Digitale Sicherheit in der Weihnachtszeit
Fortinet Weihnachten, Cybersecurity, Tipps
In dieser Weihnachtszeit wird das Abhaken der Geschenkeliste ein wenig anders aussehen als in den vergangenen Jahren. Angesichts der für die Feiertage vorhergesagten Zunahme der digitalen Aktivitäten werden auch Cyberkriminelle ihre Listen erstellen und sie dieses Jahr zweimal überprüfen. Es ist eine besonders riskante Zeit des Jahres, da Käufer aller Altersgruppen (einschließlich derer, die weniger Erfahrung im Erkennen digitaler Bedrohungen haben) in Scharen Suchmaschinen und Online-Kanäle nutzen, um noch vor dem Ende der Lieferfrist Bestellungen aufzugeben. Opportunistische Hacker wissen genau, wie sie verlockende, der Jahreszeit entsprechende Köder auslegen können - und selbst einige der einfachsten Betrügereien können versierte Online-Einkäufer täuschen.
Im Folgenden finden Sie einige der häufigsten
Cyber-Bedrohungen, auf die Sie sich während der Feiertage vorbereiten sollten -
zusammen mit einigen besonderen Ausreißern, die wir in dieser Saison erwarten.
Online-Urlaubsgeschenkkarten-Betrug
In der Weihnachtszeit, wenn der Kauf von Geschenkkarten in die Höhe schnellt, sind Diebe auf der Suche nach einfachen Möglichkeiten, um sich einen Vorteil zu verschaffen. Geschenkkarten sind ein beliebtes Einfallstor für Cyberkriminelle und Betrüger, denn der Diebstahl des darauf geladenen Geldes ist wie der Diebstahl von Bargeld: Ist das Geld erst einmal weg, gibt es für das Opfer praktisch keine Möglichkeit, es zurückzubekommen (im Gegensatz zu Kreditkartentransaktionen, bei denen Rückbuchungen möglich sind).
Manche gehen sogar so weit, dass sie in Geschäften verkaufte Geschenkkarten manipulieren, indem sie die Schutzschicht abkratzen, um die PIN-Nummern einzutragen, und dann die Schicht durch einen Aufkleber "ersetzen", damit sie wie neu aussieht. Die Betrüger fügen diese PINs in eine Software ein, die eine Warnung sendet, sobald jemand seine Geschenkkarte gekauft und aktiviert hat, und ziehen dann das gesamte Guthaben ab. Cyberkriminelle können auch versuchen, per E-Mail zu betrügen. Wenn Sie schon einmal eine seltsame E-Mail erhalten haben, in der Sie aufgefordert wurden, einem Freund oder Familienmitglied in einer Notsituation zu helfen, und diese E-Mail Sie dazu verleitet hat, eine Geschenkkarte als Zahlungsmittel anzugeben, dann war diese E-Mail mit Sicherheit ein Betrug.
Eine weitere gängige Masche im Zusammenhang mit Geschenkkarten ist der Kontoübernahmeangriff (ATO). Diese Angriffe häufen sich in der Regel um die Feiertage. Ein Cyberkrimineller nutzt zunächst die Taktik des "Credential Stuffing" (Ausfüllen von Anmeldedaten) oder des "Password Spraying" (Ausspionieren von Passwörtern), um an die Anmeldedaten für eine bestimmte E-Commerce-Plattform zu gelangen. Anschließend verwenden sie diese Informationen, um mit den erlangten Kontodaten Einkäufe zu tätigen, wobei sie häufig hochwertige elektronische Geschenkkarten in großen Mengen kaufen und diese dann sofort ausgeben, um nicht aufgespürt zu werden. Der beste Weg, um zu vermeiden, dass Sie zur Zielscheibe von Geschenkkartenbetrügern werden, besteht darin, wachsam zu sein und diese vier bewährten Methoden zu befolgen:
- Setzen Sie ein sicheres Passwort
Achten Sie darauf, dass Sie nicht für jedes Online-Konto auf zwei Plattformen das gleiche Passwort verwenden. Verwenden Sie eine App zur Passwortverwaltung, um den Überblick über die verschiedenen Konten zu behalten. Vergessen Sie nicht, auch zufällige, nicht doppelte Benutzer-IDs zu verwenden, wenn die Website dies zulässt. Eindeutige Benutzernamen mit eindeutigen Passwörtern sind besser als nur eindeutige Passwörter. - Überwachen Sie Ihre Konten
aktualisieren Sie regelmäßig Ihre Anmeldedaten und überwachen Sie Ihre Zahlungskonten auf Anzeichen ungewöhnlicher Aktivitäten. - Überprüfen Sie Geschenkkarten
Wenn Sie Geschenkkarten in Geschäften kaufen, sollten Sie sie vor dem Aufladen des Guthabens visuell auf Anzeichen von Manipulationen überprüfen und sich an Händler halten, die ihre Geschenkkarten hinter einem Kassenschalter aufbewahren. - Tätigen Sie niemals Käufe per E-Mail
Stimmen Sie niemals zu, Online-Einkäufe mit Geschenkkarten zu bezahlen, wenn Sie per E-Mail dazu aufgefordert werden - in diesen Fällen existiert der Artikel, den Sie "kaufen" möchten, wahrscheinlich gar nicht. Bleiben Sie stattdessen bei Händlern, die Sie kennen und denen Sie vertrauen, und vergewissern Sie sich, dass das Kassensystem der Website sicher ist. Kreditkarten sind die beste Zahlungsmethode, da die meisten einen gewissen Schutz vor Betrug bieten. Denken Sie daran, dass Apps für Peer-to-Peer-Transaktionen wie Paypal (für Freunde ohne Zahlungsschutz), Venmo und CashApp nur verwendet werden sollten, wenn Transaktionen zwischen Personen stattfinden, die Sie kennen und denen Sie vertrauen.
