zurück zur Übersicht

IC3-Report des FBI: So sahen die erfolgreichsten Angriffe 2017 aus

Am 7. Mai veröffentlichte das FBI seinen jährlichen IC3-Bericht. Darin können Sie über gemeldete Internetkriminalität nachlesen. In interessanter Bericht, er ist einfach und unkompliziert und basiert auf validen Daten. Natürlich ist er US-zentriert, was bedeutet, dass es mehr Kreditkarten-Diebstahl und andere subtile Unterschiede zu Europa gibt, aber das größere Bild ist interessant und relevant.

Da der Bericht die Zahlen mit wenig Kontext bietet, lassen Sie uns ein wenig tiefer eintauchen, einige Vergleiche zwischen 2016 und 2017 machen, einige Anomalien, interessante Leckerbissen betrachten und einen gewissen Kontext herzustellen. Wir hoffen das hilft die Zahlen etwas besser einzuordnen.

Bericht 2017

Beachten Sie Folgendes: Es geht um Kriminalität. Nicht um staatliche Angriffe, Spionage, Hacktivismus und so weiter. Kriminelle sind unser vorhersagbarster Gegner. Sie sind hinter unserem Geld her, und sie werden „niedrig hängende Früchte“ und bewährte Technologien wählen, wenn sie können.

Zweitens handelt es sich bei diesen Zahlen nur um gemeldete Straftaten, was bedeutet, dass es bei Verbrechen mit „niedrigem Ertrag“ eine möglicherweise erhebliche Dunkelziffer gibt.

Schauen wir uns zuerst die Zahlen an

Schauen wir uns die Liste an, sortiert nach kumulativen Verlusten in Dollar. Die Top 4 enthält BEC (CEO Betrug), Beziehungsschwindel, Nicht-Zahlung, Investitionsbetrug. Der Diebstahl persönlicher Daten ist der erste Verbrechenstyp mit einer technischen Komponente auf Nummer 5. Kreditkartenbetrug auf Nummer 9 ist der erste Typ der automatisierten Kriminalität in der Liste. Malware und Ransomware sind auf den Plätzen 24 und 25. Für Kriminelle bedeutet das, es gibt 24 bessere Möglichkeiten, Geld zu verdienen als mit Ransomware. Das hat erkennbare Auswirkungen: unsere Cyber ​​Defence Centers beobachten, dass Ransomware seit Januar dieses Jahres langsam durch Kryptojacking verdrängt wird.

Die gesamten gemeldeten Verluste, wenn wir sie addieren, liegen etwas über 1,7 Milliarden Dollar, obwohl die IC3 1,4 Milliarden meldet. Vielleicht, weil die Liste einige Dinge doppelt zählt. BEC (Business Email Compromise, also E-Mail-Fälschung im Unternehmensbereich) ist für 39% dieser Verluste verantwortlich. Beziehungsschwindel über online-Börsen sind weitere 12%, und die anderen 49% sind in 31 anderen Arten von Kriminalität verteilt.

Legt man die individuellen Beschwerden zugrunde wird der Kuchen anders geschnitten. Wenn Menschen von einem Betrug betroffen sind, werden sie wahrscheinlich eine von zwei Geschichten erzählen: am häufigsten darüber, wie sie etwas online gekauft haben, aber nie die Ware bekommen haben. Die zweite Geschichte ist, wie ihre persönlichen Daten gestohlen wurden.

Kriminelle Geldmacher

Was ist der profitabelste Angriffstyp? Um einen Eindruck zu bekommen, haben wir den Gesamtverlust pro Verbrechensart nach der Anzahl der gemeldeten Vorfälle aufgeteilt. Auf dem untersten Niveau, wenn Sie Kinder betrügen, machen Sie nur ein paar Zehner (und müssen sich damit abfinden, einen echt miesen Charakter zu besitzen), während CEO Betrug in großen Unternehmen sich mit einen Durchschnitt von $ 43.094 auszahlt. Auf Platz zwei finden wir Anlagebetrug (31,351 US$) und die Entwendung von Unternehmensdaten auf Platz 3 mit durchschnittlich 16,101 US$.

Natürlich bedeutet dies nicht, dass jeder Verbrecher alles stehen und liegen lässt, und morgen zum BEC-Betrüger wird. Social-Engineering-Angriffe dieser Art erfordern Zeit, Mühe und Sorgfalt, während einige der automatisierten Malware-Angriffe quasi Feuer-und-Vergessen-Selbstläufer darstellen. Alles hängt von der Arbeitsmoral der Kriminellen und ihrer Risikobereitschaft ab. Jedem das seine.

