Quiz-Betrügereien: Scams seltener gemeldet als andere Angriffsarten

Jelle Wieringa kommentiert als Quiz getarnte Phishing-Methode, welche sich seit 2019 wieder steigender Beliebtheit erfreut

[datensicherheit.de, 07.08.2020] Auf die Gefahr durch Quiz-Betrügereien geht Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme ein. Die betreffende Phishing-Methode habe sich 2019 wieder steigender Beliebtheit erfreut. Wieringa erläutert, weshalb sogenannte Quiz-Scams seltener gemeldet werden als andere Angriffsarten und dennoch ebenso gefährlich sein können.

Foto: KnowBe4

Jelle Wieringa: Internetbetrug per Aufforderung zur Quiz-Teilnahme nichts Neues im Internet…

Cyber-Kriminelle wärmen alte Betrügereien auf und verschicken Quiz-Einladungen per E-Mail-Scam

Internetbetrug durch die Aufforderung zur Teilnahme an einer Umfrage oder einem Quiz seien nichts Neues im Internet. Wenn man etwa ein Quiz zu Scams aufsetzen würde, wäre dies sogar eine „feine Sache“ und gehöre in ein „Security Awareness“-Training. „Einige Cyber-Kriminelle scheinen die alten Betrügereien nun aber aufzuwärmen und verschicken eine Einladung zu einem Quiz per E-Mail-Scam. Diese Art der Quiz-Scams haben sich im vergangenen Jahr weit verbreitet“, berichtet Wieringa.
Dabei handele es sich um Betrugsseiten, die sich als legitime Unternehmen ausgäben und den Benutzern einen gefälschten Preis anböten, „wenn sie im Gegenzug mehrere Fragen beantworten und einige persönliche Informationen weitergeben“. Die Betrüger nutzten Methoden zur Suchmaschinenoptimierung (SEO), um ihre Phishing-Webseiten an die Spitze der Suchergebnisse zu bringen, wodurch zusätzlich Legitimität vorgetäuscht werde.

2019: 1.161 Webseiten mit Quiz-Betrügereien lockten mehr als fünf Millionen Opfer auf der ganzen Welt an

Sicherheitsforscher des Security-Herstellers Akamai hätten im Verlauf des vergangenen Jahres, 2019, vermehrt Quiz-Scams entdeckt. „Sie verfolgten 1.161 Webseiten mit Quiz-Betrügereien, die bislang mehr als fünf Millionen Opfer auf der ganzen Welt anlockten. Sie fanden darüber hinaus heraus, dass mehr als 80 Prozent dieser Webseiten von Sicherheitssystemen nicht als bösartig erkannt wurden“, so Wieringa.
Die Forscher glauben demnach, dass dies darauf zurückzuführen sei, „dass die Betrüger in den meisten Fällen hinter allgemeineren persönlichen Informationen wie E-Mail-Adressen, Namen und Wohnadressen her sind, anstatt direkt zu versuchen, die Zugangsdaten der Opfer zu stehlen oder Malware zu verbreiten“.

Bisher niedrige Erkennungsraten beim Quiz-Betrug

Die wichtigste Erklärung für die niedrige Erkennungsraten sei, dass sich der Betrug in vielen Fällen auf Informationen konzentriere, die nicht eindeutig wertvoll seien oder in einigen Fällen nicht als wichtig betrachtet würden. „Resultierend daraus werden die Scams von den Nutzern seltener erkannt und gemeldet – und somit auch seltener gestoppt.“
Unternehmen würden derweil von einem Ansturm von Malware-Kampagnen, Datenverstößen und Angriffen auf Webanwendungen heimgesucht – „ständige Brände mit hoher Priorität, die gelöscht werden müssen“ – daher sei es leicht zu verstehen, warum Betrügereien wie die geschilderte, die sich auf meist nicht sensible Informationen konzentrierten, übersehen würden. Die Forscher betonten, dass diese Informationen zwar harmlos erschienen, dass sie aber verkauft werden könnten, um sie für gezieltere „Social Engineering“-Angriffe zu verwenden.

Quiz-Betrug bietet Cyber-Kriminellen mehrfachen Nutzen

Phishing habe sich nach Ansicht der Forscher von der ausschließlichen Konzentration auf den Missbrauch von Berechtigungsnachweisen und Drive-by-Downloads zu einer lukrativeren Art von Angriffen entwickelt, bei denen es sich bei der gestohlenen Ware um persönliche Informationen handeln könne, die in Analyse- und Datenmärkten oder für gezieltere böswillige Aktivitäten verwendet würden.
Darüber hinaus biete das Internet auch die Möglichkeit, Einnahmen über Werbung und den damit verbundenen Verkehr zu den Betrugswebsites zu generieren. Wieringa: „Wenn Cyber-Kriminelle diese Möglichkeiten erst einmal weit verbreitet ausnutzen, werden sie indirekt von den Kräften belohnt, die das Internet selbst antreiben.“

Unternehmen können sich und ihre Mitarbeiter vor Quiz-Scams schützen

Unternehmen könnten sich und ihre Mitarbeiter jedoch vor solchen Quiz-Scams schützen. Einerseits gebe es technologische Möglichkeiten, andererseits aber auch organisatorische, welche auf das Sicherheitsbewusstsein des Menschen setzten.
Investitionen in den „Aufbau einer menschlichen Firewall“ zahlten sich aus, vor allem, wenn sie den Wissenstransfer per Gamification-Ansatz durchführten. Dies habe den Nebeneffekt, „dass jemand, der bereits Fragen von einem Quiz zur ,Security Awareness‘ beantwortet hat, wahrscheinlich wenig motiviert ist, auch noch auf einen Scam mit einer Einladung zu einem anderen Quiz zu reagieren, zumal er dann weiß, auf welche Warnzeichen er achten muss“, so Wieringa abschließend.

Weitere Informationen zum Thema:

datensicherheit.de, 21.08.2019
Steam-Konto: Hacker zielen auf Spieler ab / Ein Kommentar von Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4