Anzeige

Black Friday

KnowBe4 warnt vor Betrugsmaschen im Vorfeld des „Black Friday“ am 26. November. Forschern des Anbieters zufolge berichteten 30 Prozent der Menschen in den USA, eine Phishing-Nachricht rund um den Black Friday im Jahr 2020 erhalten zu haben.

Da der Black Friday auch hierzulande immer bekannter wird, setzen viele Einzel- und Onlinehändler auf Angebote, um ihr Weihnachtsgeschäft anzukurbeln.

„Ein Drittel der US-Verbraucher (30 Prozent) gab an, letztes Jahr rund um den Black Friday eine Phishing-E-Mail erhalten zu haben, entweder per E-Mail oder SMS“, schreiben die Forscher von Tessian. „Die Verbraucher rechnen damit, in dieser Zeit mehr Marketing- und Werbe-E-Mails von Einzelhändlern zu erhalten, in denen diese ihre Angebote anpreisen, sowie Updates zu ihren Bestellungen und Benachrichtigungen über Lieferungen. Die Posteingänge sind voller als normalerweise, und das macht es Cyberkriminellen leichter, ihre bösartigen Nachrichten unter die vielen Nachrichten zu mischen. Zudem können Angreifer ihre als spezielle Sonderangebote getarnten Nachrichten ideal als Köder nutzen, denn die Empfänger rechnen in dieser Zeit mit derartigen Nachrichten. Wenn die E-Mail den Anschein erweckt, als käme sie von einem herkömmlichen Anbieter und wenn auch die E-Mail-Adresse seriös wirkt, dann ist die Wahrscheinlichkeit groß, dass der Leser auf bösartige Links klickt. Diese Links führen umgehend zu gefälschten Websites oder laden schädliche Anhänge herunter.“

Tessian weist auch darauf hin, dass die Mitarbeiter von Einzelhändlern in der geschäftigsten Zeit des Jahres besonders auf Phishing-Angriffe achten sollten. „Es sind nicht nur die Verbraucher, die vorsichtig sein müssen“, sagt Tessian. „Die Angestellten im Einzelhandel sind in dieser Zeit beschäftigter und abgelenkter denn je, denn sie müssen Hunderte von Bestellungen bearbeiten, Tausende von Kundenanfragen beantworten und überwältigende Verkaufsziele erreichen. Cyberkriminelle nutzen das zu ihrem Vorteil und verfassen ausgeklügelte Phishing-E-Mails und geschickt formulierte Social-Engineering-Nachrichten. Sie gehen davon aus, dass gestresste Mitarbeiter Anzeichen eines Betrugsversuchs nicht wahrnehmen und der Aufforderung der kriminellen Akteure nachkommen.“

Tessian rät Arbeitgebern dafür zu sorgen, dass ihre Mitarbeiter diese Art von Angriffen erkennen können. „Sicherheitsverantwortliche im Einzelhandel teilten uns mit, sie seien nicht zu 100 Prozent davon überzeugt, dass ihre Mitarbeiter die Betrugsversuche erkennen können, die während dieser geschäftigen Zeit in ihrem Posteingang landen“, schreiben die Forscher. „Die Sensibilisierung für diese Betrugsversuche und die Bereitstellung von fundierten Handlungsratschlägen für den Umgang mit Phishing-E-Mails entscheiden darüber, ob ein Mitarbeiter auf den Link klickt und seine Anmeldedaten weitergibt oder ob er angemessen reagiert.“

Security Awareness als Schlüssel zur Verteidigung gegen Phishing-Kampagnen

„Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes Security Awareness Training für die Mitarbeiter anzubieten. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind. Das Ziel der Trainings ist, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst werden sogenannte Baseline-Tests durchgeführt, die es ermöglichen, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. Zudem sollte man herausfinden, auf welche Art von Angriffen die Benutzer hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren“, sagt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.

Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material ist notwendig, damit die Botschaft verinnerlicht und nicht nur oberflächlich behandelt und schnell vergessen wird. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der geglückten Phishing-Angriffe auf das Unternehmen kann durch ein solches Training sehr stark reduziert werden und neben den technischen Sicherheitsoptionen können die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.

Benutzer, die ein Sicherheitstraining absolvieren, fallen weitaus seltener auf Phishing-Angriffe herein, ganz gleich, wie treffsicher die Nachahmung ist. Indem sie ganz bewusst unerwartete E-Mails auf Absenderangaben, Inhalt, Art der Anfrage und Branding prüfen, ist es ihnen möglich, nahezu jeden Phishing-Angriff einfach zu identifizieren.

www.knowbe4.com
 


Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.