taktiken erfolgreich bekämpfen zu können. Angreifer seien nachweislich dabei, zu einer „Mobile-First“-Strategie überzugehen, um ungestört in Unternehmensnetzwerke eindringen und sensible Daten stehlen zu können. Dabei würden sie auch ausnutzen, dass Mitarbeiterinnen und Mitarbeiter ihre mobilen Endgeräte wie Smartphones häufig sowohl beruflich als auch privat nutzen. Für Unternehmen ist daher ein Umdenken dringend erforderlich. Sie sollten erkennen, dass herkömmliche Anti-Phishing-Maßnahmen, die ursprünglich primär für Desktop- und Unternehmensnetzwerkumgebungen entwickelt wurden, gegen Mishing-Angriffsvektoren bestenfalls unzureichenden Schutz bieten.

Dem kann man nur zustimmen. Wollen Unternehmen hier wirksam – und effizient – gegensteuern, müssen sie das Risiko, dass ihre Mitarbeiterinnen und Mitarbeiter Opfer eines Phishing- oder Spear-Phishing-Angriffs werden, aktiv reduzieren. Dies wird ihnen nur gelingen, wenn sie die ‚Human Risks‘, also die Risiken, denen die Unternehmens-IT und das IoT naturgemäß tagtäglich durch die eigenen Mitarbeiter ausgesetzt sind, endlich umfassend in den Blick nehmen und zu managen beginnen. Menschliche Risiken müssen ebenso wie technische Risiken kontinuierlich überwacht, analysiert und bewertet, gemanagt und auf ein absolutes Minimum reduziert werden.

Es reicht nicht mehr aus, die eigenen Mitarbeitenden nur von Zeit zu Zeit gegen Phishing zu schulen, wie dies in den letzten Jahren in vielen Unternehmen der Fall war. Human Risk Management muss professioneller, zielgerichteter und kontinuierlicher betrieben werden.

Längst können Phishing-Trainings, -Schulungen und -Tests dank KI personalisiert, auf die individuellen Schwachstellen der einzelnen Mitarbeiterinnen und Mitarbeiter zugeschnitten und automatisiert – eben kontinuierlich – eingesetzt werden. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um selbst neueste Zero-Day-Bedrohungen frühzeitig zu erkennen und rechtzeitig abzuwehren – damit sie gar nicht erst in den Postfächern der Mitarbeiterinnen und Mitarbeiter landen. Mit solchen und ähnlichen Lösungen wird es Unternehmen auch in Zukunft gelingen, die unzähligen Human Risks, die naturgemäß jedem Unternehmen innewohnen, im Blick zu behalten und so zu managen, dass sie allenfalls eine akzeptable Gefahr für das Unternehmen darstellen.

Mobile devices are being used more and more in the enterprise. They are used as part of multi-factor authentication or to use a mobile-first application. According to the study, cybercriminals are increasingly taking advantage of this, as mobile devices typically have weaker defenses than desktop solutions.

Mishing – phishing via mobile devices – is not just an evolution of traditional mobile phishing tactics, but an entirely new category of attack that aims to exploit the specific vulnerabilities and characteristics of a mobile device, such as a smartphone’s camera and microphone. Attacks can be initiated via SMS, QR codes, voice messages, or even email.

According to the authors of the study, smishing (SMS/text-based phishing) is still the most common attack vector in mobile phishing. Quishing (QR code phishing) is on the rise. As is traditional email phishing. However, the latter has a special surprise in store for mobile users.

Victims receive a typical standard phishing email with a hidden malicious payload or links that redirect them to a spoofed phishing site. The twist is that the malicious payload and redirection to the spoofed phishing site are only triggered when the email is opened on a mobile device. If the email arrives on a traditional desktop, the attack chain is not triggered.

When victims click on the link, they are automatically redirected to a legitimate service such as Google or Facebook. This makes it much more difficult for standard email and network security solutions to detect and analyze the phishing attack. Attackers can remain hidden for long periods of time, increasing the likelihood of a successful attack.

The study concludes that organizations need to implement specific mobile security strategies to successfully combat these increasingly sophisticated attack strategies and tactics. Attackers are shifting to a mobile-first strategy to infiltrate corporate networks and steal sensitive data. They are also taking advantage of the fact that employees often use their mobile devices, such as smartphones, for both work and personal purposes. Organizations need to rethink their approach. They should recognize that traditional anti-phishing measures, which were originally designed primarily for desktop and corporate network environments, are at best inadequate protection against mishing attack vectors.

You have to agree. If companies want to take effective – and efficient – countermeasures, they must actively reduce the risk of their employees falling victim to a phishing or spear-phishing attack. The only way to do this is to take a comprehensive look at the „human risks“ that corporate IT and the IoT are exposed to on a daily basis by their own employees. Human risks, like technical risks, need to be continuously monitored, analyzed and assessed, managed and reduced to an absolute minimum.

It is no longer enough to simply train employees against phishing from time to time, as has been the case in many companies in recent years. Human risk management needs to be more professional, more targeted and more continuous.

Thanks to AI, phishing training, courses, and tests can now be personalized, tailored to each employee’s individual vulnerabilities, and delivered automatically – i.e., continuously. Modern anti-phishing email solutions combine AI with crowdsourcing to detect and block even the latest zero-day threats before they even reach employees‘ inboxes. With these and similar solutions, organizations will continue to be able to keep an eye on the myriad of human risks inherent in any business and manage them so that they pose no more than an acceptable threat to the organization.