Black Friday

Der Black Friday und der Cyber Monday werden auch in Deutschland immer wichtiger. Doch wer als Kunde schnell ein Schnäppchen machen oder als Anbieter seine Produkte möglichst effizient verkaufen will, wird leicht zum Opfer von Cyberkriminellen. So fangen sich Verbraucher Ransomware ein oder Händler Denial-of-Service (DoS)-Angriffe.

Einer der bemerkenswertesten Trends in diesem Jahr ist Formjacking. Dabei integrieren Cyberkriminelle bösartige Codes in Retail-Webseiten und stehlen Kreditkartendaten von Verbrauchern. Laut Application Protection Report 2019 von F5 Labs war diese Angriffsmethode für 71 Prozent der webbasierten Vorfälle im Jahr 2018 verantwortlich.

Da immer mehr Web-Anwendungen mit kritischen Komponenten wie Einkaufswagen, Kartenzahlungen, Werbung und Analysen verbunden werden, steigt die Gefahr für Anbieter. Dadurch stammt Code aus einer Vielzahl von Quellen – wobei sich die meisten außerhalb der Kontrolle des Unternehmens befinden. Da viele Websites dieselben Ressourcen von Drittanbietern nutzen, müssen Angreifer nur eine Komponente infiltrieren, um Daten von zahlreichen potenziellen Opfern zu erhalten.

Zudem bleibt Phishing ein Dauerbrenner. Für Angreifer ist es vergleichsweise einfach, eine Person zu täuschen, damit sie ihre Zugangsdaten herausgibt. Am schwierigsten ist dabei die Erstellung einer überzeugenden Betrugs-Mail. Die Studie von F5 Labs zeigt, dass Phishing nicht mehr so Saison-spezifisch und vorhersehbar ist wie bisher. Im vergangenen Jahr stiegen die Phishing-Angriffe zwischen Oktober und Januar noch um 50 Prozent. Inzwischen sind die Schwankungen nicht mehr so stark.

Tipps für Verbraucher

Trotz aller Begeisterung über Sonderangebote und Rabatte am Black Friday und Cyber Monday sollten Verbraucher folgende Tipps beherzigen:

  • Achten Sie auf offensichtliche Fallen. Kaufen Sie nicht über Suchmaschinen ein. Geben Sie manuell vertrauenswürdige Websites ein. Prüfen Sie die Seiten auf Formulierungs- oder Formatierungsfehler, die auf eine Fälschung hinweisen.
  • Sicher surfen. Kaufen Sie nur auf verschlüsselten Seiten ein, die das Präfix „https“ und ein Vorhängeschloss-Symbol im Browser zeigen.
  • Vorsicht vor trügerischer Sicherheit. Der F5 Labs 2019 Phishing and Fraud Report ergab, dass bis zu 71 Prozent der Phishing-Websites über HTTPS als legitim erscheinen. Am häufigsten gefälscht werden die Marken Facebook, Microsoft Office Exchange und Apple.
  • Erst denken, dann klicken. Phisher versenden oft überzeugende E-Mails mit der Bitte um persönliche oder finanzielle Daten – das würden vertrauenswürdige Unternehmen nicht. Laut Phishing and Fraud Report enthalten Phishing-E-Mails dreimal häufiger einen bösartigen Link als einen Anhang. Gefährlich ist beides.
  • Hinterhältige Transaktionen. Seien Sie vorsichtig, wenn eine Zahlung über Drittanbieter gefordert wird. Wenden Sie sich im Zweifelsfall an den Händler.

