Vorsicht beim Weihnachtseinkauf

Phishing for Christmas

| Autor / Redakteur: Spencer Young / Peter Schmitz

Gerade beim Einkaufsstress vor Weihnachten sind Phishing- Angriffe ein noch größeres Einfallstor für Kontoübernahmen, wie sonst.
Gerade beim Einkaufsstress vor Weihnachten sind Phishing- Angriffe ein noch größeres Einfallstor für Kontoübernahmen, wie sonst. (Bild: gemeinfrei / Pixabay)

Gerade in den letzten Tagen vor Weihnachten steigt bei vielen der Stresslevel beim Einkauf von Geschenken noch einmal an. Statt sich in die überfüllten Innenstädte und Einkaufscenter zu drängen, greifen viele auf Onlineshops zurück und werden dabei im Vorweihnachts­stress immer öfter Opfer von Cyberkriminellen.

Auch in Deutschland startet mit dem Black Friday für viele Menschen die Zielgerade auf dem Marathon des Weihnachts­geschenke­einkaufs. Statt sich in die überfüllten Innenstädte und Einkaufscenter zu drängen, greifen viele auf Onlineshops zurück und bezahlen schnell mit Onlinebezahlsystemen oder der hinterlegten Kreditkarte. Kunden erhalten in dieser Zeit öfter E-Mails von diesen Anbietern und klicken – womöglich unbedarft – auf die in der E-Mail integrierten Links, um sich schnell anzumelden und den Lieferstatus zu checken. Doch oft lauert hier ein Phishing-Angriff!

Phishing ist der Ausgangspunkt für die meisten Netzwerk- und Datenverletzungen. Die Kampagnen laufen größtenteils von gefährdeten Webservern aus und verbreiten alle Arten von Malware, einschließlich Ransomware. Laut einer Webroot Studie generieren Hacker mitunter 46.000 Phishing-Webseiten pro Tag. Voreilig die eigenen Anmeldedaten auf der Phishing-Webseite eingegeben und schon hat ein Hacker die Kontodaten mit Hilfe des Nutzers erhalten.

Warum brauchen wir Security Awareness?

Security-Insider Podcast – Folge 5

Warum brauchen wir Security Awareness?

18.10.19 - In dieser Episode des Security-Insider Podcast spricht Chefredakteur Peter Schmitz mit Richard Renner, Geschäftsführer von Perseus über das Thema Security Awareness. Es wird diskutiert was eigentlich Security Awareness ist, warum Unternehmen das brauchen, wie man seine Mitarbeiter richtig schult und was Phishing-Tests für die Security Awareness bringen. lesen

Phishing: aktuell größtes Hacker-Einfallstor

Hacker nehmen mittlerweile große Anstrengungen auf sich, um Phishing-Mitteilungen so zu gestalten, dass sie tatsächliche E-Mails eines Unternehmens nachahmen. Durch die Verwendung derselben Phrasierung, Schriftarten, Logos und Unterschriften erscheinen die Nachrichten auf den ersten Blick legitim. Aus diesem Grund gilt Phishing in Deutschland mittlerweile laut Aussage von 53 Prozent der Befragten der Umfrage „The impossible Puzzle of Cybersecurity“ von Sophos als derzeit größtes Sicherheitsrisiko. Das liegt unter anderem daran, dass diese Art von Angriffen schwieriger zu verteidigen ist als Cyberattacken durch Schadsoftware oder DDoS-Angriffe. Das bestätigt auch die britische Regierung in deren diesjährigem Cyber Security Breaches Survey.

Phishing-Kampagnen werden oft von kompromittierten Webservern aus durchgeführt, während Hosting-Provider und Unternehmen von den bösartigen Aktivitäten völlig unberührt bleiben. Kompromittierte Webserver, die in Phishing-as-a-Service (PhaaS)-Plattformen eingesetzt werden, senken die Kosten einer Phishing-Kampagne erheblich und helfen den Cyberkriminellen, ihre Spuren zu verwischen. Auf der Serverseite können darüber hinaus verschiedene Methoden gewählt werden, um Phishing-Betrug zu verhindern. Am effektivsten ist das Blacklisting bekannter Phishing-Webseiten und das dynamische Blockieren verdächtiger Muster im Quellcode, die auf betrügerische Anfragen hinweisen können. Diese Mustererkennung basiert auf Daten aus domänenübergreifenden Quellverweisen, die Bilder, Schriften und andere Ressourcen aus einer externen Quelle verbrauchen. Der beste Weg, Webserver vor Beeinträchtigungen zu schützen, ist der Einsatz von Web Application Firewalls (WAFs). Wenn WAFs allgegenwärtig eingesetzt werden würden wie klassische Netzwerk-Firewalls, könnten laut Imperva die Phishing-Kriminalität ernsthaft in ihre Schranken gewiesen werden.

