Digitaler Identitätsdiebstahl ist neben der massenhaften Entwendung von digitalen Daten weiterhin Ziel von Kriminellen, das zeigt das jüngst veröffentlichte Cybercrime – Bundeslagebild des BKA. Der Report rekapituliert das Jahr 2018 mit besonderem Augenmerk auf Phishing im Online-Banking. Bereits zum zweiten Mal in Folge sinkt dessen Anzahl um knapp 50 Prozent, doch ändern die Angreifer fließend ihre Strategie – die Gefahr bleibt bestehen.
Die fortschreitende Digitalisierung bietet neben zahlreichen Chancen, rapide wachsende Schnittstellen für Cyberkriminelle. Zunehmend alltäglich werden tägliche Geschäfte online abgewickelt. Das umfasst vor allem auch den elektronischen Geldverkehr. Neuregelungen wie die just in Kraft getretene PSD2-Richtlinie verbessern den digitalen Schutz von sensiblen Daten. Zwei-Faktor-Authentifizierung ist längst kein Fremdwort mehr. Die Kombination aus sich stets aktualisierenden Codes, welche auf dem Smartphone zum Beispiel in Apps angezeigt werden, und einem zu merkenden Passwort gewährt Schutz. Doch nützt die beste Firewall nichts, ist die Maschine durch menschliches Versagen bedroht. Ein einfacher Klick auf einen vertrauenswürdig wirkenden Link genügt, um Eindringlingen ein Einfallstor durch die gesamte Barriere zu gewähren. Was passiert also, wenn Kriminelle in der Folge personenbezogene Daten zu ihrem Zweck verwenden können?
Im Online-Banking beobachtet das BKA drei häufige Arten von Phishing: Klassisches und solches mit Malware sowie das sogenannte SIM-Swapping. Ersteres hat das Ziel, die Login-Daten des Benutzers abzugreifen, indem in E-Mails zur Preisgabe dieser Informationen aufgefordert wird. Vor allem zu Jahresende 2018 stieg die Anzahl an Malware-Attacken, wobei zumeist Trickbots verwendet wurden. SIM-Swapping, auch bekannt unter dem Namen SIM-Jacking, ist eine Form von Account-Take-Over. Der Angreifer lässt dabei die Rufnummer des Opfers durch den Telekommunikationsanbieter auf eine weitere SIM-Karte übertragen. Dazu ist es lediglich notwendig, im Vorfeld über verschiedene Methoden wie Phishing und Social-Engineering personenbezogene Daten zu sammeln. Hiermit ist es neben dem Doppeln der SIM-Karte auch möglich gewisse Passwörter zu ändern. Das ist vor allem bei E-Commerce-Plattformen oder Banking-Apps der Fall.
Zunehmend wird auch die sogenannte Push-Tan-Methode zum Tatbestand von Missbrauch. Dabei wird, unter Angabe der Informationen des jeweiligen Geschädigten, die Rufnummer für das TAN-Verfahren geändert. Unter anderem ist der Angreifer nun in der Lage Überweisungen direkt vom Konto auszuführen. Da viele Benutzer die Absicherung von mobilen Endgeräten unterschätzen, sind vermehrt manipulierte Apps, E-Mails, Chats- oder Kurznachrichten im Umlauf, wobei das Opfer auf eine gefälschte Website gelockt wird, auf welcher wiederum Kreditkartennummern, Passwörter und weitere Daten eingegeben werden sollen. Diese Websites wirken täuschend echt.
Das Beispiel zeigt auf, dass zwar die Anzahl an Phishing-Attacken im Online-Banking sinkt, jedoch die Art es zu verwenden an Perfidität kaum zu übertreffen ist. Die Gefahr besteht weiterhin. Um sich gegen diese Art von Betrug zu wappnen, sollten Unternehmen in den Aufbau einer ‚menschlichen Firewall‘ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training geschult werden. Es handelt sich hier um regelmäßig durchgeführte, simulierte Phishing-Tests. Die Trainings unterstützen die Mitarbeiter, bösartige E-Mails und Webinhalte zu erkennen und wachsam gegenüber Betrugsversuchen zu werden. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr dieser kriminellen Attacken und Betrugsversuche.
#Netzpalaver #KnowBe4