Verlust, Rentabilität und Volumen

Als nächstes wollten wir die 33 Verbrechensarten in einem Diagramm visualisieren; die Anzahl der Angriffe im Vergleich zum durchschnittlichen Schaden. Die Datenpunkte sind nach Gesamtverlust (und somit der Rangfolge des FBI) ​​sortiert. Wir beobachten 4 Quadranten; das gefährlichste davon ist leer: Angriffe mit hohem Ertrag, die oft stattfinden. Die Cash-Cows sind BEC und Anlagebetrug. Am wahrscheinlichsten ist die gewöhnliche Nichtzahlung von Gütern, was Sie wahrscheinlich nicht um den Schlaf bringt. Beziehungsschwindel sitzt gut in der Mitte und scheint einen ausgewogenen Angriff zu bilden, da er den Mainstream dominiert (es folgen noch einige absonderliche Angriffe die selten gemeldet werden).

Änderungen im Schaden gegenüber dem letzten Jahr

Die Top 4 (BEC, Beziehungsschwindel, Nicht-Zahlung, Investitionsbetrug) haben sich nicht geändert. Die gesamten Verluste an gemeldeten Straftaten stiegen von 1,6 Milliarden Dollar auf 1,7 Milliarden Dollar (mit dem Vorbehalt, dass das FBI selbst von 1,4 Milliarden spricht). Wäre das eine Musik-Top 33-Liste: Es wäre eine eher langweilige, mit wenigen echten Hits. Tech Support Scams auf Nummer 17 (von 22), und Verwarnungsbetrug (Civil Matter) von 10 auf 21. Hier finden wir die größte Anomalie, denn der IC3 berichtet, der Gesamtschaden durch diese Betrugsmasche ging um 90% zurück, während die Zahl der Opfer fast gleich geblieben ist, bei etwa 1000. Wir vermuten an dieser Stelle einen Zahlendreher im Report.

2017 Cyber Crime Type Loss Nr of victims
1 BEC/EAC $676,151,185 (+$315,637,224) 15690
2 Confidence Fraud/Romance $211,382,989 (-$8,424,771) 15372
3 Non-Payment/Non-Delivery $141,110,441 (+$2,882,159) 84079
4 Investment $96,844,144 (-$26,563,853) 3089
5 Personal Data Breach ↑(8th) $77,134,865 (+$17,996,713) 30904
6 Identity Theft ↑(9th) $66,815,298 (+$7,897,900) 17636
7 Corporate Data Breach ↓ (5th) $60,942,306 (-$34,927,684) 3785
8 Advanced Fee ↓ (7th) $57,861,324 (-$2,623,249) 16368
9 Credit Card Fraud ↑(12th) $57,207,248 (+$9,019,255) 15220
10 Real Estate/Rental ↑(13th) $56,231,333 (+$8,355,568) 9645
11 Overpayment $53,450,830 (-$2,554,006) 23135
12 Employment ↑(14th) $38,883,616 (-$1,633,989) 15784
13 Phising/Vishing/Smishing/Pharming ↑(15th) $29,703,421 (-$1,976,030) 25344
14 Other ↓ (6th) $23,853,704 (-$49,238,397) 14023
15 Lottery/Sweepstakes ↑(17th) $16,835,001 (-$4,448,768) 3012
16 Extortion ↑(18th) $15,302,792 (-$509,045) 14938
17 Tech Support ↑(22nd) $14,810,080 (+$7,003,664) 10949
18 Misrepresentation ↑(19th) $14,580,907 (+$855,674) 5437
19 Harassment/Threats of Violence ↓ (16th) $12,569,185 (-$9,436,470) 16194
20 Government Impersonation $12,467,380 (+$188,666) 9149
21 Civil Matter ↓ (10th) $5,766,550 (-$51,922,005) 1057
22 IPR/Copyright and Counterfeit ↑(23rd) $5,536,912 (-$1,292,555) 2644
23 Malware/Scareware/Virus** ↑(24th) $5,003,434 (-$485,238) 3089
24 Ransomware ↑(25th) $2,344,365 (-$86,896) 1783
25 Denial of Service/TDoS ↓ (21st) $1,466,195 (-$9,747,371) 1201
26 Charity ↑(27th) $1,405,460 (-$254,992) 436
27 Health Care Related ↑(29th) $925,849 (-$69,810) 406
28 Re-shipping ↓ (26th) $809,746 (-$1,122,275) 1025
29 Gambling ↑(30th) $598,853 (+$308,160) 203
30 Crimes Against Children ↑(32nd) $46,411 (-$32,762) 1300
31 Hacktivist ↑(33rd) $20,147 (-$35,353) 158
32 Terrorism ↓ (31st) $18,926 (-$201,009) 177
33 No Lead Value ↑(34th) $0 (-) 20241

 

Änderungen gegenüber letztem Jahr nach Anzahl der Anzeigen

Bei der Sortierung der Nummern nach der Anzahl der Beschwerden ergibt sich ein anderes Bild. Die meisten Attacken bringen weit wenigerein, als die oben genannten drei, tatsächlich liegt die Durchschnittsrendite über alle Attacken berechnet bei knapp über 4.500 $. Das heißt, für die Top 3: Nicht-Zahlung bringt im Durchschnitt $ 1.678, Diebstahl persönlicher Daten knapp $ 2.500 und Phishing im Durchschnitt etwas über $ 1.100. Es scheint, der Mainstream-Internet-Verbrecher hat immer noch Appetit auf diese mittleren Beträge. Grund dafür könnten hier bewährte Methoden, das Geld zu waschen, sein, oder vielleicht sind Kriminelle in den B-Ligen einfach damit zufrieden.

Crime Type ’17 Nr of victims Loss
1 Non-Payment/Non-Delivery 84079 (+3050) $141,110,441
2 Personal Data Breach 30904 (+3331) $77,134,865
3 Phising/Vishing/Smishing/Pharming ↑ (4th) 25344 (+5879) $29,703,421
4 Overpayment ↓ (3rd) 23135 (-2581) $53,450,830
5 No Lead Value ↑ (12th) 20241 (+6447) $0
6 Identity Theft ↑ (7th) 17636 (+758) $66,815,298
7 Advanced Fee ↑ (10th) 16368 (+1293) $57,861,324
8 Harassment/Threats of Violence 16194 (-191) $12,569,185
9 Employment ↓ (5th) 15784 (-1603) $38,883,616
10 BEC/EAC ↑ (16th) 15690 (+3685) $676,151,185
11 Confidence Fraud/Romance 15372 (+826) $211,382,989
12 Credit Card Fraud ↓ (9th) 15220 (-675) $57,207,248
13 Extortion ↓ (6th) 14938 (-2208) $15,302,792
14 Other ↓ (13th) 14023 (+1404) $23,853,704
15 Tech Support ↑ (17th) 10949 (+99) $14,810,080
16 Real Estate/Rental ↓ (14th) 9645 (-2929) $56,231,333
17 Government Impersonation ↓ (15th) 9149 (-3195) $12,467,380
18 Misrepresentation 5437 (+1) $14,580,907
19 Corporate Data Breach ↑ (20th) 3785 (+382) $60,942,306
20 Investment ↑ (24th) 3089 (+892) $96,844,144
21 Malware/Scareware/Virus** 3089 (+306) $5,003,434
22 Lottery/Sweepstakes ↓ (19th) 3012 (-1219) $16,835,001
23 IPR/Copyright and Counterfeit 2644 (+72) $5,536,912
24 Ransomware ↓ (22nd) 1783 (-1000) $2,344,365
25 Crimes Against Children ↑ (26th) 1300 (+70) $46,411
26 Denial of Service/TDoS ↑ (28th) 1201 (+222) $1,466,195
27 Civil Matter 1057 (-13) $5,766,550
28 Re-shipping ↑ (29th) 1025 (+132) $809,746
29 Charity ↑ (30th) 436 (-1) $1,405,460
30 Health Care Related ↑ (31th) 406 (+37) $925,849
31 Gambling ↑ (33rd) 203 (+66) $598,853
32 Terrorism 177 (-118) $18,926
33 Hacktivist ↑ (34th) 158 (+45) $20,147

 

Fazit

Von 2016 bis 2017 hat sich nicht viel geändert. Ransomware ist nicht der große kriminelle Geldmacher, wie vielerorts angenommen wird. Das wurde 2017 erneut bestätigt. Einige Zahlen scheinen kontraintuitiv zu sein: Unsere Beobachtungen in unserem Cyber ​​Defence Center zeigen zum Beispiel, dass die Zahl der Malware-Infektionen stetig steigt. Eine Erklärung dafür ist, dass Organisationen Malware (z. B. Ransomware und Crypto Miner) als Betriebsstörung betrachten. Sie reduzieren ihre operativen Verluste, aber sie zeigen die Vorfälle nicht an. Besonders in größeren Unternehmen mit mehreren Malware-Infektionen pro Tag scheint dies auch wenige sinnvoll. Zweitens: Angriffen wie Ransomware wirken sich eher durch Kollateralschäden aus, als durch das, was die Kriminellen tatsächlich verdienen.

Das heißt, die höchsten Geldbeträge werden nicht mit Hacking und Tools gestohlen, sondern mit Social Engineering. Der größte Teil der Internetkriminalität wird in einem mittleren Segment abgewickelt, wobei Kriminelle versuchen, ein paar Tausend von Ihnen zu rauben und auf traditionelle Weise zu waschen. BEC war und ist der größte Geldmacher. Es zeigt, dass Kriminelle, trotz unserer Bemühungen, widerstandsfähiger zu werden, eifrig das ausnutzen, was so schwer zu beheben ist: unser Verhalten.

 


 

Links:

FBI announcement: https://www.fbi.gov/news/stories/2017-internet-crime-report-released-050718

2017 IC3 report: https://pdf.ic3.gov/2017_IC3Report.pdf

2016 IC3 report: https://pdf.ic3.gov/2016_IC3Report.pdf

SecureLink blog über coin mining: Ist kryptomining die neue Ransomware?

 

  • Datenquelle: FBI IC3
  • Datenaufbereitung des FBI Reports von Glenn Fryklund
  • Analye von Glenn Fryklund und Eward Driehuis

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer