Aktuelles, Branche - geschrieben von dp am Mittwoch, November 17, 2021 14:44 - noch keine Kommentare
Black Friday: Zunahme von Betrugsversuchen zu erwarten
KnowBe4 warnt aktuell vor Betrugsmaschen im Vorfeld des Black Friday am 26. November 2021
[datensicherheit.de, 16.11.2021] KnowBe4 warnt aktuell vor Betrugsmaschen im Vorfeld des „Black Friday“ am 26. November 2021. Forschern des Anbieters zufolge berichteten 30 Prozent der Menschen in den USA, eine Phishing-Nachricht rund um den „Black Friday“ im Jahr 2020 erhalten zu haben. Da dieser Sonderverkaufstag auch hierzulande immer bekannter werde, setzten viele Einzel- und Online-Händler auf Angebote, um ihr Weihnachtsgeschäft anzukurbeln.
Posteingänge voller als normalerweise – das erleichtert es Cyber-Kriminellen, Betrugsversuche zu platzieren
„Ein Drittel der US-Verbraucher (30%) gab an, letztes Jahr rund um den ,Black Friday‘ eine Phishing-Nachricht erhalten zu haben, entweder per E-Mail oder SMS“, so TESSIAN-Forscher. Verbraucher rechneten damit, in dieser Zeit mehr Marketing- und Werbe-E-Mails von Einzelhändlern zu erhalten, in denen diese ihre Angebote anpriesen, sowie Updates zu ihren Bestellungen und Benachrichtigungen über Lieferungen. Die Posteingänge seien voller als normalerweise – und das mache es Cyber-Kriminellen leichter, ihre bösartigen Nachrichten unter die vielen Nachrichten zu mischen.
Zudem könnten Angreifer ihre als spezielle Sonderangebote getarnten Nachrichten ideal als Köder nutzen, denn die Empfänger rechneten in dieser Zeit ja mit derartigen Nachrichten. „Wenn die E-Mail den Anschein erweckt, als käme sie von einem herkömmlichen Anbieter, und wenn auch die E-Mail-Adresse seriös wirkt, dann ist die Wahrscheinlichkeit groß, dass der Leser auf bösartige Links klickt. Diese Links führen umgehend zu gefälschten Websites oder laden schädliche Anhänge herunter.“
TESSIAN rät Einzelhändlern, in der geschäftigsten Zeit des Jahres besonders auf Betrugs zu achten
TESSIAN weise auch darauf hin, dass die Mitarbeiter von Einzelhändlern in der geschäftigsten Zeit des Jahres besonders auf Phishing-Angriffe achten sollten: „Es sind nicht nur die Verbraucher, die vorsichtig sein müssen!“ Die Angestellten im Einzelhandel seien in dieser Zeit beschäftigter und abgelenkter denn je, denn sie müssten Hunderte von Bestellungen bearbeiten, Tausende von Kundenanfragen beantworten und überwältigende Verkaufsziele erreichen.
Cyber-Kriminelle nutzten dies zu ihrem Vorteil und verfassten ausgeklügelte Phishing-E-Mails und geschickt formulierte Social-Engineering-Nachrichten. „Sie gehen davon aus, dass gestresste Mitarbeiter Anzeichen eines Betrugsversuchs nicht wahrnehmen und der Aufforderung der kriminellen Akteure nachkommen.“
Sensibilisierung für Betrugsversuche und Bereitstellung fundierter Handlungsratschläge
TESSIAN rate Arbeitgebern dafür zu sorgen, dass ihre Mitarbeiter diese Art von Angriffen erkennen könnten. „Sicherheitsverantwortliche im Einzelhandel teilten uns mit, sie seien nicht zu 100 Prozent davon überzeugt, dass ihre Mitarbeiter die Betrugsversuche erkennen können, die während dieser geschäftigen Zeit in ihrem Posteingang landen“, schrieben die Forscher.
Die Sensibilisierung für diese Betrugsversuche und die Bereitstellung von fundierten Handlungsratschlägen für den Umgang mit Phishing-E-Mails entschieden darüber, „ob ein Mitarbeiter auf den Link klickt und seine Anmeldedaten weitergibt oder ob er angemessen reagiert“.
Jelle Wieringa empfiehlt umfassendes Security Awareness Training für die Mitarbeiter
Security Awareness zur Verteidigung gegen Betrug per Phishing-Kampagnen
„Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes ,Security Awareness Training‘ für die Mitarbeiter anzubieten. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind“, erläutert Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, in seiner Stellungnahme.
Das Ziel solcher Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst würden sogenannte Baseline-Tests durchgeführt, die es ermöglichten, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. „Zudem sollte man herausfinden, auf welche Art von Angriffen die Benutzer hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren“, so Wieringa.
Mitarbeiter als menschliche Firewall gegen Cyber-Betrug schulen
Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material sei notwendig, damit die Botschaft verinnerlicht und nicht nur oberflächlich behandelt und schnell vergessen werde. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der geglückten Phishing-Angriffe auf das Unternehmen könne durch ein solches Training sehr stark reduziert werden – und neben den technischen Sicherheitsoptionen könnten die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.
Wieringa: „Benutzer, die ein Sicherheitstraining absolvieren, fallen weitaus seltener auf Phishing-Angriffe herein, ganz gleich, wie treffsicher die Nachahmung ist. Indem sie ganz bewusst unerwartete E-Mails auf Absenderangaben, Inhalt, Art der Anfrage und Branding prüfen, ist es ihnen möglich, nahezu jeden Phishing-Angriff einfach zu identifizieren.“
Weitere Informationen zum Thema:
TESSIAN, Charles Brook, 04.11.2021
Spear Phishing / Cybercriminals To Impersonate Delivery Firms in Black Friday Phishing Scams
datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten
Aktuelles, Experten - Nov 22, 2024 18:30 - noch keine Kommentare
Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
weitere Beiträge in Experten
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
Aktuelles, Branche - Nov 23, 2024 11:35 - noch keine Kommentare
Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
weitere Beiträge in Branche
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
- Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren