Eine Studie aus dem Juli 2021 hat mehrere Millionen Spear-Phishing- und Social Engineering Angriffe analysiert. Aus dieser großen Analyse konnten viele Kenntnisse gewonnen werden, unter anderem das eine Social Engineering Statistik ergab, dass ein Unternehmen jährlich mit 700 Attacken konfrontiert wird.
Social Engineering Statistik über 14 Monate
Eine Studie des Unternehmens Barracuda hat zwischen Mai 2020 und Juni 2021 mehrere Millionen Mailboxen von unterschiedlichen Unternehmen analysiert. Die Ergebnisse zu dieser Analyse wurden in einem Spear-Phishing-Report auf der Webseite des Unternehmens veröffentlicht. Insgesamt wurden acht Schlüssel-Findings herausgearbeitet:
1. 10 % aller Social Engineering Angriffe sind Kompromittierungen von beruflichen E-Mail Adressen
Die Verteilung aller Social Engineering Angriffe, die zwischen Juni 2020 und Mai 2021 analysiert worden sind, ergab, dass jeder zehnte Angriff die Kompromittierung von beruflichen E-Mail Adressen anstrebt. Dagegen nehmen die Kategorien Phishing (49 %) und Scamming (39 %) weitaus größere Anteile an. Dies kann unter anderem daran liegen, dass Angreifer mit einer Phishing-Mail mehrere Personen gleichzeitig angreifen können. Bei der Kompromittierung von beruflichen E-Mail Adressen können weitaus weniger Personen angegriffen werden. Die verbleibenden 2 % aller Social Engineering Angriffe konnte der Kategorie Erpressung zugeordnet werden.
2. 43 % der Phishing-Angriffe geben sich als Microsoft-Marken aus
Ein bekannter Trick, den Angreifer seit mehreren Jahren verwenden, ist, sich hinter einer bekannten und vertrauenswürdigen Firma zu verstecken. Häufig gibt sich der Angreifer als ein Mitarbeiter des besagten Unternehmens aus und versucht somit das Vertrauen der Opfer zu erlangen. Es konnte festgestellt werden, dass mit ca. 43 % ein hoher Anteil aller Phishing-Angriffe das Unternehmen Microsoft zur Tarnung verwenden. 2019 lag dieser Wert in einer vergleichbaren Untersuchung sogar bei 56 %.
3. Eine durchschnittliche Organisation wird mit über 700 Social-Engineering-Angriffen in einem Jahr konfrontiert
Die Analyse von Barracuda hat ergeben, dass jedes Unternehmen bzw. jede Organisation durchschnittlich mit über 700 Social-Engineering-Angriffen pro Angriffen konfrontiert wird. Neben den bekannten CEO-Fraud und CFO-Fraud untersuchte das Unternehmen, welche Mitarbeiter:innen am häufigsten angegriffen werden. Mit ca. einem Fünftel (19 %) aller Social Engineering Angriffe werden Mitarbeiter:innen aus dem Finanzbereich attackiert. Der CEO wird nur zu 6 % attackiert und befindet sich lediglich auf Platz 7 hinter bspw. Personalverwaltung oder dem Verkauf.
4. 25 % aller BEC-Angriffe (Kompromittierung von Geschäfts-E-Mails) zielt auf Mitarbeiter in Vertriebsfunktionen
Die Social Engineering Statistik, die in Punkt 3 bereits erörtert worden ist, beschreibt den BEC-Angriff. Bei der Kompromittierung von Geschäfts-E-Mails sind Personalabteilungen und der Verkauf deutlich beliebter, aus Sicht der Angreifer als der CEO. So kommt es auch zustande, dass etwa ein Viertel aller BEC-Angriffe auf Mitarbeiter in Vertriebsfunktionen abzielt. Eine Erklärung könnte darin liegen, dass diese Mitarbeiter mit vielen unbekannten Personen über die E-Mail kommunizieren und somit leichtere Opfer darstellen.
5. 77 % der BEC-Angriffe zielen auf Mitarbeiter außerhalb des Finanzbereichs und Führungspositionen
Mehr als drei Viertel (77 %) der BEC-Angriffe zielt somit nicht gegen die Führungspositionen oder dem Finanzbereich. Mitarbeiter:innen in diesen Positionen sind häufig gut geschult gegen Social Engineering oder Phishing Angriffe. Mitarbeiter:innen die häufig mit externen Menschen kommunizieren müssen sind ein leichteres Ziel und werden deutlich häufiger bei BEC-Angriffen adressiert.
6. IT-Verantwortliche erhalten durchschnittlich 40 gezielte Phishing-Angriffen im Jahr
Die Verteilung der Angriffsziele sieht deutlich anders aus, wenn man den Angriffsvektor der Phishing-Angriffe betrachtet. Rund 40 gezielte Phishing-Angriffe erhält ein IT-Verantwortlicher jährlich. Die Intention der Angreifer ist ein direkter Zugang zu sensiblen IT-Systemen, die über einen Phishing-Angriff gewonnen werden können. IT-Verantwortliche werden als eigene Berufsgruppe gar nicht bei den Social Engineering Angriffen aufgezählt, da der Anteil zu gering ist. Bei Phishing-Angriffen dagegen stellt diese Berufsgruppe mit 40 E-Mails pro Jahr den dritten Platz hinter CEO und CFO dar.
7. Ein durchschnittlicher CEO erhält 57 gezielte Phishing-Angriffe im Jahr
Am häufigsten von gezielten Phishing-Angriffen attackiert wird der Chief Executive Officer (CEO). Rund 57 Angriffe erhält ein durchschnittlicher CEO jährlich, was diese Stelle mit ca. 23 % aller Phishing-Angriffe am stärksten betreffen lässt. Unmittelbar hinter dem CEO liegt der CFO, der ebenfalls eine Führungsposition innehält. Mit 51 Phishing-Angriffen pro Jahr stellt diese Position zu 17 % das Angriffsziel des Angreifers dar.
8. Angriffe mit Bezug auf Kryptowährungen wuchsen um 192% zwischen Oktober 2020 und April 2021
Die stärkste Veränderung aller gezogenen Social Engineering Statistiken konnte im Bereich von Kryptowährungen erkannt werden. Der Spear-Phishing-Report wird alle 2 Jahre von dem Unternehmen veröffentlicht und kann somit Trends im Bereich der IT-Sicherheit abbilden. Vor allem die Kryptowährungen bzw. Angriffe rund um das Thema von Kryptowährungen ist in den vergangenen 2 Jahren stark gestiegen. Um ganze 192 % stieg die Anzahl an Angriffen und Betrüge rund um das Thema Kryptowährungen und das alleine zwischen Oktober 2020 und April 2021.
