Bei einem Phishing-Betrug kann man viel verlieren. Diese Angriffe zeigen, wie viel.
Phishing-Angriffe haben stark zugenommen, wobei Angreifer die neuesten Schwachstellen und Möglichkeiten der massiven Verlagerung auf Remote-Arbeit und Cloud-Speicher ausnutzen.
Phishing ist eine Betrugsmasche, bei der Angreifer schädliche E-Mails, Nachrichten oder Telefonanrufe an Personen senden, um sie zum Klicken zu verleiten schädliche Links oder Anhänge, den Besuch betrügerischer Websites, die Weitergabe sensibler Daten oder deren Angreifbarkeit Cyberangriffe.
Opfer von Phishing-Angriffen zu werden, führt mittlerweile regelmäßig zu erheblichen finanziellen Verlusten für Privatpersonen und Unternehmen. Hier sind einige der finanziell schädlichsten Phishing-Angriffe der Geschichte.
1. Facebook und Google
Zwischen 2013 und 2015 wurden Facebook und Google Opfer eines Betrugs mit gefälschten Rechnungen und verloren über 100 Millionen US-Dollar. Im Rahmen des Betrugs gründete Evaldas Rimasauskas, ein litauischer Hacker, eine gefälschte Firma, die sich als Quanta Computer ausgab, ein in Taiwan ansässiger Computerhersteller, der mit Facebook und Google zusammenarbeitet.
Darüber hinaus eröffnete der Angreifer unter demselben Namen wie das gefälschte Unternehmen Bankkonten zur Geldwäsche in mehreren Ländern, darunter Zypern und Lettland.
Evaldas schickte daraufhin Rechnungen an Mitarbeiter von Facebook und Google und veranlasste diese, ihm die angeforderten Gelder zu überweisen. Schließlich wurde er jedoch verhaftet, offiziell wegen Betrugs per Überweisung angeklagt und zur Einziehung von 49,7 Millionen US-Dollar gezwungen.
2. Sony-Bilder
Sony wurde Opfer eines Spear-Phishing-Angriffs (einer davon). viele verschiedene Arten von Phishing-Angriffen), was das Unternehmen daran hinderte, weltweit einen Comedy-Film zu veröffentlichen. Der Angriff stand im Zusammenhang mit „Guardians of Peace“, der Hackergruppe, die 2014 große Mengen vertraulicher Daten über die Mitarbeiter des Unternehmens und sein Filmportfolio preisgab.
Um den Angriff auszuführen, schickten Cyberkriminelle E-Mails an Sony-Mitarbeiter, darunter CEO Michael Lynton, und forderten sie auf, ihre Apple-ID fällig zu überprüfen auf „verdächtiges Kontoverhalten“. Die E-Mail-Nachrichten enthielten auch Links zu Phishing-Sites, die erstellt wurden, um die Login-Daten der Mitarbeiter zu stehlen Referenzen.
Monate später drangen die Hacker in den System Center Configuration Manager (SCCM) von Microsoft ein. Dies ermöglichte es ihnen, Malware auf allen Geräten der Mitarbeiter zu installieren, Terabytes an privaten Daten zu stehlen und die Originalkopien von Sony-Computern zu löschen.
Die Cyberkriminellen haben vier unveröffentlichte Filme und zahlreiche vertrauliche Materialien, darunter auch private, durchsickern lassen Kommunikation zwischen Führungskräften, Sozialversicherungsnummern und Mitarbeitergehältern über Dateifreigabe Netzwerke. Um ihre Agenda voranzutreiben, forderte die Hacktivistengruppe Sony auf, die geplante Veröffentlichung der Komödie „The Interview“ abzusagen.
Obwohl Sony keine offizielle Kostenschätzung veröffentlicht, deuten erste Schätzungen des Ausmaßes des Unternehmensschadens auf Verluste von über 100 Millionen hin.
3. Crelan Bank
Im Jahr 2016 war die in Belgien ansässige Bank Crelan Ziel eines Business Email Compromise (BEC)-Betrugs, was zu einem Verlust von 75,8 Millionen US-Dollar führte. Der Täter, der sich als Vorstandsvorsitzender der Bank ausgab, bat die Finanzabteilung um die Genehmigung der Überweisung des Betrags, was diese auch tat.
Der Angriff wurde bei einer internen Prüfung entdeckt und dem Justizministerium gemeldet, die Täter wurden jedoch nie identifiziert. Als Reaktion darauf ergriff die Bank strenge Maßnahmen zur Stärkung ihrer internen Sicherheitsverfahren.
4. FACC
Fischer Advanced Composite Components (FACC) ist ein in Österreich ansässiges Unternehmen, das sich auf die Herstellung von Luft- und Raumfahrtteilen spezialisiert hat. Zu seinem Kundenstamm zählen Branchenführer wie Boeing, Airbus und Rolls-Royce.
2015/16 war für das Unternehmen ein schicksalhaftes Geschäftsjahr, da es Opfer eines BEC-Betrugs wurde und schätzungsweise 55 Millionen US-Dollar verlor. Der Vorfall nahm seinen Lauf als Täter, der sich als CEO des Unternehmens ausgibt forderte in einer E-Mail die Buchhaltung auf, die Gelder im Rahmen eines „Akquisitionsprojekts“ an eine ausländische Bank zu überweisen.
