Smartphone-Nutzer warnten davor, ihr Verhalten zu ändern
Update, 6. Dezember 2024: Diese Geschichte, die ursprünglich am 4. Dezember veröffentlicht wurde, enthält jetzt Daten aus zwei neuen Berichten, die weitere Informationen über die Art von Phishing-Bedrohungen hervorheben, denen Smartphone-Nutzer ausgesetzt sind, darunter das Phänomen der Oniomanie und eine Analyse weiterer über 9 Milliarden Spam-Sprachanrufe, zusammen mit zusätzlichen Sicherheitshinweisen zur Bekämpfung dieser Bedrohungen.
Neu veröffentlichte Forschungsergebnisse weist darauf hin, dass Smartphone-Nutzer, wenn sie ihren Sicherheitsansatz nicht ändern, dazu verdammt sind, Opfer zahlreicher Betrügereien zu werden. Die Umfrage unter Kleinunternehmern und Mitarbeitern ergab, dass mehr als ein Drittel bestätigte, mit ihren Smartphones auf Phishing-Links geklickt zu haben, und 30 % hatten ein Smartphone mit sensiblen Daten verloren, was sie und ihre Organisationen potenziell anfälliger für Cyberkriminalität machte. Angesichts der Tatsache, dass 11 % auch angaben, Passwörter und Anmeldeinformationen unverschlüsselt auf ihren Smartphones gespeichert zu haben, ist es nicht schwer, sich eine Zukunft vorzustellen, in der Kompromittierung und Datendiebstahl eine große Rolle spielen. Aber das muss nicht so sein. Alles was es braucht ist der Appetit auf Veränderung.
Neue Umfrage zeigt, dass gefährliche Smartphone-Sicherheitspraktiken weit verbreitet sind
Die neueste Studie des Sicherheitsanbieters CyberSmart befragte rund 250 Inhaber und Mitarbeiter kleiner und mittlerer Unternehmen im Vereinigten Königreich. Es besteht jedoch kein Zweifel daran, dass die Ergebnisse gleichermaßen für Unternehmen in anderen Ländern und auch für Verbraucher gelten. Die Smartphone-Sicherheitslandschaft ist über geografische Grenzen und Nutzungsprofile hinweg weitgehend gleich, mit einigen Unterschieden, wenn es um die größten Unternehmen geht, die über die größten Sicherheitsressourcen verfügen, die das Problem angehen.
Schauen wir uns zunächst die Zahlen an:
- 35 % der Mitarbeiter oder Inhaber kleiner Unternehmen gaben an, über ihr Smartphone auf einen Phishing-Link geklickt zu haben.
- 30 % gaben an, ein Smartphone mit sensiblen Informationen verloren oder gestohlen zu haben.
- 11 % gaben an, Passwörter oder Anmeldedaten unverschlüsselt auf einem mobilen Gerät zu speichern.
- 9 % gaben zu, Unternehmensdaten an ein persönliches Konto weiterzuleiten.
Ein gravierender Mangel an Smartphone-Sicherheitsbewusstsein
Die Forschungsstatistiken zeigten einen „besorgniserregenden Mangel an Sicherheitsbewusstsein“, sagte Jamie Akhtar, Mitbegründer und CEO von CyberSmart, und fügte hinzu: „Es liegt in der Verantwortung der Cybersicherheitsbranche, dies zu ändern.“
Offensichtlich würde Akhtar Sie darauf hinweisen, dass seine eigene Organisation Teil der Lösung für dieses Sicherheitsproblem ist, aber Paul Walsh glaubt, dass die Antwort tatsächlich viel einfacher ist: Einräumen, dass Phishing das Hauptproblem ist, und es an der Quelle angehen.
Walsh, CEO von MetaCert, war 2004 Mitbegründer der W3C Mobile Web Initiative mit der Aufgabe, Tim Berners-Lees Vision von „One Web“ weiterzuentwickeln. Walsh war in den 90er Jahren auch Leiter des New Technologies Teams bei AOL. Er war einer der ersten Menschen, die Hacker im Internet nachahmten, und er half bei der Einführung des Instant-Messenger-Clients AIM von AOL.