Phishing-Betrug bei Videokonferenzen
Für Familien, die nicht in der Lage sind, zu verreisen, um zusammen zu feiern, ist das virtuelle Feiern die nächstbeste Option. Es ist jedoch wichtig, auf der Hut zu sein vor bestimmten, auf sozialer Interaktion basierenden Betrügereien, die es weiterhin auf diejenigen abgesehen haben, die ihre Wachsamkeit vernachlässigen.
Da wir uns immer mehr auf Videokonferenzen als Mittel zur sozialen Interaktion verlassen, werden Cyberkriminelle auch weiterhin Phishing-Kampagnen durchführen, die diese videobasierten Plattformen ausnutzen. Bei diesen Phishing-Versuchen werden E-Mails mit gefälschten Links versendet, die den Benutzer auffordern, eine neue Version seiner Videokonferenzsoftware herunterzuladen. Der Link führt zu einer Website eines Drittanbieters, auf der der Benutzer ein Installationsprogramm herunterladen kann. In einigen Fällen installiert das Programm die Videokonferenzsoftware tatsächlich - aber unabhängig davon, ob es dies tut oder nicht, lädt es auch ein Trojaner-Malware-Programm für den Fernzugriff auf den Host. Dieses Programm verschafft den Betrügern Zugang zu den vertraulichen Daten und Informationen des Benutzers, die entweder auf dem Schwarzmarkt verkauft oder für Identitätsdiebstahl genutzt werden.
Andere Phishing-Versuche zielen auf externe Mitarbeiter ab, die darauf warten, per E-Mail Einladungen mit Links zu Videoanrufen zu erhalten. In diesen Fällen verschicken die Betrüger Links, die den Benutzer auf eine gefälschte Anmeldeseite führen (die der echten sehr ähnlich sieht), um Anmeldedaten zu stehlen. Wenn sie erfolgreich sind, versuchen die Angreifer, sich mit diesen Anmeldedaten Zugang zu Unternehmenskonten und -netzwerken zu verschaffen.
Um Videokonferenz-Betrug zu vermeiden, sollten Sie stets die
bewährten Verfahren zur Cybersicherheit befolgen: Überprüfen Sie die
E-Mail-Adresse des Absenders, bevor Sie auf Links in E-Mails klicken oder
Anhänge herunterladen, selbst wenn diese von einer vertrauenswürdigen Quelle zu
stammen scheinen. In den meisten Fällen werden Phishing-E-Mails von Adressen
gesendet, die nicht die legitime Webadresse des Unternehmens enthalten. Klären
Sie Mitarbeiter, Familienmitglieder und Freunde darüber auf, was zu vermeiden
ist, und halten Sie Ihre Geräte mit der neuesten Sicherheitssoftware auf dem
neuesten Stand.
Phishing, Smishing, Vishing: Die Bedrohungen sind nicht auf den Desktop beschränkt
Phishing-Versuche, die auf Videokonferenzen abzielen, sind
nur die Spitze des Eisbergs in dieser Urlaubssaison. Leider sind andere Formen
des Phishings immer noch auf dem Vormarsch, einschließlich solcher, die auf Ihr
Telefon oder mobile Geräte abzielen. Die Telefonvariante des Phishings wird
manchmal als "Vishing" bezeichnet, und SMS-Betrügereien werden
"Smishing" genannt - eine Anspielung auf SMS.
