Internetbetrug durch die Aufforderung an der Teilnahme an einer Umfrage oder einem Quiz sind nichts neues im Internet. Wenn man ein Quiz zu Scams aufsetzt, ist das sogar eine feine Sache und gehört in ein Security-Awareness-Training. Einige Cyberkriminelle scheinen die alten Betrügereien nun aber aufzuwärmen und verschicken eine Einladung zu einem Quiz per E-Mail-Scam. Diese Art der Quiz-Scams haben sich im vergangenen Jahr weit verbreitet. Dabei handelt es sich um Betrugsseiten, die sich als legitime Unternehmen ausgeben und den Benutzern einen gefälschten Preis anbieten, wenn sie im Gegenzug mehrere Fragen beantworten und einige persönliche Informationen weitergeben. Die Betrüger nutzen Methoden zur Suchmaschinenoptimierung (SEO), um ihre Phishing-Webseiten an die Spitze der Suchergebnisse zu bringen wodurch zusätzlich Legitimität vorgetuscht wird.
Sicherheitsforscher des Security-Herstellers Akamai haben im Verlauf des vergangenen Jahres vermehrt Quiz-Scams entdeckt. Sie verfolgten 1.161 Webseiten mit Quiz-Betrügereien, die bislang mehr als fünf Millionen Opfer auf der ganzen Welt anlockten. Sie fanden darüber hinaus heraus, dass mehr als 80 Prozent dieser Webseiten von Sicherheitssystemen nicht als bösartig erkannt wurden. Die Forscher glauben, dass das darauf zurückzuführen ist, dass die Betrüger in den meisten Fällen hinter allgemeineren persönlichen Informationen wie E-Mail-Adressen, Namen und Wohnadressen her sind, anstatt direkt zu versuchen, die Zugangsdaten der Opfer zu stehlen oder Malware zu verbreiten.
Die wichtigste Erklärung für die niedrige Erkennungsraten ist, dass sich der Betrug in vielen Fällen auf Informationen konzentriert, die nicht eindeutig wertvoll sind oder in einigen Fällen nicht als wichtig betrachtet werden. Resultierend daraus werden die Scams von den Nutzern seltener erkannt und gemeldet – und somit auch seltener gestoppt. Unternehmen werden derweil von einem Ansturm von Malware-Kampagnen, Datenverstößen und Angriffen auf Webanwendungen heimgesucht – ständige Brände mit hoher Priorität, die gelöscht werden müssen – daher ist es leicht zu verstehen, warum Betrügereien wie die geschilderte, die sich auf meist nicht sensible Informationen konzentrieren, übersehen werden. Die Forscher betonen, dass diese Informationen zwar harmlos erscheinen, dass sie aber verkauft werden können, um sie für gezieltere Social-Engineering-Angriffe zu verwenden.
Phishing hat sich nach Ansicht der Forscher von der ausschließlichen Konzentration auf den Missbrauch von Berechtigungsnachweisen und Drive-by-Downloads zu einer lukrativeren Art von Angriffen entwickelt, bei denen es sich bei der gestohlenen Ware um persönliche Informationen handeln kann, die in Analyse- und Datenmärkten verwendet oder für gezieltere böswillige Aktivitäten verwendet werden. Darüber hinaus bietet das Internet auch die Möglichkeit, Einnahmen über Werbung und den damit verbundenen Verkehr zu den Betrugswebsites zu generieren. Wenn Cyberkriminelle diese Möglichkeiten erst einmal weit verbreitet ausnutzen, werden sie indirekt von den Kräften belohnt, die das Internet selbst antreiben.
Unternehmen können sich und ihre Mitarbeiter jedoch vor solchen Quiz-Scams schützen. Einerseits gibt es technologische Möglichkeiten, andererseits aber auch organisatorische, die auf das Sicherheitsbewusstsein des Menschen setzen. Investitionen in den Aufbau einer menschlichen Firewall zahlen sich aus, vor allem, wenn sie den Wissenstransfer per Gamification-Ansatz durchführen. Das hat den Nebeneffekt, dass jemand, der bereits Fragen von einem Quiz zur Security-Awareness beantwortet hat, wahrscheinlich wenig motiviert ist, auch noch auf einen Scam mit einer Einladung zu einem anderen Quiz zu reagieren, zumal er dann weiß, auf welche Warnzeichen er achten muss.
#KnowBe4
