Black Friday: Zunahme von Betrugsversuchen zu erwarten

KnowBe4 warnt aktuell vor Betrugsmaschen im Vorfeld des Black Friday am 26. November 2021

[datensicherheit.de, 16.11.2021] KnowBe4 warnt aktuell vor Betrugsmaschen im Vorfeld des „Black Friday“ am 26. November 2021. Forschern des Anbieters zufolge berichteten 30 Prozent der Menschen in den USA, eine Phishing-Nachricht rund um den „Black Friday“ im Jahr 2020 erhalten zu haben. Da dieser Sonderverkaufstag auch hierzulande immer bekannter werde, setzten viele Einzel- und Online-Händler auf Angebote, um ihr Weihnachtsgeschäft anzukurbeln.

Posteingänge voller als normalerweise – das erleichtert es Cyber-Kriminellen, Betrugsversuche zu platzieren

„Ein Drittel der US-Verbraucher (30%) gab an, letztes Jahr rund um den ,Black Friday‘ eine Phishing-Nachricht erhalten zu haben, entweder per E-Mail oder SMS“, so TESSIAN-Forscher. Verbraucher rechneten damit, in dieser Zeit mehr Marketing- und Werbe-E-Mails von Einzelhändlern zu erhalten, in denen diese ihre Angebote anpriesen, sowie Updates zu ihren Bestellungen und Benachrichtigungen über Lieferungen. Die Posteingänge seien voller als normalerweise – und das mache es Cyber-Kriminellen leichter, ihre bösartigen Nachrichten unter die vielen Nachrichten zu mischen.
Zudem könnten Angreifer ihre als spezielle Sonderangebote getarnten Nachrichten ideal als Köder nutzen, denn die Empfänger rechneten in dieser Zeit ja mit derartigen Nachrichten. „Wenn die E-Mail den Anschein erweckt, als käme sie von einem herkömmlichen Anbieter, und wenn auch die E-Mail-Adresse seriös wirkt, dann ist die Wahrscheinlichkeit groß, dass der Leser auf bösartige Links klickt. Diese Links führen umgehend zu gefälschten Websites oder laden schädliche Anhänge herunter.“

TESSIAN rät Einzelhändlern, in der geschäftigsten Zeit des Jahres besonders auf Betrugs zu achten

TESSIAN weise auch darauf hin, dass die Mitarbeiter von Einzelhändlern in der geschäftigsten Zeit des Jahres besonders auf Phishing-Angriffe achten sollten: „Es sind nicht nur die Verbraucher, die vorsichtig sein müssen!“ Die Angestellten im Einzelhandel seien in dieser Zeit beschäftigter und abgelenkter denn je, denn sie müssten Hunderte von Bestellungen bearbeiten, Tausende von Kundenanfragen beantworten und überwältigende Verkaufsziele erreichen.
Cyber-Kriminelle nutzten dies zu ihrem Vorteil und verfassten ausgeklügelte Phishing-E-Mails und geschickt formulierte Social-Engineering-Nachrichten. „Sie gehen davon aus, dass gestresste Mitarbeiter Anzeichen eines Betrugsversuchs nicht wahrnehmen und der Aufforderung der kriminellen Akteure nachkommen.“

Sensibilisierung für Betrugsversuche und Bereitstellung fundierter Handlungsratschläge

TESSIAN rate Arbeitgebern dafür zu sorgen, dass ihre Mitarbeiter diese Art von Angriffen erkennen könnten. „Sicherheitsverantwortliche im Einzelhandel teilten uns mit, sie seien nicht zu 100 Prozent davon überzeugt, dass ihre Mitarbeiter die Betrugsversuche erkennen können, die während dieser geschäftigen Zeit in ihrem Posteingang landen“, schrieben die Forscher.
Die Sensibilisierung für diese Betrugsversuche und die Bereitstellung von fundierten Handlungsratschlägen für den Umgang mit Phishing-E-Mails entschieden darüber, „ob ein Mitarbeiter auf den Link klickt und seine Anmeldedaten weitergibt oder ob er angemessen reagiert“.

Foto: KnowBe4

Jelle Wieringa empfiehlt umfassendes Security Awareness Training für die Mitarbeiter

Security Awareness zur Verteidigung gegen Betrug per Phishing-Kampagnen

„Die effektivste Maßnahme zur Vorbeugung solcher Angriffe ist, ein umfassendes ,Security Awareness Training‘ für die Mitarbeiter anzubieten. Grundsätzlich wird hierbei versucht, mithilfe von simulierten Phishing-Mails zu testen, wie aufmerksam die Mitarbeiter sind“, erläutert Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, in seiner Stellungnahme.
Das Ziel solcher Trainings sei es, eine gesteigerte Sensibilisierung bezüglich der Gefahren und dem Erkennen solcher Attacken zu erreichen. Zunächst würden sogenannte Baseline-Tests durchgeführt, die es ermöglichten, den Anteil der für Phishing anfälligen Benutzer zu ermitteln. „Zudem sollte man herausfinden, auf welche Art von Angriffen die Benutzer hereinfallen und auf welche nicht, um entsprechende Daten zur Messung des eintretenden Trainingserfolgs zu generieren“, so Wieringa.

Mitarbeiter als menschliche Firewall gegen Cyber-Betrug schulen

Die Schulung der Benutzer mit interaktivem und ansprechendem On-Demand-Material sei notwendig, damit die Botschaft verinnerlicht und nicht nur oberflächlich behandelt und schnell vergessen werde. Weiterhin sollten die internen Schulungen monatlich wiederholt und auf einer Plattform gespeichert und analysiert werden, um die Inhalte zu vertiefen und den künftigen Lernprozess erfolgreich fortzusetzen. Die Anzahl der geglückten Phishing-Angriffe auf das Unternehmen könne durch ein solches Training sehr stark reduziert werden – und neben den technischen Sicherheitsoptionen könnten die Mitarbeiter somit als „menschliche Firewall“ geschult und eingesetzt werden.
Wieringa: „Benutzer, die ein Sicherheitstraining absolvieren, fallen weitaus seltener auf Phishing-Angriffe herein, ganz gleich, wie treffsicher die Nachahmung ist. Indem sie ganz bewusst unerwartete E-Mails auf Absenderangaben, Inhalt, Art der Anfrage und Branding prüfen, ist es ihnen möglich, nahezu jeden Phishing-Angriff einfach zu identifizieren.“

Weitere Informationen zum Thema:

TESSIAN, Charles Brook, 04.11.2021
Spear Phishing / Cybercriminals To Impersonate Delivery Firms in Black Friday Phishing Scams

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten