Anzeige

Geschenkkarten

Phishing-Angriffe, die auf Geschäfts-E-Mails abzielen, nehmen weiter zu. So sind zwei Drittel der E-Mail-Angriffe, die auf Unternehmen abzielen, gefälschte Geschenkgutscheinanfragen von vermeintlichen Kollegen oder gar des Geschäftsführers.

Breit angelegte Kampagnen werden bei Cyberkriminellen immer beliebter, da sie mit lukrativen Gewinnen besonders viele Opfer in die Falle locken und nur schwer nachzuverfolgen sind.

Geschenkgutscheinbetrug (Gift Card Fraud) ist keine neue Masche und trotz einer niedrigen Erfolgsrate schaffen es Kriminelle immer wieder, an das Geld ihrer Opfer zu gelangen. Dabei ist das Erfolgsrezept eigentlich sehr simpel: Hacker sprechen eine riesige Anzahl von Personen an und ein kleiner Prozentsatz wird reagieren. Oftmals basieren die Angriffe auf gefälschten Anfragen des Geschäftsführers oder vertrauenswürdiger Mitarbeiter. Die E-Mails beziehen sich beispielsweise auf Geschenke für Kollegen. Die Zielperson wird dann gebeten, Geschenkkarten – meist für Google Play, Steam Wallet, Amazon, Apple iTunes oder Walmart – zu kaufen und die Codes dann per E-Mail an den vermeintlichen Mitarbeiter zu senden.

Ein gerade veröffentlichter Bericht des E-Mail-Sicherheitsunternehmens Agari über E-Mail- und Identitätsbetrug kam zu der Erkenntnis, dass Geschenkgutscheinbetrug heute zwei Drittel der Angriffe auf Geschäfts-E-Mails (Business E-Mail Compromise, kurz BEC) ausmacht. Der durchschnittliche Betrag, der bei diesen Angriffen eingenommen wird, liegt bei etwa 1.500 US-Dollar, während ambitioniertere Angreifer sogar bis zu 5.000 US-Dollar erbeuten. Bemerkenswert bei Gift-Card-BEC-Angriffen ist, dass sie alle Mitarbeiter zum Ziel haben. Anstatt sich ausschließlich auf Finanz- oder Personalmitarbeiter zu konzentrieren, wie es bei anderen Formen von BEC-Angriffen der Fall ist, verkörpern Betrüger eine Vielzahl von Identitäten auf der Unternehmensleiter, um den Umfang ihrer Angriffe zu erweitern. So haben Cyberkriminelle aufgrund des Umfangs der Angriffe mehr Möglichkeiten, um an das Geld ihrer Opfer zu gelangen und das, obwohl die Erfolgsrate im Vergleich zu anderen Arten von BEC-Angriffen nicht höher zu sein scheint.

Die Angriffe bieten Cyberkriminellen auch den Vorteil der Anonymität, da es fast unmöglich ist, Geschenkkarten aufzuspüren, die zwar legal erworben wurden, deren Codes jedoch illegal verwendet werden. Die Angreifer können entweder die Codes, die sie kostenlos erhalten haben, für einen Gewinn verkaufen, wobei der Erlös durch den Tausch in Kryptowährung gewaschen wird. Alternativ könnten die Codes auch einfach zum Einkaufen verwendet werden. In einem von Agari analysierten Betrug im August 2018 zielte die afrikanische Hackergruppe Scarlet Widow auf eine australische Universität und betrog einen Administrator, der iTunes-Geschenkkarten im Wert von 1.800 US-Dollar kaufte und versandte. Das Opfer dachte, dass der Antrag vom Leiter der Finanzabteilung der Universität kam. Scarlet Widow verkaufte dann die Karten auf Paxful und wandelte die erhaltenen Bitcoins in Bargeld um, alles innerhalb von 139 Minuten. Diese moderne Form der Geldwäsche hat allerdings auch einen Nachteil: So liegt die Schwankungsbreite beispielsweise für iTunes-Karten zwischen 80 und 40 Cent pro Dollar, wenn man sie auf Plattformen wie Paxful verkauft.

Obwohl erfolgreich und auf dem Vormarsch, sind Gift Card BEC-Angriffe in der Regel einfache Phishing-Kampagnen, die theoretisch leicht zu bekämpfen wären. Eine simple Methode, sich vor diesen Angriffen zu schützen, besteht darin, bei einer Kaufanfrage einfach den vermeintlichen Absender der Mail zu verifizieren, um die Authentizität der Anfrage zu bestätigen. Unternehmen sollten auch das Bewusstsein dafür schärfen, dass die meisten Cyberangriffe heute nicht unbedingt technisch anspruchsvoll sind. Sie sollten daher einen Schwerpunkt auf die Erkennung solcher E-Mails legen und die Mitarbeiter für diese Art von nicht-technischen Social-Engineering-Angriffen sensibilisieren, beispielsweise über Trainings und Schulungen.

BEC-Betrügereien verursachen nach wie vor große finanzielle Verluste für Unternehmen - im vergangenen Jahr verloren allein US-Organisationen 1,3 Milliarden US-Dollar durch diese Angriffe.

www.8com.de
 


Weitere Artikel

Supply Chain

Größter deutscher Versicherer warnt vor Hackerattacken auf globale Lieferketten

Der zur Allianz gehörende Industrieversicherer AGCS warnt vor steigender Zahl von Onlineerpressungsangriffen auf die stockenden globalen Lieferketten wie unter anderem heise und die ZEIT berichteten.
Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.
Herzmonitor

Ransomware-Angriffe auf Krankenhäuser - Sind Leben in Gefahr?

Krankenhäuser in den USA wurden zuletzt verstärkt von Ransomware-Gruppen angegriffen. Statistische Berechnungen zeigen nun, dass dabei durchaus Gefahr für Leib und Leben besteht.
Bitcoin Smartphone

iPhone-Krypto-Betrug eskaliert nun auch in Europa

Neue Erkenntnisse von Sophos deuten darauf hin, dass der internationale Cyber-Betrug mit Kryptowährung eskaliert. Cyberkriminelle nutzen beliebte Dating-Apps wie Tinder und Bumble, um iPhones von arglosen Nutzern:innen für ihre betrügerischen Machenschaften…
Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.