Meiner nie bescheidenen Meinung nach wäre es dumm, Walshs Instinkt in diesen Angelegenheiten zu ignorieren, nicht zuletzt wegen seines umfassenden technischen Hintergrunds. „Als ich 2004 den W3C-Standard für URL-Klassifizierung und Inhaltskennzeichnung mitbegründete, war ich Miterfinder des eigentlichen Konzepts der Klassifizierung/Kennzeichnung von Ordnern, Benutzerkonten usw. im Web“, sagte Walsh. „Mein Mitverschwörer ist derzeit Leiter der Standards bei GS1, dem globalen Standardisierungsgremium für alle QR-/Barcodes. Er hat gerade die URI-Struktur für 2D-Codes entworfen.“
„Bedrohungsinformationen sind für den Phishing-Schutz grundsätzlich fehlerhaft“, sagte Walsh. „Es ist sinnlos, sich auf historische Daten zu verlassen – neue URLs entziehen sich absichtlich vorhandenen Informationen. Dies ist das größte Problem der Cybersicherheit.“
Die Warnsignale für die Smartphone-Sicherheit, die eigentlich Ablenkungsmanöver sind
Laut Walsh ist es im Jahr 2024 nicht nur falsch, über ungewöhnliche oder verdächtige Links, unerwartete oder verdächtige Anhänge, Grammatik- und Rechtschreibfehler im Text usw. als Warnsignale für die Erkennung eines Phishing-Angriffs zu sprechen, sondern sogar schädlich. „Nichts davon ist wahr“, sagte Walsh. „Die Aufforderung an die Leute, nach Rechtschreibfehlern zu suchen, stammt aus den 2000er Jahren und ist heute kontraproduktiv – Menschen vertrauen gut geschriebenen Nachrichten – hier sind wir wieder ‚ungewöhnliche‘ Absender und ‚verdächtige‘ was auch immer.“
Eines der größten Probleme im großen Phishing-Bereich sei laut Walsh die Tatsache, dass sich Phishing selbst auf SMS und Smartphones verlagert habe. „Im Jahr 2023 zielten 83 % der Phishing-Sites auf Mobilgeräte ab, und im Jahr 2024 übertraf SMS E-Mail als primären Angriffsvektor auf Mobilgeräten“, sagte Walsh.
„Kein einziges Sicherheitsunternehmen verfügt über eine netzwerkbasierte Lösung für Netzbetreiber, um Abonnenten vor SMS-Phishing zu schützen“, behauptete Walsh. „MetaCert ist der Einzige und befindet sich in Gesprächen mit großen Netzbetreibern, nachdem er die Wirksamkeit unserer neuen Erfindung für dieses Problem in Europa validiert hat – hinter verschlossenen Türen.“
Vertrauen in Werbung ist ein großes Sicherheitsproblem bei Smartphones
Im Laufe des Jahres 2023 Google hat erstaunliche 206,5 Millionen Anzeigen blockiert oder entfernt aufgrund falscher Angaben, einschließlich solcher, bei denen es sich um Phishing-Betrug handelte. Wenn Sie dachten, das sei eine schockierende Zahl, warten Sie, bis Sie herausfinden, dass mehr als eine Milliarde Anzeigen wegen Missbrauchs, einschließlich der Werbung für Malware, aus dem Netzwerk entfernt wurden. Es sind nicht nur Suchnetzwerke, die sich wie ein moderner Königsknutt verhalten müssen, um die Flut von Phishing-Angriffen abzuwehren, auch die Plattformen sozialer Netzwerke werden von falscher Werbung überschwemmt – es handelt sich um eine der, wenn nicht die größte Betrugskategorie in sozialen Netzwerken Medienplattformen.
„Das Phänomen der Oniomanie – zwanghaftes Einkaufen – spiegelt wider, wie tief die Konsumkultur in unserem Leben verwurzelt ist, insbesondere jetzt, wo die meisten Menschen einfachen Zugang zum Internet und zahlreiche benutzerfreundliche Einkaufs-Apps haben. Diese Besessenheit kann nicht nur zu ernsthaften finanziellen Schwierigkeiten führen, sondern erhöht auch die Anfälligkeit für Cybersicherheitsbedrohungen, da zwanghafte Käufer häufig ihre persönlichen Daten online preisgeben und dabei Datenschutzverletzungen, Phishing und anderen Cyberbetrug riskieren“, sagt Adrianus Warmenhoven, Cybersicherheitsexperte bei NordVPN.
Eine Analyse von 9 Milliarden Spam-Sprachanrufen zeigt die größten Sicherheitsbedrohungen für Smartphone-Benutzer
A neu veröffentlichter Bericht von Hiyadas sich selbst als Voice-Intelligence-Plattform bezeichnet, hat allein im dritten Quartal 2024 9,7 Milliarden Anrufe analysiert, bei denen der Verdacht auf Spam bestand. Dem Bericht zufolge stellen Betrüger, die sich als Banken, Kreditkartenunternehmen und Amazon ausgeben, weltweit die größte Bedrohung dar
Smartphone-Nutzer. Mit einer Plattform, die weltweit täglich über 105 Millionen mutmaßliche Spam-Anrufe meldet, bietet der Hiya-Bericht einen faszinierenden Einblick in die realen Smartphone-Bedrohungen, denen wir alle ausgesetzt sind.
