Suchen

Vorsicht beim Weihnachtseinkauf Phishing for Christmas

Autor / Redakteur: Spencer Young / Peter Schmitz

Gerade in den letzten Tagen vor Weihnachten steigt bei vielen der Stresslevel beim Einkauf von Geschenken noch einmal an. Statt sich in die überfüllten Innenstädte und Einkaufscenter zu drängen, greifen viele auf Onlineshops zurück und werden dabei im Vorweihnachts­stress immer öfter Opfer von Cyberkriminellen.

Firmen zum Thema

Gerade beim Einkaufsstress vor Weihnachten sind Phishing- Angriffe ein noch größeres Einfallstor für Kontoübernahmen, wie sonst.
Gerade beim Einkaufsstress vor Weihnachten sind Phishing- Angriffe ein noch größeres Einfallstor für Kontoübernahmen, wie sonst.
(Bild: gemeinfrei / Pixabay )

Auch in Deutschland startet mit dem Black Friday für viele Menschen die Zielgerade auf dem Marathon des Weihnachts­geschenke­einkaufs. Statt sich in die überfüllten Innenstädte und Einkaufscenter zu drängen, greifen viele auf Onlineshops zurück und bezahlen schnell mit Onlinebezahlsystemen oder der hinterlegten Kreditkarte. Kunden erhalten in dieser Zeit öfter E-Mails von diesen Anbietern und klicken – womöglich unbedarft – auf die in der E-Mail integrierten Links, um sich schnell anzumelden und den Lieferstatus zu checken. Doch oft lauert hier ein Phishing-Angriff!

Phishing ist der Ausgangspunkt für die meisten Netzwerk- und Datenverletzungen. Die Kampagnen laufen größtenteils von gefährdeten Webservern aus und verbreiten alle Arten von Malware, einschließlich Ransomware. Laut einer Webroot Studie generieren Hacker mitunter 46.000 Phishing-Webseiten pro Tag. Voreilig die eigenen Anmeldedaten auf der Phishing-Webseite eingegeben und schon hat ein Hacker die Kontodaten mit Hilfe des Nutzers erhalten.

Phishing: aktuell größtes Hacker-Einfallstor

Hacker nehmen mittlerweile große Anstrengungen auf sich, um Phishing-Mitteilungen so zu gestalten, dass sie tatsächliche E-Mails eines Unternehmens nachahmen. Durch die Verwendung derselben Phrasierung, Schriftarten, Logos und Unterschriften erscheinen die Nachrichten auf den ersten Blick legitim. Aus diesem Grund gilt Phishing in Deutschland mittlerweile laut Aussage von 53 Prozent der Befragten der UmfrageThe impossible Puzzle of Cybersecurity“ von Sophos als derzeit größtes Sicherheitsrisiko. Das liegt unter anderem daran, dass diese Art von Angriffen schwieriger zu verteidigen ist als Cyberattacken durch Schadsoftware oder DDoS-Angriffe. Das bestätigt auch die britische Regierung in deren diesjährigem Cyber Security Breaches Survey.

Phishing-Kampagnen werden oft von kompromittierten Webservern aus durchgeführt, während Hosting-Provider und Unternehmen von den bösartigen Aktivitäten völlig unberührt bleiben. Kompromittierte Webserver, die in Phishing-as-a-Service (PhaaS)-Plattformen eingesetzt werden, senken die Kosten einer Phishing-Kampagne erheblich und helfen den Cyberkriminellen, ihre Spuren zu verwischen. Auf der Serverseite können darüber hinaus verschiedene Methoden gewählt werden, um Phishing-Betrug zu verhindern. Am effektivsten ist das Blacklisting bekannter Phishing-Webseiten und das dynamische Blockieren verdächtiger Muster im Quellcode, die auf betrügerische Anfragen hinweisen können. Diese Mustererkennung basiert auf Daten aus domänenübergreifenden Quellverweisen, die Bilder, Schriften und andere Ressourcen aus einer externen Quelle verbrauchen. Der beste Weg, Webserver vor Beeinträchtigungen zu schützen, ist der Einsatz von Web Application Firewalls (WAFs). Wenn WAFs allgegenwärtig eingesetzt werden würden wie klassische Netzwerk-Firewalls, könnten laut Imperva die Phishing-Kriminalität ernsthaft in ihre Schranken gewiesen werden.