Vorgehen beim Phishing

Doch das schwächste Glied im Zusammenhang mit Phishing-Betrug bleiben die Benutzer. Serverseitige Sicherheitslösungen können zwar den besten Schutz bieten, um die Phishing-Bedrohung im Vergleich zum Client-seitigen Ansatz der Endpoint-Software einzudämmen, dennoch sind sie machtlos gegenüber Insider Threats. Hacker versuchen bei Phishing-Angriffen gezielt den Benutzer zum Handeln zu beeinflussen, indem sie ein Gefühl der Dringlichkeit erzeugen. Beispielsweise soll sich der Nutzer verifizieren, da sonst das Konto deaktiviert wird. Dazu setzt der Hacker dem Nutzer eine zeitliche Frist, in der er das Konto über den integrierten Link verifizieren kann, sonst werde es deaktiviert. Die Ausübung eines solchen Drucks führt dazu, dass der Benutzer die Anmelde-Webseite über den E-Mail-Link öffnet und nicht genau prüft.

Und das kann böse Folgen für den Nutzer haben. Sind Bankkonten oder Kreditkarten hinterlegt gerät das Weihnachtsgeschäft schnell außer Kontrolle und statt einem freudigen Weihnachtsfest droht eine persönliche finanzielle Krise, wenn die Hacker mit der erbeuteten Kreditkarte fleißig auf Shoppingtour gehen oder die Nutzerdaten lukrativ weiterverkaufen. Denn laut Imperva können Account-Informationen mit Kreditkartenhinterlegung für zwischen 20 und 300 US-Dollar pro Account (je nach Kontostand) veräußert werden.

Die Psychotricks moderner Phishing-Betrüger

Spear-Phishing & Co

Die Psychotricks moderner Phishing-Betrüger

11.03.19 - Die Angriffe von Phishing-Betrügern haben eine neue Qualität erreicht und komplexes „Spear-Phishing“ in den letzten Jahren massiv zugenommen. Das perfide dabei: die Angreifer bedienen sich tief verwurzelten Mechanismen unserer Psyche, um uns zu manipulieren und zu schwerwiegenden Handlungen zu verleiten. Die genutzten Psychotricks sind dabei oft verblüffend simpel. lesen

Aufklärung und erhöhte Passwort-Sicherheit

Beim Vorbeugen gegen Phishing-Attacken sind Unternehmen neben der Implementierung einer WAF vor allem auf ein sicheres Passwort-Management angewiesen. Dabei hilft vor allem die Zwei-Faktor-Authentifizierung (2FA) als effektivste Methode zur Bekämpfung von Phishing-Angriffen, da sie bei der Anmeldung an Nutzer-Accounts eine zusätzliche Verifizierungsschicht hinzufügt. 2FA setzt darauf, dass die Benutzer zwei Dinge haben: etwas, das sie wissen, das Passwort und einen Benutzernamen, und etwas, das sie haben, wie ein Smartphone. Selbst wenn Nutzer durch eine Phishing-Mail gefährdet sind, verhindert die 2FA die Verwendung der erbeuteten Anmeldeinformationen. Denn diese allein reichen nicht aus, um Zugang zum Nutzer-Account zu erhalten.

Doch gerade durch den Medienbruch auf ein zweites Gerät zur 2FA sehen die meisten Online-Händler ein großes Problem. Dadurch verlängere sich der Kaufvorgang und verkompliziere das Kauferlebnis der Nutzer. Laut Aussage verschiedener Händler könnte es dadurch vermehrt zu Kaufabbrüchen kommen, wenn Online-Shops die Zwei-Faktor-Authentifizierung standardisiert einführen würden.

Die meisten Online-Händler setzen auf die eigenen Datensicherheitssysteme. Zusätzliche Aufklärungskampagnen können dazu beitragen, die Käufer für Phishing zu sensibilisieren und so die Bedrohung durch Phishing-Angriffe zu verringern, indem Unternehmen sichere Praktiken einführen und als Standard durchsetzen. Kunden, Online-Händler und Sicherheitsexperten müssen stärker zusammenarbeiten, damit sich die Gefahr verringert, beim Online-Shopping einem Phishing-Angriff zum Opfer zu fallen – insbesondere zur Weihnachtszeit.

Über den Autor: Autor: Spencer Young ist Regional Vice President EMEA bei Imperva.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46275514 / DDoS, Fraud und Spam)