„2023 war Spear-Phishing nach wie vor die beliebteste Einstiegsmethode für staatlich unterstützte und cyberkriminelle Gruppen, die in Zielnetzwerke eindringen wollten“, heißt es in dem Bericht.
„Diese ausgefeilte Form des Phishings umfasst sehr gezielte und personalisierte E-Mail-Kampagnen, die akribisch darauf ausgerichtet sind, bestimmte Personen in Unternehmen zu täuschen.
Auch bei Unionseinrichtungen oder in deren Umfeld war Spear-Phishing die am häufigsten beobachtete Methode, um einen Erstzugang zu erlangen. Insgesamt konnten 177 solcher Angriffe analysiert werden, was sehr bemerkenswert ist.“
Die Bedrohungsakteure verwendeten häufig Angebote, die sich auf EU-Organisationen bezogen und sich als echte Personen ausgaben. „Eine Reihe von Angreifern nutzte spezielle Anreize mit Bezug zu EU-Angelegenheiten, um Nutzer in unserer Umgebung zu täuschen“, berichten die Forscher.
„Einige Bedrohungsakteure verschickten Spear-Phishing-E-Mails mit bösartigen Anhängen, Links oder gefälschten PDF-Dateien. Dabei handelte es sich ursprünglich um interne oder öffentlich zugängliche Dokumente im Zusammenhang mit der EU-Politik. .... Um die Glaubwürdigkeit der Spear-Phishing-Nachricht zu erhöhen, gaben sich die Angreifer häufig als Mitarbeiter von EU-Einrichtungen oder der öffentlichen Verwaltung von EU-Ländern aus. Diese Angriffe zielten nicht nur auf EU-Einrichtungen, sondern auch auf die öffentliche Verwaltung in den EU-Ländern ab. Das zeigt, dass einige Angreifer ein großes Interesse daran haben, Informationen über verschiedene politische Angelegenheiten der EU zu sammeln.“
Cyberkriminellen investierten viel Zeit in die Erkundung ihrer Ziele und in die Ausarbeitung maßgeschneiderter Social-Engineering-Angriffe. „Unabhängig vom Ziel investierten die Bedrohungsakteure Zeit und Ressourcen in Vorbereitungsphasen wie Aufklärung und Social Engineering“, heißt es in dem Bericht.
„Bei der Aufklärung geht es darum, Informationen über Unionseinrichtungen zu sammeln: die Rolle bestimmter Mitarbeiter, ihre Kontaktlisten, die Dokumente oder Informationen, die sie üblicherweise mit ihren Interessengruppen teilen.
Beim Social Engineering wird die menschliche Psyche manipuliert. Im Zusammenhang mit Spear-Phishing gegen Einrichtungen der Union zielt das Social Engineering darauf ab, glaubwürdige Täuschungsbotschaften zu erstellen. Dafür werden Informationen genutzt, die aus früheren Angriffen stammen oder auf ungesicherten IT-Ressourcen offengelegt wurden, um die Wahrscheinlichkeit einer erfolgreichen Infiltration zu erhöhen.“
KnowBe4 ermöglicht Ihren Mitarbeitern, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Mehr als 65.000 Organisationen weltweit vertrauen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu reduzieren.
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo