Die Abteilung für Internetkriminalität des FBI (Internet Crime Complaint Center, IC3) hat im kürzlich veröffentlichten 2024 Internet Crime Report (Bericht zu Internetverbrechen) darauf hingewiesen, dass die Verluste durch Cyberkriminalität in den USA rekordverdächtig gestiegen sind. Im vergangenen Jahr lagen die gemeldeten Verluste bei 16,6 Milliarden US-Dollar – und damit 33 % höher als im Vorjahr. E-Mail ist weiterhin der am häufigsten ausgenutzte Angriffsvektor und wird von Cyberkriminellen in großem Stil für Phishing-Betrug, BEC-Angriffe (Business Email Compromise) und Datenexfiltration verwendet.
Proofpoint hat sich bei der Auswertung des diesjährigen Berichts auf die E-Mail-Sicherheit konzentriert und kam zu der Erkenntnis, dass Unternehmen mehr denn je mehrschichtigen personenzentrierten Schutz benötigen, der von Menschen ausgelöste Bedrohungen über E-Mail, Cloud und Collaboration-Plattformen stoppen kann. In diesem Blog-Beitrag stellen wir die wichtigsten Erkenntnisse vor.
IC3-Bericht des FBI: Trends bei Beschwerden und Verlusten in den vergangenen fünf Jahren.
E-Mail-basierte Bedrohungen dominieren
E-Mail ist weiterhin mit Abstand der wichtigste Angriffsvektor für Cyberkriminelle – sowohl in Bezug auf die Häufigkeit als auch auf die finanziellen Auswirkungen.
- Phishing und Spoofing sind die am häufigsten genannten Arten von Beschwerden (193.407 Zwischenfälle). Diese Angriffe gehen immer subtiler vor und nutzen QR-Codes, gefälschte Anmeldeseiten und kompromittierte Marken-Assets, um Anwender zu täuschen.
- Business Email Compromise (BEC) steht in Bezug auf die verursachten Kosten auf Platz 2 – mit Verlusten in Höhe von 2,77 Milliarden US-Dollar bei 21.442 Zwischenfällen.
- Kompromittierung personenbezogener Daten (häufig eine Folge kompromittierter E-Mails) hat bei insgesamt 64.882 Meldungen zu Verlusten in Höhe von 1,45 Milliarden US-Dollar geführt.
All diese Kategorien zusammengerechnet ergeben Verluste von mehr als 4 Milliarden US-Dollar, was zeigt, wie stark E-Mail-Bedrohungen mit Datenverlust, Betrug und Markenschädigung zusammenhängen. Cyberkriminelle umgehen heute nicht etwa technische Schutzmaßnahmen, sondern nutzen menschliches Verhalten aus.
BEC: die kostenintensivste E-Mail-bezogene Bedrohung
BEC-Angriffe erfolgen äußerst gezielt und nutzen dabei Social-Engineering-Taktiken, d. h. Bedrohungsakteure geben sich als Führungskräfte, Lieferanten oder juristische Vertreter aus, um Mitarbeiter zur Überweisung von Geldern oder zur Weitergabe vertraulicher Dokumente zu verleiten.
Der IC3-Bericht nennt für das vergangene Jahr folgende Zahlen:
- 2,77 Milliarden US-Dollar Verlust durch BEC – das ergibt bei den teuersten Cybercrime-Kategorie Platz 2
- 21.442 Zwischenfälle, was in etwa den gleichen Zahlen wie im Vorjahr entspricht
Ein erheblicher Anteil dieser Verluste entstand durch Immobilien- und Gehaltszahlungsbetrug, wo kriminelle Akteure Personen nachahmen, um Daten für Geldüberweisungen oder Gehaltszahlungen zu ändern. Opfer mit einem Alter über 60 Jahren verloren durch diese Betrugstaktiken allein 2024 insgesamt 385 Millionen US-Dollar.
Das IC3 Recovery Asset Team des FBI berichtet, dass bei der Rückholung der Gelder durch das Einfrieren betrügerischer BEC-Überweisungen eine Erfolgsrate von 66 % erzielt werden konnte. In einem Fall war es möglich, nach einem Immobilienbetrug fast 1 Million US-Dollar wiederzuerlangen.
Proofpoint hilft Unternehmen beim Verhindern von BEC. Wir nutzen verhaltensbasierte KI, um die Absicht, den Inhalt und die Absender-/Empfänger-Beziehungen zu bewerten und Bedrohungen zu erkennen, die herkömmlichen E-Mail-Gateways entgehen.
Phishing: die häufigste und immer kostenintensivere Taktik
Mit 200.000 Meldungen im Jahr 2024 ist Phishing immer noch die am häufigsten verwendete Angriffstaktik. Besonders beunruhigend ist jedoch der deutliche Anstieg bei den in diesem Zusammenhang gemeldeten Verlusten, die von 18,7 Millionen US-Dollar im Jahr 2023 auf 70 Millionen US-Dollar in diesem Jahr gestiegen sind. Das entspricht einem Anstieg von 274 %!
Die Angreifer haben ihre Taktiken weiterentwickelt:
- Sie nutzen QR-Codes, um Tools zu täuschen, die schädliche E-Mail-Links erkennen sollen.
- Sie betten Schaddaten in PDF-Anhänge ein.
- Sie verwenden kompromittierte oder Doppelgänger-Domains, um Marken nachzuahmen.
Bemerkenswert ist, dass die Gesamtzahl der gemeldeten Phishing-Zwischenfälle im Vergleich zu den 298.878 Meldungen im Jahr 2023 gesunken ist. Das kann daran liegen, dass Angreifer sich stärker auf Kampagnen konzentrieren, die eine höhere Konversionsrate bei geringerem Volumen versprechen. Das gilt besonders für BEC- und Kontoübernahmestrategien.
Zum Schutz vor Phishing empfiehlt Proofpoint einen mehrschichtigen Ansatz, der adaptive Warnmeldungen, die Durchsetzung von Klick-Isolierung und Schulungsprogramme umfasst, die sich darauf konzentrieren, die Resilienz der Anwender gegenüber Phishing-Bedrohungen zu stärken.
Senioren: die von Cyberkriminellen am stärksten angegriffene Bevölkerungsschicht
Der IC3-Bericht weist darauf hin, dass Personen ab 60 Jahren deutlich häufiger angegriffen werden:
- 147.127 Beschwerden, d. h. 46 % mehr als im Vorjahr
- 4,8 Milliarden US-Dollar an Verlusten, d. h. 43 % mehr als 2023
Senioren waren am stärksten von Phishing, betrügerischem Technik-Support, BEC und Kryptowährungs-Investmentbetrug betroffen. Durch Taktiken, die oft mit Phishing-Ködern und gefälschten E-Mails begannen, verloren sie mehr als 2,8 Milliarden US-Dollar.
Da diese Anwender häufig über unzureichende digitale Kompetenzen und Kenntnisse zu modernen Bedrohungsvektoren verfügen, empfiehlt Proofpoint Unternehmen, bei Security-Awareness-Schulungen neben den Mitarbeitern auch deren Familienmitglieder, Ruheständler und ältere Kunden mit einzubeziehen.
IC3-Bericht des FBI 2024: Beschwerden nach Altersgruppe.
Fazit
Der IC3-Bericht des FBI von 2024 bestätigt, was Sicherheitsverantwortliche bereits wissen: E-Mail spielt bei Cyberrisiken weiterhin eine zentrale Rolle. Phishing und BEC sind keine neuen Bedrohungen, erfolgen aber immer gezielter und verursachen im Erfolgsfall immer mehr Kosten und Schaden.
Um diesen Bedrohungen einen Schritt voraus zu bleiben, müssen Unternehmen ihren Fokus von reaktiven zu präventiven Schutzmaßnahmen verlagern. Dies beginnt damit, dass personenzentrierte Bedrohungen frühzeitig erkannt werden, die Reaktionen auf Bedrohungen automatisiert erfolgt und der Schutz auf die Personen fokussiert wird, die mit der größten Wahrscheinlichkeit angegriffen werden.
Proofpoint kann Ihnen dabei helfen. Unsere KI-gestützte Plattform stoppt hochentwickelte Bedrohungen, bevor Anwender mit ihnen interagieren können. Dadurch werden das Risiko und der Aufwand für die Behebung deutlich reduziert.
Erfahren Sie, wie Sie Ihre Mitarbeiter mit Proofpoint Core Email Protection vor den aktuell größten E-Mail-Bedrohungen schützen können.
