Aktuelles, Branche - geschrieben von dp am Freitag, August 7, 2020 22:47 - noch keine Kommentare
Quiz-Betrügereien: Scams seltener gemeldet als andere Angriffsarten
Jelle Wieringa kommentiert als Quiz getarnte Phishing-Methode, welche sich seit 2019 wieder steigender Beliebtheit erfreut
[datensicherheit.de, 07.08.2020] Auf die Gefahr durch Quiz-Betrügereien geht Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme ein. Die betreffende Phishing-Methode habe sich 2019 wieder steigender Beliebtheit erfreut. Wieringa erläutert, weshalb sogenannte Quiz-Scams seltener gemeldet werden als andere Angriffsarten und dennoch ebenso gefährlich sein können.
Jelle Wieringa: Internetbetrug per Aufforderung zur Quiz-Teilnahme nichts Neues im Internet…
Cyber-Kriminelle wärmen alte Betrügereien auf und verschicken Quiz-Einladungen per E-Mail-Scam
Internetbetrug durch die Aufforderung zur Teilnahme an einer Umfrage oder einem Quiz seien nichts Neues im Internet. Wenn man etwa ein Quiz zu Scams aufsetzen würde, wäre dies sogar eine „feine Sache“ und gehöre in ein „Security Awareness“-Training. „Einige Cyber-Kriminelle scheinen die alten Betrügereien nun aber aufzuwärmen und verschicken eine Einladung zu einem Quiz per E-Mail-Scam. Diese Art der Quiz-Scams haben sich im vergangenen Jahr weit verbreitet“, berichtet Wieringa.
Dabei handele es sich um Betrugsseiten, die sich als legitime Unternehmen ausgäben und den Benutzern einen gefälschten Preis anböten, „wenn sie im Gegenzug mehrere Fragen beantworten und einige persönliche Informationen weitergeben“. Die Betrüger nutzten Methoden zur Suchmaschinenoptimierung (SEO), um ihre Phishing-Webseiten an die Spitze der Suchergebnisse zu bringen, wodurch zusätzlich Legitimität vorgetäuscht werde.
2019: 1.161 Webseiten mit Quiz-Betrügereien lockten mehr als fünf Millionen Opfer auf der ganzen Welt an
Sicherheitsforscher des Security-Herstellers Akamai hätten im Verlauf des vergangenen Jahres, 2019, vermehrt Quiz-Scams entdeckt. „Sie verfolgten 1.161 Webseiten mit Quiz-Betrügereien, die bislang mehr als fünf Millionen Opfer auf der ganzen Welt anlockten. Sie fanden darüber hinaus heraus, dass mehr als 80 Prozent dieser Webseiten von Sicherheitssystemen nicht als bösartig erkannt wurden“, so Wieringa.
Die Forscher glauben demnach, dass dies darauf zurückzuführen sei, „dass die Betrüger in den meisten Fällen hinter allgemeineren persönlichen Informationen wie E-Mail-Adressen, Namen und Wohnadressen her sind, anstatt direkt zu versuchen, die Zugangsdaten der Opfer zu stehlen oder Malware zu verbreiten“.
Bisher niedrige Erkennungsraten beim Quiz-Betrug
Die wichtigste Erklärung für die niedrige Erkennungsraten sei, dass sich der Betrug in vielen Fällen auf Informationen konzentriere, die nicht eindeutig wertvoll seien oder in einigen Fällen nicht als wichtig betrachtet würden. „Resultierend daraus werden die Scams von den Nutzern seltener erkannt und gemeldet – und somit auch seltener gestoppt.“
Unternehmen würden derweil von einem Ansturm von Malware-Kampagnen, Datenverstößen und Angriffen auf Webanwendungen heimgesucht – „ständige Brände mit hoher Priorität, die gelöscht werden müssen“ – daher sei es leicht zu verstehen, warum Betrügereien wie die geschilderte, die sich auf meist nicht sensible Informationen konzentrierten, übersehen würden. Die Forscher betonten, dass diese Informationen zwar harmlos erschienen, dass sie aber verkauft werden könnten, um sie für gezieltere „Social Engineering“-Angriffe zu verwenden.
Quiz-Betrug bietet Cyber-Kriminellen mehrfachen Nutzen
Phishing habe sich nach Ansicht der Forscher von der ausschließlichen Konzentration auf den Missbrauch von Berechtigungsnachweisen und Drive-by-Downloads zu einer lukrativeren Art von Angriffen entwickelt, bei denen es sich bei der gestohlenen Ware um persönliche Informationen handeln könne, die in Analyse- und Datenmärkten oder für gezieltere böswillige Aktivitäten verwendet würden.
Darüber hinaus biete das Internet auch die Möglichkeit, Einnahmen über Werbung und den damit verbundenen Verkehr zu den Betrugswebsites zu generieren. Wieringa: „Wenn Cyber-Kriminelle diese Möglichkeiten erst einmal weit verbreitet ausnutzen, werden sie indirekt von den Kräften belohnt, die das Internet selbst antreiben.“
Unternehmen können sich und ihre Mitarbeiter vor Quiz-Scams schützen
Unternehmen könnten sich und ihre Mitarbeiter jedoch vor solchen Quiz-Scams schützen. Einerseits gebe es technologische Möglichkeiten, andererseits aber auch organisatorische, welche auf das Sicherheitsbewusstsein des Menschen setzten.
Investitionen in den „Aufbau einer menschlichen Firewall“ zahlten sich aus, vor allem, wenn sie den Wissenstransfer per Gamification-Ansatz durchführten. Dies habe den Nebeneffekt, „dass jemand, der bereits Fragen von einem Quiz zur ,Security Awareness‘ beantwortet hat, wahrscheinlich wenig motiviert ist, auch noch auf einen Scam mit einer Einladung zu einem anderen Quiz zu reagieren, zumal er dann weiß, auf welche Warnzeichen er achten muss“, so Wieringa abschließend.
Weitere Informationen zum Thema:
datensicherheit.de, 21.08.2019
Steam-Konto: Hacker zielen auf Spieler ab / Ein Kommentar von Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4
Aktuelles, Experten, Veranstaltungen - Okt 14, 2024 20:41 - noch keine Kommentare
Politisches Herbstforum der BfDI: Daten im Dienst der Patienten
weitere Beiträge in Experten
- ELITE 2.0 Wanderzirkus: OT-Awareness für KMU am 16. Oktober 2024
- Cyber Resilience Act der EU verabschiedet – Fraunhofer IEM nimmt Stellung
- BigBrotherAwards 2024 an Deutsche Bahn, Karl Lauterbach, Sachsens Innenminister, Shein und Temu sowie Technikpaternalismus
- Berechtigtes Interesse: BfDI begrüßt EDSA-Leitlinien
- Incident Response in Industrie-Unternehmen: Online-Veranstaltung am 16. Oktober 2024
Aktuelles, Branche - Okt 10, 2024 19:38 - noch keine Kommentare
Open Source Software – unbestreitbare Vorteile sowie Risiken
weitere Beiträge in Branche
- Kritische Sicherheitslücken im Linux-CUPS-System erfordern umgehende Maßnahmen
- SBOM: Software-Stücklisten laut ONEKEY-Studie noch immer kein Standard in der Industrie
- Präsidentschaftswahlen in den USA 2024: Wahl-Phishing auf dem Vormarsch
- Zunehmende Bedrohung in der digitalen Welt durch Deepfake-Angriffe
- Microsoft-E-Mails: Tausende verschiedener Fälschungen im Umlauf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren