Black-Friday – Phishing-Gefahr durch verlockende Angebote

Der Anbieter der weltweit größten Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, KnowBe4, warnt vor Betrugsmaschen im Vorfeld des „Black Friday“ am 26. November. Forschern des Anbieters zufolge berichteten 30 Prozent der Menschen in den USA, eine Phishing-Nachricht rund um den Black-Friday im Jahr 2020 erhalten zu haben. Da der Black-Friday auch hierzulande immer bekannter wird, setzen viele Einzel- und Onlinehändler auf Angebote, um ihr Weihnachtsgeschäft anzukurbeln.

„Ein Drittel der US-Verbraucher (30 Prozent) gab an, letztes Jahr rund um den Black Friday eine Phishing-E-Mail erhalten zu haben, entweder per E-Mail oder SMS“, schreiben die Forscher von Tessian. „Die Verbraucher rechnen damit, in dieser Zeit mehr Marketing- und Werbe-E-Mails von Einzelhändlern zu erhalten, in denen diese ihre Angebote anpreisen, sowie Updates zu ihren Bestellungen und Benachrichtigungen über Lieferungen. Die Posteingänge sind voller als normalerweise, und das macht es Cyberkriminellen leichter, ihre bösartigen Nachrichten unter die vielen Nachrichten zu mischen. Zudem können Angreifer ihre als spezielle Sonderangebote getarnten Nachrichten ideal als Köder nutzen, denn die Empfänger rechnen in dieser Zeit mit derartigen Nachrichten. Wenn die E-Mail den Anschein erweckt, als käme sie von einem herkömmlichen Anbieter und wenn auch die E-Mail-Adresse seriös wirkt, dann ist die Wahrscheinlichkeit groß, dass der Leser auf bösartige Links klickt. Diese Links führen umgehend zu gefälschten Websites oder laden schädliche Anhänge herunter.“

Tessian weist auch darauf hin, dass die Mitarbeiter von Einzelhändlern in der geschäftigsten Zeit des Jahres besonders auf Phishing-Angriffe achten sollten. „Es sind nicht nur die Verbraucher, die vorsichtig sein müssen“, sagt Tessian. „Die Angestellten im Einzelhandel sind in dieser Zeit beschäftigter und abgelenkter denn je, denn sie müssen Hunderte von Bestellungen bearbeiten, Tausende von Kundenanfragen beantworten und überwältigende Verkaufsziele erreichen. Cyberkriminelle nutzen das zu ihrem Vorteil und verfassen ausgeklügelte Phishing-E-Mails und geschickt formulierte Social-Engineering-Nachrichten. Sie gehen davon aus, dass gestresste Mitarbeiter Anzeichen eines Betrugsversuchs nicht wahrnehmen und der Aufforderung der kriminellen Akteure nachkommen.“

Tessian rät Arbeitgebern dafür zu sorgen, dass ihre Mitarbeiter diese Art von Angriffen erkennen können. „Sicherheitsverantwortliche im Einzelhandel teilten uns mit, sie seien nicht zu 100 Prozent davon überzeugt, dass ihre Mitarbeiter die Betrugsversuche erkennen können, die während dieser geschäftigen Zeit in ihrem Posteingang landen“, schreiben die Forscher. „Die Sensibilisierung für diese Betrugsversuche und die Bereitstellung von fundierten Handlungsratschlägen für den Umgang mit Phishing-E-Mails entscheiden darüber, ob ein Mitarbeiter auf den Link klickt und seine Anmeldedaten weitergibt oder ob er angemessen reagiert.“

 

Security-Awareness als Schlüssel zur Verteidigung gegen Phishing-Kampagnen

Jelle Wieringa, Security Awareness Advocate bei KnowBe4

„Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security-Awareness-Training für die Mitarbeiter anzubieten. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen die Benutzer hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren“, sagt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.

Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material ist notwendig, damit die Botschaft verinnerlicht und nicht nur oberflächlich behandelt und schnell vergessen wird. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der geglückten Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.

Benutzer, die ein Sicherheitstraining absolvieren, fallen weitaus seltener auf Phishing-Angriffe herein, ganz gleich, wie treffsicher die Nachahmung ist. Indem sie ganz bewusst unerwartete
E-Mails auf Absenderangaben, Inhalt, Art der Anfrage und Branding prüfen, ist es ihnen möglich, nahezu jeden Phishing-Angriff einfach zu identifizieren.

#KnowBe4