Phishing aaS

Phishing-E-Mails, die es erfolgreich bis in die Posteingänge ihrer Opfer schaffen, waren 2024, so die IT-Sicherheitsspezialisten, die fünfthäufigste festgestellte Cyberbedrohung.

Dank Phishing-as-a-Service können Phishing-Attacken mittlerweile auch von Angreifern ohne Hacking- und Social-Engineering-Kenntnisse problemlos durchgeführt werden. Dienstleister übernehmen die Arbeit oder stellen interessierten Kriminellen fertige ‚Phishing-Kits‘ zusammen – gegen eine entsprechende Bezahlung. Die Angreifer müssen sich ihre Opfer nur noch aussuchen, die Dienstleister übernehmen den Rest.

Und die sind seit geraumer Zeit dabei, sich immer stärker zu professionalisieren und zu spezialisieren. Finanziert durch ihre Kunden perfektionieren sie ihre Dienste und Kits. Immer neue Ansätze werden ausprobiert. Abwehrlösungen, -Strategien und -Taktiken von Opfern werden analysiert und ausgewertet, die eigenen Angriffstechniken entsprechend angepasst und nachjustiert.

Hinzu kommt: mit der zunehmenden Verfügbarkeit von KI können Phishing-Angriffe auch automatisiert optimiert und sogar – auf Masse – individualisiert werden. Das Risiko, Opfer eines Phishing-Angriffs zu werden, es steigt also ebenso, wie das Risiko, Opfer eines erfolgreichen Angriffs zu werden.

Um hier gegenzusteuern, rät die Studie Unternehmen zur Implementierung effektiver und umfassender Sicherheitsmaßnahmen; vor allem zu solchen, die eine Cyberattacke frühzeitig, noch im Angriffsvorfeld, zu Fall bringen können. Neben der Implementierung einiger technischer Lösungen raten die Forscher in diesem Zusammenhang auch zu regelmäßigen Cybersicherheitsschulungen für die gesamte Belegschaft.

Ein Rat, dem nur zum Teil zugestimmt werden kann. Denn einfache Schulungen reichen mittlerweile längst nicht mehr aus. Zu leicht können professionelle Phishing- und Spear Phishing-as-a-Service-Dienstleister Strategien und Taktiken der Verteidiger durchschauen, die Nachrichten und Social Engineering-Methoden, mit denen sie ihre Opfer zu locken suchen, an die neuen Verteidigungsmaßnahmen anpassen. Unternehmen werden mehr tun, strukturierter, umfassender, kontinuierlicher vorgehen müssen. Sie werden die ‚Human Risks‘, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, endlich umfassend in den Blick nehmen und zu managen beginnen müssen. Menschliche Risiken müssen, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.

Längst lassen sich Phishing-Trainings, -Schulungen und -Tests, KI sei Dank, personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Lösungen kombinieren KI mit Crowdsourcing, um so selbst neueste Zero Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen. Mit solchen und ähnlichen Lösungen wird es Unternehmen auch in Zukunft gelingen, die unzähligen Human Risks, die jeder Organisation nun einmal naturgemäß innewohnen, im Blick zu behalten und so zu managen, dass sie allenfalls noch eine vertretbare Gefahr darstellen können.

According to the IT security specialists, phishing emails that successfully reach their victims‘ inboxes will be the fifth most common cyber threat detected in 2024.

Thanks to phishing-as-a-service, phishing attacks can now be easily carried out by attackers without hacking or social engineering skills. For a fee, service providers do the work or create ready-made „phishing kits“ for interested criminals. The attackers only have to select their victims, and the service providers do the rest.

And for some time now, they have become increasingly professional and specialized. Financed by their customers, they are perfecting their services and kits. New approaches are constantly being tried out. Victims‘ defenses, strategies, and tactics are analyzed and evaluated, and their own attack techniques are adapted and readjusted accordingly.

What’s more, with the increasing availability of AI, phishing attacks can be automatically optimized and even individualized on a mass scale. The risk of falling victim to a phishing attack is therefore increasing, as is the risk of falling victim to a successful attack.

To counter this, the study advises companies to implement effective and comprehensive security measures, especially those that can stop a cyber attack at an early stage while it is still in progress. In addition to implementing a range of technical solutions, the researchers recommend regular cybersecurity training for the entire workforce.

This is advice that can only be partially agreed upon. Training alone is no longer enough. It is too easy for professional phishing and spear phishing-as-a-service providers to see through the strategies and tactics of the defenders and adapt the messages and social engineering methods they use to lure their victims to the new defenses. Enterprises will have to do more, be more structured, more comprehensive, and more continuous. They will finally have to take a comprehensive look at the „human risks,“ the risks that their corporate IT is naturally exposed to every day by their own employees, and begin to manage them. Just like technical risks, human risks need to be continuously monitored, analyzed and assessed, managed and reduced to an absolute minimum.

Thanks to AI, phishing training, courses and tests can now be personalized, tailored to the individual vulnerabilities of each employee, and automated – i.e. continuous. Modern anti-phishing email solutions combine AI with crowdsourcing to detect and block even the latest zero-day threats before they even reach employees‘ inboxes. With these and similar solutions, organizations will be able to keep an eye on the myriad human risks inherent in any organization and manage them so that they can only pose a legitimate threat.