Phishing
Mobile Phishing-Versuche sind besonders häufig bei
E-Commerce-Käufern anzutreffen. Mehr Nutzer als je zuvor nutzen ihre
Smartphones, um Einkäufe zu tätigen. Auch wenn diese Geräte weniger anfällig
für Bedrohungen zu sein scheinen, ist das nicht der Fall. Online-Käufer können
beispielsweise betrügerische Textnachrichten erhalten, die scheinbar von
Händlern stammen, die sie kennen. Diese Nachrichten enthalten in der Regel
einen Link, der, sobald er angeklickt wird, zu einer betrügerischen Website
weiterleitet, die wie die legitime Website des Einzelhändlers aussieht, aber
darauf abzielt, Ihre persönlichen Daten auszuspionieren (PII). Bösartige Apps,
insbesondere für Android-Geräte, können auch zum Abschöpfen von Finanzdaten und
Anmeldeinformationen verwendet werden.
Vishing und Smishing
Beim Vishing verwenden Cyberkriminelle Telefonanrufe, um an personenbezogene Daten zu gelangen. Sie nutzen dabei Social-Engineering-Taktiken (z. B. eine dringende Nachricht über eine kürzlich getätigte Bestellung), um Sie dazu zu bringen, Informationen wie Anmeldedaten oder Bankkontodaten preiszugeben. Paradoxerweise nutzen Vishers oft unsere angeborene Angst vor Cyber-Betrug und -Angriffen aus, um diese Angriffe durchzuführen. Eine Sprachnachricht kann zum Beispiel lauten: "DRINGEND: Ihr Bankkonto wurde aufgrund verdächtiger Aktivitäten gesperrt. Rufen Sie uns sofort zurück, um den Zugang wiederherzustellen. Wenn das Opfer dann zurückruft, wird es aufgefordert, vertrauliche Daten anzugeben, die dann gestohlen und böswillig verwendet werden.
Vermeiden Sie Vishing und Smishing, indem Sie sich vergewissern, dass die Telefonnummer, von der Sie einen Anruf oder eine Textnachricht erhalten haben, tatsächlich zu der Organisation gehört, die behauptet, den Anruf oder die Textnachricht gesendet zu haben - bevor Sie irgendwelche Informationen angeben. Denken Sie daran, dass Banken und Behörden fast nie Kunden oder Einzelpersonen kontaktieren, um sensible Informationen preiszugeben. Rufen Sie daher am besten direkt bei Ihrer Bank an und erkundigen Sie sich nach der Nachricht, die Sie erhalten haben. Dort kann man Ihnen sagen, ob die Nachricht echt war oder nicht, und man wird den Vorfall den zuständigen Behörden melden, wenn sich herausstellt, dass es sich um einen Betrug handelt.
Eine neue Methode, die wir zunehmend beobachten, ist das
Hinzufügen eines QR-Codes auf beliebten Produkten und das Erstellen von Bannern
oder Marketingmaterialien, die in Geschäften ausgelegt werden. Wenn ein Opfer
ein Produkt sieht, das ihm gefällt, und ein Schild, auf dem steht, dass es das
Produkt schneller oder zu einem günstigeren Preis bekommen kann, scannt es
höchstwahrscheinlich den QR-Code. Dadurch werden sie jedoch auf eine
Betrugswebsite geleitet oder es wird versucht, Malware herunterzuladen.
Abschließende Überlegungen zur digitalen Sicherheit
Mit den richtigen digitalen Sicherheitsvorkehrungen ist es immer noch möglich, seine Lieblingstraditionen sicher zu genießen. Dank digitaler Plattformen können wir bequem und sicher von zu Hause aus mit Familie und Freunden in Kontakt treten - und unsere Geschenkelisten abhaken, ohne einen Fuß in überfüllte Einkaufszentren zu setzen. Es erfordert nur ein neues Maß an Wachsamkeit, das selbst zur neuen Normalität werden kann.
Bleiben Sie in dieser Saison online sicher, indem Sie wachsam bleiben: Vertrauen Sie niemals blind einer E-Mail, einer Textnachricht oder einem Telefonanruf, vor allem dann nicht, wenn sie von unbekannten Nummern oder Quellen stammen. Halten Sie mit gesundem Menschenverstand Ausschau nach Anzeichen für Phishing. Aktualisieren Sie regelmäßig Ihre Anmeldedaten. Und geben Sie diese Informationen natürlich an jeden weiter, von dem Sie glauben, dass er davon profitieren könnte. Aufklärung ist schließlich die beste Waffe im Kampf gegen die Internetkriminalität.