Bei den 9,7 Milliarden analysierten Sprachanrufen handelte es sich sowohl um belästigende als auch um betrügerische Anrufe. Hiya konnte jedoch feststellen, dass bei Betrug vor allem Banken und Kreditkartenunternehmen imitiert wurden. „Das Ziel der Betrüger ist klar“, sagte Hiya, „sich überzeugend als Banken oder Kreditkartenunternehmen auszugeben, um ihre Opfer dazu zu bringen, Kontoinformationen und Passwörter preiszugeben, um Zugang zu Bankkonten zu erhalten und Gelder abzuheben.“
Als nächstes auf der Liste standen Betrüger, die sich als Amazon-Support ausgab, mit dem Ziel, „den Opfern Angst einzujagen und ihnen vorzugaukeln, es gäbe ein Problem mit einer Karte, die mit ihrem Amazon-Konto verknüpft ist, oder sie dazu zu verleiten, persönliche Informationen weiterzugeben, um ihre Daten zu überprüfen und eine Bestellung oder Lieferung abzuschließen.“ Ich habe bereits über solche Support-Betrugsanrufe berichtet, siehe die unten verlinkte Black-Friday-Betrugsgeschichte, und ein Amazon-Sprecher sagte mir damals: „Amazon ist bestrebt, das Vertrauen und die Sicherheit der Kunden zu schützen.“ „Um diese Betrügereien zu bekämpfen“, fügt er hinzu: „Wir nutzen Partnerschaften mit Strafverfolgungsbehörden und öffentlichen Behörden und bündeln Ressourcen, um Betrüger zur Rechenschaft zu ziehen.“ Amazon beschäftigt ein Team aus erfahrenen Ermittlern und Wissenschaftlern für maschinelles Lernen, um Betrug zu erkennen und zu unterbinden, Phishing-Websites – oft innerhalb weniger Stunden – zu sperren und betrügerische Telefonnummern noch am selben Tag zu sperren, an dem sie gemeldet werden.
Trotz des wachsenden Bewusstseins für Sicherheitsrisiken treiben KI und Automatisierung die Smartphone-Betrugsraten weiter in die Höhe
Kush Parikh, Präsident von Hiya, sagte, dass die Daten im Quartalsvergleich zeigten, dass die Betrugsanrufraten trotz eines wachsenden Risikobewusstseins weiter steigen. Im Mittelpunkt stehen dabei KI und Automatisierung. „Betrüger werden immer raffinierter“, sagte Parikh, „was zum Teil auf die neueste Technologie zurückzuführen ist, um ihre Taktiken anzupassen.“ Beispiele für Robocalls gibt es in Hülle und Fülle, was zeigt, dass es für Betrüger immer einfacher und weniger zeitintensiv wird, den Opfern Spam-Anrufe in großen Mengen zuzusenden.“
Einige der US-spezifischen Statistiken aus dem Bericht zeigen, welche Auswirkungen dieses Wachstum auf die Bürger hat. Zwischen Juli und September 2024 kam es zu einem Anstieg der Spam-Anrufraten von durchschnittlich 11 auf 13 pro Benutzer und Monat. Während Medicare- und Versicherungsmissbrauchsbetrügereien in den USA weit verbreitet sind, versuchen Angreifer, an Versicherungsdaten zu gelangen, um Betrug zu begehen Da Betrüger nicht direkt die Opfer sind, sondern sich an die US-Regierung wenden, geben sie sich auch als IRS-Steuerberater, Support-Mitarbeiter von Amazon und Google sowie Mitarbeiter der Strafverfolgungsbehörden aus.
Natürlich handelt es sich hierbei um ein globales Problem, und Parikh sagte: „Es ist klar, dass der Finanzsektor, Regierungsbehörden und große globale Marken wie Amazon und Google mehr tun müssen, um sicherzustellen, dass Kunden ein klares Bild davon haben, wie ein legitimer Anruf aussieht.“ , um sie vor künftigem Schaden zu schützen.“
Die Smartphone-Sicherheit muss sich ändern – seien Sie diese Änderung
Wie wahr Walshs Behauptungen auch sein mögen, mit einer unbestreitbaren Wahrheit hat er Recht: Phishing beschränkt sich nicht nur auf E-Mails, Smishing ist immer noch Phishing. Quishing ist immer noch Phishing, Scam-Yourself-Angriffe sind immer noch Phishing, Klassifizierung ist wichtig und Verwirrung hilft niemandem. Angreifer entwickeln ihre Taktiken ständig weiter und testen ständig, wie gut eine Kampagne gegen andere funktioniert, indem sie sie tatsächlich durchführen – es gibt keine Kostenbarriere, die Phishing-Spaghetti gegen die virtuelle Wand zu werfen.
Vorerst müssen Benutzer ihre Herangehensweise an Vertrauen und ihre Herangehensweise an Sicherheit ändern und akzeptieren, dass Null-Vertrauen die einzige wirkliche Verteidigung gegen Phishing in all seinen Erscheinungsformen ist. Nicht. Vertrauen. Beliebig. Link. Authentifizierung ist der Schlüssel, sei es durch die Verwendung einer anderen Methode zur Eingabe einer bekannten URL, durch Sorgfalt bei der Recherche von Links, bevor Sie darauf klicken, oder, wie Walsh sagte, „durch die Authentifizierung von URLs vor der Zustellung, MetaCert stellt sicher, dass sie sicher sind, ohne sich auf veraltete historische Daten oder KI zu verlassen.“ Es ist nicht das Sicherheitsrisiko, das sich ändert, sondern unsere Verwirrung darüber, wie wir es mindern können. Manchmal ist es erforderlich, zu den Grundlagen zurückzukehren.