Vorgehen beim Phishing

Doch das schwächste Glied im Zusammenhang mit Phishing-Betrug bleiben die Benutzer. Serverseitige Sicherheitslösungen können zwar den besten Schutz bieten, um die Phishing-Bedrohung im Vergleich zum Client-seitigen Ansatz der Endpoint-Software einzudämmen, dennoch sind sie machtlos gegenüber Insider Threats. Hacker versuchen bei Phishing-Angriffen gezielt den Benutzer zum Handeln zu beeinflussen, indem sie ein Gefühl der Dringlichkeit erzeugen. Beispielsweise soll sich der Nutzer verifizieren, da sonst das Konto deaktiviert wird. Dazu setzt der Hacker dem Nutzer eine zeitliche Frist, in der er das Konto über den integrierten Link verifizieren kann, sonst werde es deaktiviert. Die Ausübung eines solchen Drucks führt dazu, dass der Benutzer die Anmelde-Webseite über den E-Mail-Link öffnet und nicht genau prüft.

Und das kann böse Folgen für den Nutzer haben. Sind Bankkonten oder Kreditkarten hinterlegt gerät das Weihnachtsgeschäft schnell außer Kontrolle und statt einem freudigen Weihnachtsfest droht eine persönliche finanzielle Krise, wenn die Hacker mit der erbeuteten Kreditkarte fleißig auf Shoppingtour gehen oder die Nutzerdaten lukrativ weiterverkaufen. Denn laut Imperva können Account-Informationen mit Kreditkartenhinterlegung für zwischen 20 und 300 US-Dollar pro Account (je nach Kontostand) veräußert werden.

Aufklärung und erhöhte Passwort-Sicherheit

Beim Vorbeugen gegen Phishing-Attacken sind Unternehmen neben der Implementierung einer WAF vor allem auf ein sicheres Passwort-Management angewiesen. Dabei hilft vor allem die Zwei-Faktor-Authentifizierung (2FA) als effektivste Methode zur Bekämpfung von Phishing-Angriffen, da sie bei der Anmeldung an Nutzer-Accounts eine zusätzliche Verifizierungsschicht hinzufügt. 2FA setzt darauf, dass die Benutzer zwei Dinge haben: etwas, das sie wissen, das Passwort und einen Benutzernamen, und etwas, das sie haben, wie ein Smartphone. Selbst wenn Nutzer durch eine Phishing-Mail gefährdet sind, verhindert die 2FA die Verwendung der erbeuteten Anmeldeinformationen. Denn diese allein reichen nicht aus, um Zugang zum Nutzer-Account zu erhalten.

Doch gerade durch den Medienbruch auf ein zweites Gerät zur 2FA sehen die meisten Online-Händler ein großes Problem. Dadurch verlängere sich der Kaufvorgang und verkompliziere das Kauferlebnis der Nutzer. Laut Aussage verschiedener Händler könnte es dadurch vermehrt zu Kaufabbrüchen kommen, wenn Online-Shops die Zwei-Faktor-Authentifizierung standardisiert einführen würden.

Die meisten Online-Händler setzen auf die eigenen Datensicherheitssysteme. Zusätzliche Aufklärungskampagnen können dazu beitragen, die Käufer für Phishing zu sensibilisieren und so die Bedrohung durch Phishing-Angriffe zu verringern, indem Unternehmen sichere Praktiken einführen und als Standard durchsetzen. Kunden, Online-Händler und Sicherheitsexperten müssen stärker zusammenarbeiten, damit sich die Gefahr verringert, beim Online-Shopping einem Phishing-Angriff zum Opfer zu fallen – insbesondere zur Weihnachtszeit.

Über den Autor: Autor: Spencer Young ist Regional Vice President EMEA bei Imperva.

(ID:46294864)