Phishing-Angriffe erreichen neuen Höchststand Markenmissbrauch im Internet vorbeugen

Autor / Redakteur: Jan Niggemann, Return Path / Stephan Augsten

Nicht nur die Anzahl der Phishing-Webseiten im Internet wird immer größer, sondern auch die der hierfür missbrauchten Markennamen. Doch was können Unternehmen tun, um ihre Marke und ihre Kunden besser vor gefährlichen Phishing-Mails zu schützen?

Firma zum Thema

Phishing stellt eine ernste Bedrohung dar, nicht nur für die potenziellen Opfer.
Phishing stellt eine ernste Bedrohung dar, nicht nur für die potenziellen Opfer.
(© LUCKAS Kommunikation - Fotolia.com)

Wie der jüngste Trend Report der Anti-Phishing Working Group (APWG) zur Phishing-Aktivität belegt, wurden im ersten Quartal 2012 so viele Markennamen missbraucht wie nie zuvor. Im Februar und März verwendeten die Phisher jeweils 392 Markenunternehmen für ihre Zwecke – ein Zuwachs von acht Prozent im Vergleich zu dem bisherigen Höchststand im Dezember 2011.

Auf dem vierten Rang steht der August 2009, was eindrucksvoll belegt, dass das Thema in jüngster Zeit an Dramatik zunimmt. Hinzu kommt, dass die Zahl an neu entdeckten Phishing-Sites im Februar dieses Jahres 56.859 betrug – ein absoluter Rekord.

Der vormals höchste Wert neu entdeckter Phishing-Webseiten pro Monat betrug 56.362 und stammte ebenfalls aus dem August 2009. Um diese Zahlen noch ein bisschen greifbarer zu machen: Im Februar dieses Jahres gingen 81 neue Phishing Sites pro Stunde live, also etwas mehr als eine neue Phishing-Webseite pro Minute!

Phishing kommt Unternehmen teuer zu stehen

Welche Risiken ergeben sich daraus für Unternehmen, deren Markennamen für Phishing-Angriffe missbraucht werden? Diese Frage greift ein Cisco-Report zum Targeted Phishing (PDF, 541 KB) auf, der die Reputations-Kosten (also die negativen Auswirkungen auf die Marke) pro Phishing-Angriff auf ca. 1.900 US-Dollar pro betroffenem Nutzer schätzt.

Wenn etwa 500 E-Mail-Accounts von einem Angriff betroffen sind, liegen die Kosten schon bei annähernd einer Million US-Dollar. Und wenn man weitere Faktoren mit einrechnet, wie die Kosten für den Help Desk, der die Anrufe und E-Mails besorgter Kunden zu beantworten hat, können sich die Kosten eines Angriffs auf 500 Accounts schnell auf 1,4 Millionen US-Dollar belaufen.

Während sich Unternehmen bestimmter Branchen, die sich schon seit längerer Zeit Phishing-Angriffen ausgesetzt sehen, der Gefahr in der Regel bewusst sind – wie z.B. Zahlungsdienste sowie Banken und Finanzdienstleister – denken viele andere Unternehmen über Phishing wenn überhaupt eher theoretisch nach.

Sollte das auch auf Sie zutreffen, dann seien gewarnt: Setzt sich der aktuelle Trend fort, dann muss jedes online tätige Unternehmen damit rechnen, ins Visier der Phisher zu geraten. Dies gilt insbesondere für jene Firmen, die hauptsächlich über E-Commerce Geschäfte tätigen und E-Mails zur Kommunikation mit ihren Kunden und potenziellen Neukunden nutzen.

Mögliche Maßnahmen gegen Markenmissbrauch

Doch was kann ein Unternehmen tatsächlich tun, um seine Marke und seine Kunden effektiv vor Phishing-Angriffen zu schützen? Wie es bei Return Path so schön heißt „Hoffnung ist keine Strategie“. Deshalb haben wir im Folgenden einige Ratschläge für Sie zusammengestellt:

1. Inventurliste der Domains erstellen

Wenn noch nicht geschehen, listen Sie alle registrierten Domains – inklusive aller Sub-Domains – auf und vermerken Sie auch, welcher E-Mail- sowie Web-Traffic über welche Domain läuft. Stellen Sie sicher, dass Sie alle Abteilungen sowie Drittunternehmen in diese Aufstellung mit einbeziehen, so dass jegliche E-Mail-Ströme, die legitim im Namen Ihres Unternehmens verschickt werden aufgenommen werden. Und wenn Sie schon dabei sind beziehen Sie Domains, über die keinerlei Traffic läuft mit ein und vermerken Sie auch, wann die Domains registriert wurden bzw. wann die Registrierung ausläuft.

2. Domains vorsorglich registrieren

Was meine ich damit? Phisher verwenden in der Regel Domains, die Ihren echten Domains zumindest auf den ersten Blick ähnlich sehen oder die auch nur ähnlich klingen. Deshalb sollten Sie vorsorglich auch jene Domains registrieren, um Phishern und Spoofern damit gar nicht erst die Möglichkeit zu geben, diese Domains zu verwenden. Wenn Ihre Marke beispielsweise www.bigbank.com ist, sollten Sie auch www.b1gbank.com registrieren lassen.

3. E-Mail-Authentifizierung nutzen

Verwenden Sie in jedem Fall die Authentifizierungsstandards SPF und DKIM für alle ausgehenden E-Mails. Vergessen Sie auch die E-Mails nicht, die automatisiert über Systeme verschickt werden oder von Drittunternehmen wie z.B. einem ausgelagerten Call Center. Weitere Informationen liefert ein Leitfaden zum Thema Authentifizierung von Return Path (PDF, 514 KB; momentan nur auf Englisch verfügbar).

4. Authentifizierung mit DMARC prüfen

DMARC ist das Ergebnis einer gemeinsamen Initiative von Microsoft, Google, Yahoo!, Return Path und anderen Unternehmen und bietet Internet Service Providern (ISPs) die Möglichkeit E-Mails sofort auszufiltern, die sich nicht korrekt authentifizieren. Dabei finden wiederrum die im vorherigen Punkt erwähnten Authentifizierungsprotokolle DKIM und SPF Verwendung.

Die Erstellung eines DMARC Records ist relativ einfach und mit keinerlei Kosten verbunden. Einen DMARC Record zu erstellen kann Ihnen auch beim Aufstellen der erwähnten Domain-Inventurliste helfen, da DMARC aggregierte Daten aller E-Mail Ströme liefert, die über Ihre Domains versendet werden.

Bevor Sie jedoch nicht korrekt authentifizierte E-Mail Ströme vom ISP blocken lassen, sollten Sie den „Monitor“-Modus von DMARC nutzen und damit prüfen, dass alle E-Mails über eine korrekte Authentifizierung verfügen. In diesem Zusammenhang empfiehlt es sich auch, den Blog-Beitrag von Tom Sather zum Thema “Hat E-Mail ein Vertrauensproblem?“ zu lesen.

Über den Autor

Jan Niggemann ist Regional Director Central Europe bei Return Path.
Jan Niggemann ist Regional Director Central Europe bei Return Path.

(ID:35224530)