Anzeige

Anzeige

VERANSTALTUNGEN

OMX 2018
22.11.18 - 22.11.18
In Salzburg, Österreich

SEOkomm 2018
23.11.18 - 23.11.18
In Salzburg, Österreich

Blockchain Business Summit
03.12.18 - 03.12.18
In Nürnberg

Cyber Risk Convention
05.12.18 - 05.12.18
In Köln

IT-Tage 2018
10.12.18 - 13.12.18
In Frankfurt

Anzeige

Anzeige

Anzeige

Black Friday

Barracuda verzeichnet Massen-Phishing-Angriffe, die populäre E-Commerce- und Marken-Websites fälschen, um Nutzerinformationen zu stehlen. Ein Kommentar von Wieland Alge, Vice President & General Manager EMEA, Barracuda Networks, zum sogenannten Black Friday beziehungsweise Cyber Monday.

„Black Friday“ und „Cyber Monday“ stehen vor der Tür und die Shopping-Schlacht beginnt. Doch während Onlinekäufer auf der Jagd nach Schnäppchen sind, locken Cyberkriminelle mit kreativen Betrügereien. Derzeit finden Massen-Phishing-Angriffe statt, die sich den Eifer der Onlinekunden zunutze machen: Bei den Attacken geben sich Kriminelle als bekannte Marken und Onlinehändler wie Amazon, Michael Kors, Ray-Ban oder Pandora aus, um Nutzer dazu zu verleiten, persönliche Daten preiszugeben.

Die Marken und Händler sind jedoch weniger wichtig als die Taktik der Angreifer, da Kriminelle rasch die gefälschten Absender wechseln. Zu tausenden werden bösartige E-Mails versendet, die zeitlich begrenzte Angebote und Geschenkgutscheine versprechen und auf gefälschte Websites weiterleiten. Ziel ist es, Nutzer dazu zu bringen, sich zu registrieren oder sich in den gefälschten Onlineshop einzuloggen. So können Kriminelle Zugangsdaten stehlen, Kreditkarteninformationen und persönliche Daten abgreifen oder den Einkaufsverlauf eines Nutzers für zukünftige Social Engineering-Angriffe ausspionieren.

Mit den folgenden drei kombinierten Methoden locken Angreifer ihre Opfer:

  • Phishing: Angreifer versenden riesige Mengen an E-Mails mit gefälschten Kaufangeboten
  • Imitation/Brand Hijacking: Cyber-Kriminelle imitieren bekannte Marken und E-Commerce-Shops
  • Spoofing: Websites werden gefälscht, um wie die echte Marken- oder E-Commerce-Website zu erscheinen und Nutzerdaten abzugreifen

Perfide aufgebaute Emails: Es reicht meist ein Klick
Die jeweilige Bedrohung ist nur von kurzer Dauer, da die gefälschten Websites häufig abgebaut und neue Angriffe unter anderen Domains gestartet werden. Darüber hinaus sind die gefälschten Emails schlau ausgeführt: Angreifer betten bösartige Domain-Hyperlinks in jeden Teil der E-Mail ein, einschließlich aller Bilder und Texte. So reicht ein Klick, um auf bösartige Webseiten weitergeleitet zu werden. Auch wenn diese nicht mit den Original-Webseiten identisch sind, rechnen die Angreifer damit, dass die meisten Verbraucher nicht direkt von den jeweiligen Marken kaufen und die Fälschung deshalb nicht erkennen.

E-Mail-Angriffe fallen häufig durchs Sicherheitsraster

Die meisten E-Mail-Sicherheitslösungen werden diese Phishing-Angriffe nicht blockieren, da Kriminelle Kurz-URL-Dienste und Umleitungen verwenden. Angreifer nutzen die Tatsache, dass Sicherheitslösungen die meisten Kurz-URL-Dienste nicht blockieren. Durch Umleitungen wirkt es zudem so, als würden Benutzer keine bösartigen Websites besuchen.

Sicherheitstipps zur aktuellen „Black Friday“- und „Cyber Monday“-Phishing-Welle

  • Vorsicht bei Werbe-E-Mails: Klicken Sie bei Angeboten nicht auf Links in der E-Mail, sondern gehen Sie direkt auf die gewünschte Seite und suchen Sie nach dem Produktangebot.
     
  • Überprüfen Sie das Zertifikat in der linken Ecke der Website: Überprüfen Sie, ob es mit der jeweiligen Website übereinstimmt.
     
  • Vergewissern Sie sich, wenn Sie sich einloggen, registrieren oder persönliche Informationen eingeben, dass die Website sicher ist: Sie können dies im Internet-Browser kurz vor der URL überprüfen. Diese zeigt "Sichere Verbindung" in Grün an.
     
  • Gleiten Sie mit der Maus über jeden Hyperlink, um sicherzustellen, dass er legitim aussieht.
     
  • Vergleichen und verifizieren Sie Websites, in dem sie die gewünschte Seite über eine Suchmaschine neu aufrufen.
     
  • E-Mail-Sicherheitslösung: Verwenden Sie eine E-Mail-Sicherheitslösung, die Sandboxing und einen erweiterten Schutz vor Bedrohungen bietet. Diese sollte Spam, Phishing-Angriffe und Malware blockieren, bevor sie den Mailserver oder Posteingang der Benutzer erreicht. Darüber hinaus können diese Lösungen mit Link Protection einen Anti-Phishing-Schutz bereitstellen, um nach Links zu Webseiten zu suchen, die bösartigen Code enthalten. Links zu kompromittierten Websites werden blockiert, auch wenn diese Links im Inhalt eines Dokuments versteckt sind.
     
  • Benutzerschulung in Unternehmen: Generell sollten Mitarbeiter regelmäßig geschult und getestet werden, um ihr Sicherheitsbewusstsein für verschiedene Angriffe wie diese Phishing-Versuche zu erhöhen. Simuliertes Angriffstraining ist bei weitem die effektivste Form des Trainings.

www.barracuda.com
 

GRID LIST
Drohne

Gefährdung der IT-Sicherheit durch Drohnen

NTT Security (Germany), das auf Sicherheit spezialisierte Unternehmen und „Security…
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

E-Mail-Sicherheit in der Praxis weiterhin vernachlässigt

Vor einigen Wochen veröffentlichte das BSI (Bundesamt für Sicherheit in der…
Wurm

30-jähriges Jubiläum des Morris-Wurms - Nehmen wir die Cyber Security ernst?

Am 2. November 2018 sind 30 Jahre seit der Verbreitung des berüchtigten Morris-Wurms…
GandCrab

Bitdefender entschlüsselt Ransomware GandCrab

Bitdefender hat ein Entschlüsselungswerkzeug für neueste Versionen der…
Advanced Persistent Threats

APT-Attacken: Erkennungsverfahren zur zuverlässigen Abwehr

Advanced Persistent Threats (APT) gehören zu den größten Gefahren in der IT. Dabei…
Hacker

Comment Crew: Ein alter Bekannter oder sind Nachahmer unterwegs?

Vor fünf Jahren wurde publik, dass eine chinesische Hackergruppe namens APT1 oder Comment…
Smarte News aus der IT-Welt