Tipps für Händler

Einzelhändler müssen sowohl ihre Prozesse als auch die Kunden schützen. Sonst drohen erhebliche Kosten. Gemäß dem IBM Cost of a Data Breach Report 2019 liegen die weltweiten durchschnittlichen Kosten für einen Vorfall im Einzelhandel bei 119 US-Dollar pro Datensatz. Daher sollten Händler folgende Sicherheitsmaßnahmen einsetzen:

  • Betrugsschutz. Nutzen Sie Lösungen, die Unstimmigkeiten bei Transaktionen erkennen, zum Beispiel die Verwendung der Kreditkarte eines Stammkunden auf einem ausländischen Gerät.
  • Verifizierung. Multifaktor-Authentifizierung sollte auf jedem System implementiert werden, das mit wichtigen Ressourcen verbunden ist. Im Idealfall kann Verschlüsselung bei Anwendungen TLS/SSL ergänzen, um die Vertraulichkeit auf Browserebene zu wahren. Durch verbesserte Transparenz und Kontrolle auf der Anwendungsschicht lassen sich verteilte und polymorphe Gefahren reduzieren.
  • Schützen Sie die Verbraucher. Angreifer suchen nach schlecht geschützten Systemen. Tokenisierung und In-App-Verschlüsselung können persönliche und finanzielle Daten während des Checkout-Prozesses absichern.
  • Erstellen Sie ein Inventar der Web-Anwendungen. Dies sollte eine gründliche Prüfung von Drittanbieter-Inhalten umfassen. Denn diese verlinken häufig auf andere Websites mit geringeren Sicherheitskontrollen.
  • Prüfung auf Schwachstellen. Händler erkennen zunehmend die Bedeutung externer Scans, um die Perspektive der Angreifer zu erhalten. Dies ist vor allem wichtig, wenn Kunden große Mengen an Content sammeln.
  • Überwachen Sie Code-Änderungen. Unabhängig davon, wo Code gehostet wird oder ob neue Schwachstellen entstehen, müssen Händler informiert bleiben. Daher sollten sie sich über Änderungen bei GitHub und AWS S3 Buckets sowie nativen Code-Repositories informieren.
  • Implementieren Sie Webfilter. Diese verhindern, dass Benutzer versehentlich Phishing-Seiten besuchen. Wenn sie auf einen entsprechenden Link klicken, blockiert die Lösung den ausgehenden Datenverkehr.
  • Überprüfen Sie den verschlüsselten Datenverkehr auf Malware. Der Traffic von Malware, die über verschlüsselte Tunnel mit Command- und Control-Servern kommuniziert, ist während der Übertragung ohne Entschlüsselungsgateway nicht erkennbar. Daher ist es wichtig, den internen Datenverkehr zu entschlüsseln, bevor er an die Tools zur Erkennung von Schadsoftware gesendet wird.
  • Hinweise ermöglichen. Händler sollten Nutzern eine schnelle Methode bieten, mit der sie vermutete Phishing-Mails kennzeichnen und an Sicherheitsexperten weiterleiten können.

Mit diesen Vorsichtsmaßnahmen tragen Konsumenten und Händler ihren Teil dazu bei, nicht nur am Black Friday und Cyber Monday Angriffe zu verhindern.

Ralf Sydekum, Technical Manager DACH
Ralf Sydekum
Technical Manager DACH, F5 Networks

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…
Smart Home Security

Tipps für mehr Sicherheit im Smart Home

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen.
Malware

Top Malware für Januar 2020: Corona-Virus als Spam

Check Point Research (NASDAQ: CHKP), hat seinen Global Threat Index für Januar 2020 veröffentlicht. Die Experten berichten, dass Emotet bereits im vierten Monat in Folge die führende Malware ist und sich derzeit mit der Hilfe einer Spam-Kampagne zum…
Herzen

Saisonale Betrügereien: Ausgabe Valentinstag

Romantische, aber auch das Vertrauen brechende Betrügereien verursachen sowohl emotionale als auch finanzielle Schmerzen. Ein Statement von Jelle Wieringa, Security Awareness Advocate bei KnowBe4.
Tb W250 H150 Crop Int 1f22abfe6e08d1f054b6663556039815

Phishing und Malware: Coronavirus auch per E-Mail gefährlich

Täglich tauchen Meldungen zu neuen Infektionsfällen mit dem grassierenden Coronavirus auf. Die Bilder von abgeriegelten Städten und Menschen in Quarantäne zeichnen ein Schreckensszenario. Doch nicht nur in der analogen Welt ist das Virus ein Risiko: Die…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!