Vielmehr stützen sich 97 % aller verkauften Mobilgeräte auf eines von zwei Betriebssystemen. Ein Fakt, den Hacker sich längst zunutze gemacht haben. Aus gutem Grund. Aktuelle Malware ist mittlerweile so effektiv, dass sie sich sogar dediziert gegen bestimmte Gerätetypen richten kann. Für Hacker öffnet sich damit nicht nur ein breites zusätzliches Betätigungsfeld, sondern auch eines, welches man mit begrenzten Ressourcen erschließen kann.
Moderne Mobilgeräte sind anfällig für Malware, Man-in-the-Middle-Angriffe, das Abgreifen von SMS-Informationen und vor allem Phishing-Angriffe. Die meisten Angriffsszenarien profitieren davon, dass wir bei einem Mobilgerät noch viel eher geneigt sind auf einen schädlichen Link zu klicken oder eine legitim aussehende Malware zu installieren. Social Engineering, Phishing oder auch eine Kombination aus verschiedenen Angriffsvektoren sind die Mittel der Wahl.
Nutzer müssen sensibilisiert werden
Der einzige Weg, sich vor Angriffen dieser Art zu schützen ist, den Nutzer zu sensibilisieren und technologisch zu unterstützen. Die Ergebnisse des letztjährigen Lookout-Report Mobile Phishing 2018: Mythen und Fakten für jedes moderne Unternehmen, zeigen, dass seit 2011 die Quote, mit der Nutzer eine mobile Phishing-URL anklicken, jedes Jahr im Durchschnitt um 85 Prozent gestiegen ist.
Im Gegensatz zu einer ‚kontrollierten‘ und konzentrierten Nutzung eines Laptops oder Desktops werden Smartphones im Multi-Tasking Modus verwendet: auf dem Weg in die Arbeit oder ins nächste Meeting, während einer kurzen Pause oder mal schnell am Abend auf der Couch vor den Nachrichten. Dazu kommt, dass viele Geräte in einem Mix sowohl für berufliche wie private Zwecke genutzt werden.
Dies im Zusammenspiel mit kleineren Bildschirmen und eingeschränkten Möglichkeiten auf mobilen Plattformen echt von unecht zu unterscheiden hat Kriminellen neue Möglichkeiten eröffnet. Die Entwicklung hat sie sogar „gezwungen“, sich mit dem Angriffsmethoden auf mobilen Plattformen auseinanderzusetzen um nicht nur Zugangsdaten von Endverbrauchern zu „phishen“, sondern Mobilgeräte als Zugang auf Unternehmensinformationen zu missbrauchen.
Mobiles Endgerät ist profitabler als ein geschützter Laptop
Vor diesem Hintergrund greifen entsprechende Perimeter-Lösungen nur bedingt, will man sich vor Phishing-Versuchen auf mobilen Endgeräten schützen, da Geräte mehrheitlich außerhalb des eigenen, kontrollierbaren Netzes genutzt werden. Somit ist es für Cyberkriminelle heute einfacher und profitabler ein weitgehend ungeschütztes mobiles Endgerät anzugreifen als einen vergleichsweise gut geschützten Laptop oder Desktop.
Um das Problem noch zu potenzieren, werden Smartphones mehrheitlich außerhalb des Unternehmens-WLANs genutzt – also in Netzen, die ein Unternehmen nicht kontrollieren kann. In Summe sind Unternehmen was den Schutz vor mobile Phishing angeht verstärkt auf verlorenem Posten und kommen nicht umhin sich ernsthafter als bisher mit dem Thema mobile Sicherheit auseinanderzusetzen.
Erkennen von Mobile Phishing – Websites
Es ist keine ganz leichte Aufgabe, betrügerische https-Websites zu erkennen. Erst einmal muss ein dedizierter Phishing- und Inhaltsschutz installiert sein, der die Website validiert und zuverlässig entscheidet, ob es sich um einen sicheren Link handelt. Die Information wird an das Unternehmen weitergeleitet, der unbefugte Zugriff blockiert und potenzielle Bedrohungen gemeldet.
Neben Aufklärungsarbeit versprechen besonders Technologien Abhilfe, die künstliche Intelligenz nutzen um Phishing-Angriffe vorausschauend zu erkennen. Für Menschen ist es kaum noch möglich Fake-Seiten von legitimen Seiten zu unterscheiden. Längst stehen Angreifern Phishing-Kits im Komponentensystem zur Verfügung, die sich auch mit wenig technischer Expertise bedarfsgerecht zusammenstellen lassen.
KI-basierende Sicherheitstechnologien suchen deshalb im Internet aktiv nach Anzeichen für Phishing-Seiten. Auf Basis von maschinellem Lernen durchforsten die betreffenden Engines das Internet, um Infrastrukturen zu erkennen wie sie typischerweise von Phishing-Seiten genutzt werden.
Die URL wird nach ähnlichen Kriterien analysiert wie eine Malware, in einem Browser ausgeführt und das Verhalten der Seite beobachtet. Diese Agenten extrahieren die Metadaten, Verhaltensweisen und Funktionen von Milliarden von Seiten, um Risikobewertungen zu erstellen. Dabei werden pro Tag bis zu 15 Millionen TLS Zertifikats-Events und 150.000 neue Domain-Registrierungen untersucht.
Mobile Phishing auf einen Blick zusammengefasst
Phishing ist ein globales Phänomen, das mit solch enormer Geschwindigkeit und so hohen Volumina von Statten geht, das einzelne Menschen und selbst Unternehmen überfordert sind, Angriffe rechtzeitig zu erkennen. Geschweige denn in Echtzeit darauf zu reagieren. Über die Zeit steigt die Gefahr von Phishing-Angriffen.
Mobilgeräte haben fast alle Bereiche in Unternehmen durchdrungen. Wenn man versteht, wie einfach es ist die genannten Schwachpunkte auszunutzen, ist es keineswegs überraschend, dass mobile Phishing-Angriffe deutlich zunehmen.
Überraschend ist demgegenüber allerdings, dass die meisten Unternehmen und Organisationen weiterhin beispielweise nur betriebliche E-Mails vor Phishing-Angriffen schützen. Phishing-Angriffe haben sich längst weit über den betrieblichen E-Mail-Vektor hinaus entwickelt und sind eines der primären Einfallstore für den Zugriff auf sensible Unternehmensdaten geworden.
Foto: Shutterstock