Als FACC feststellte, dass es sich um einen Betrug handelte, ergriff sie Gegenmaßnahmen, die zur Blockierung der Überweisung von 12 Millionen US-Dollar führten. Trotzdem wurden der CEO des Unternehmens, Walter Stephan, und der CFO nach dem Vorfall entlassen. Das Unternehmen reichte außerdem eine Klage gegen sie ein und begründete dies damit, dass sie es versäumt hätten, Sicherheitskontrollen und Aufsicht umzusetzen.
5. Upsher-Smith-Laboratorien
Upsher-Smith Laboratories, ein Pharmaunternehmen in Minnesota, ist ein weiteres prominentes Opfer eines CEO-Betrugsangriffs. Das Unternehmen erlag dem Betrug im Jahr 2014, als Betrüger, die sich als CEO des Unternehmens ausgaben, dem Kreditorenkoordinator des Unternehmens eine E-Mail schickten.
Dieser Betrug führte innerhalb von drei Wochen zu neun Überweisungen, was zu einem Verlust von über 50 Millionen führte. Das Unternehmen erkannte jedoch den laufenden Angriff und widerrief erfolgreich eine Überweisung, wodurch sich der Verlust auf 39 Millionen US-Dollar reduzierte.
6. Ubiquiti-Netzwerke
Im Jahr 2015 verlor Ubiquiti Networks, ein in San Jose ansässiger Hersteller von Netzwerktechnologie, 46,7 Millionen US-Dollar durch CEO-Betrug. In diesem Fall gab sich der Angreifer sowohl als CEO als auch als Anwalt des Unternehmens aus und teilte der Finanzabteilung mit, dass Gelder benötigt würden, um eine vertrauliche Übernahme zu ermöglichen.
Mithilfe von Spear-Phishing-E-Mails überzeugte der Täter die Finanzabteilung des Unternehmens, Gelder von der Tochtergesellschaft des Unternehmens in Hongkong auf die Konten des Angreifers im Ausland zu überweisen.
Anschließend tätigte Ubiquiti innerhalb von 17 Tagen 14 Überweisungen in mehrere Länder, darunter China, Russland, Ungarn und Polen. Nachdem das Unternehmen den Betrug entdeckt hatte, leitete es in mehreren ausländischen Gerichtsbarkeiten rechtliche Schritte ein und erstattete 8,1 Millionen US-Dollar.
7. Leoni AG
Die Leoni AG, ein führender Draht- und Kabelhersteller mit Hauptsitz in Deutschland, erlitt durch einen Phishing-E-Mail-Angriff einen Verlust von rund 44 Millionen US-Dollar. An dem Vorfall im Jahr 2016 waren Betrüger beteiligt, die sich als leitende deutsche Führungskräfte des Unternehmens ausgaben und einen Finanzmitarbeiter im rumänischen Büro des Unternehmens täuschten, um die Gelder auf ausländische Konten zu überweisen.
8. Toyota Boshoku Corporation
Im Jahr 2019 wurde die Toyota Boshoku Corporation, eine europäische Tochtergesellschaft des Toyota-Konzerns und führender Lieferant von Toyota-Autoteilen, Ziel eines BEC-Angriffs. Bei dem Vorfall gab sich ein Angreifer als Geschäftspartner der Tochtergesellschaft aus und forderte eine sofortige Überweisung auf ein unbekanntes Bankkonto.
Der Täter begründete die Dringlichkeit der Transaktion damit, dass jede Verzögerung die Teileproduktion behindern würde. Dies führte dazu, dass die Finanz- und Buchhaltungsabteilung des Unternehmens über 37 Millionen US-Dollar verlor.
9. Xoom Corporation
Ein Phishing-Betrug gegen Xoom Corporation, einen führenden Anbieter elektronischer Geldtransferdienste, führte zu einem Verlust von 30,8 Millionen US-Dollar. Im Bericht des Unternehmens für das vierte Quartal 2014 wurde BEC als Ursache für den Verlust genannt.
Bei dem Angriff gaben sich Betrüger als Xoom-Mitarbeiter aus und forderten die Finanzabteilung auf, die Gelder auf betrügerische Konten im Ausland einzuzahlen. Nach dem Vorfall trat Matt Hibbard, Chief Financial Officer (CFO) von Xoom, zurück.
Schützen Sie sich und Ihr Unternehmen vor Phishing-Angriffen
Obwohl große Unternehmen die Hauptziele sind, kommen Phishing-Betrügereien, von denen Millionen einzelner Benutzer betroffen sind, viel zu häufig vor. Diese Angriffe führen nicht nur zu direkten finanziellen Verlusten, sondern auch zu Produktivitäts- und Datenverlusten, Reputationsschäden und Kundenabwanderung.
Die Kosten von Phishing-Angriffen verändern bereits jetzt die Art und Weise, wie Einzelpersonen und Unternehmen vorgehen und Risiken verwalten. Um sich vor Phishing-Angriffen zu schützen, ist es wichtig, Schutzmaßnahmen zu ergreifen, einschließlich der Verwendung starker Passwörter, Implementierung der Zwei-Faktor-Authentifizierung und Bereitstellung von Schulungen zum Sicherheitsbewusstsein Mitarbeiter.
