„Mishing – das Phishing über mobile Endgeräte – ist nicht nur eine Weiterentwicklung herkömmlicher mobiler Phishing-Taktiken, sondern eine völlig neuer Angriffstrend. Sie werden über SMS, QR-Codes, Sprachnachrichten oder auch E-Mails eingeleitet“, erläutert Dr. Martin Krämer.
Opfer erhalten eine typische Standard-Phishing-Mail – versehen mit einer verborgenen bösartigen Payload oder ausgestattet mit Links, die sie zu einer getarnten Phishing-Webseite weiterleiten. Das Perfide: Sie wird nur dann ausgelöst, wenn die E-Mail auf einem mobilen Endgerät geöffnet wird. Opfer, klicken sie auf den Link, werden automatisch zu einem legitimen Dienst, wie Google oder Facebook, weitergeleitet. Erkennung und Analyse des Phishing-Angriffs durch Standard-E-Mail- und Netzwerksicherheitslösungen werden so bedeutend erschwert.
Angreifer gehen zu einer „Mobile-First“-Strategie über, um ungestört in Unternehmensnetzwerke eindringen und sensible Daten entwenden zu können. Dabei würden sie sich auch den Umstand zu Nutze machen, dass Mitarbeiter ihre mobilen Endgeräte, zum Beispiel Smartphones, häufig sowohl beruflich als auch privat nutzen. Unternehmen sollten deshalb dringend umdenken. Sie sollten erkennen, dass traditionelle Anti-Phishing-Maßnahmen, die ursprünglich einmal in erster Linie für Desktop- und Unternehmensnetzwerkumgebungen entwickelt worden sind, gegenüber Mishing-Angriffsvektoren allenfalls unzureichenden Schutz bieten.
„Wollen Unternehmen hier effektiv – und effizient – gegensteuern, werden sie das Risiko, dass ihre Mitarbeiter Opfer eines Phishing- oder Spear Phishing-Angriffs werden, aktiv reduzieren müssen. Menschliche Risiken müssen kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden,“ schließt Dr. Krämer.