E-Mail ist ein wichtiger Kanal für die B2B-Lead-Generierung und Kundenkommunikation, aber auch einer der am häufigsten genutzten Kanäle für Cyberangriffe und E-Mail-Betrug. Cyberkriminelle entwickeln ihre Angriffe ständig weiter, um mehr Informationen und finanzielle Vermögenswerte zu stehlen. Während sich Unternehmen mit verstärkten Sicherheitsmaßnahmen zur Wehr setzen, müssen Cyberkriminelle ihre Taktiken ständig weiterentwickeln und ihre Phishing- und Spoofing-Techniken verbessern.
Im Jahr 2024 haben Sicherheitsforscher aus aller Welt einen drastischen Anstieg von Phishing-Angriffen auf der Grundlage von maschinellem Lernen (ML) und künstlicher Intelligenz (KI) festgestellt, die von herkömmlichen E-Mail-Sicherheitslösungen unentdeckt bleiben. Das Hauptziel dieser Angriffe besteht darin, das menschliche Verhalten zu manipulieren und Menschen zu unbefugten Handlungen zu verleiten - wie etwa zur Überweisung von Geld auf Konten von Betrügern.
Während sich die Bedrohung durch E-Mail-basierte Angriffe und E-Mail-Betrug ständig weiterentwickelt, sollten Sie nicht zurückbleiben. Kennen Sie die E-Mail-Betrugstrends, die in den nächsten Jahren in Bezug auf Betrüger-Taktiken, Tools und Malware stattfinden werden. In diesem Blogbeitrag zeige ich Ihnen, wie Cyberkriminelle ihre Taktiken entwickeln, und erkläre, wie Ihr Unternehmen diese Art von E-Mail-Angriffen verhindern kann.
Arten von E-Mail-Betrug, vor denen man sich 2024 in Acht nehmen sollte
1. Business Email Compromise (BEC)
COVID-19 hat Unternehmen dazu gezwungen, Remote-Arbeitsumgebungen zu implementieren und auf virtuelle Kommunikation zwischen Mitarbeitern, Partnern und Kunden umzustellen. Während dies einige Vorteile mit sich bringt, ist der offensichtlichste Nachteil der alarmierende Anstieg von BEC im letzten Jahr. BEC ist ein breiterer Begriff, der sich auf E-Mail-Betrugsangriffe wie E-Mail-Spoofing und Phishing bezieht.
Die gängige Vorstellung ist, dass ein Cyber-Angreifer Ihren Domain-Namen verwendet, um E-Mails an Ihre Partner, Kunden oder Mitarbeiter zu senden, die versuchen, Unternehmensanmeldeinformationen zu stehlen, um Zugang zu vertraulichen Vermögenswerten zu erhalten oder Überweisungen zu veranlassen. BEC hat im vergangenen Jahr mehr als 70 % der Unternehmen betroffen und zum Verlust von Unternehmensvermögen im Wert von Milliarden Dollar geführt.
2. Entwickelte E-Mail-Phishing-Angriffe
E-Mail-Phishing-Angriffe haben sich in den letzten Jahren drastisch weiterentwickelt, obwohl das Motiv dasselbe geblieben ist: Es geht darum, Ihre vertrauenswürdigen Partner, Mitarbeiter und Kunden dazu zu verleiten, auf bösartige Links zu klicken, die in einer scheinbar von Ihnen gesendeten E-Mail enthalten sind, um die Installation von Malware oder den Diebstahl von Zugangsdaten zu veranlassen. Hochentwickelte E-Mail-Betrüger versenden Phishing-E-Mails, die nur schwer zu erkennen sind. Vom Schreiben tadelloser Betreffzeilen und fehlerfreier Inhalte bis hin zur Erstellung gefälschter Landing Pages mit einem hohen Maß an Genauigkeit wird die manuelle Verfolgung ihrer Aktivitäten im Jahr 2024 immer schwieriger.
3. Man-In-The-Middle
Vorbei sind die Zeiten, in denen Angreifer schlecht geschriebene E-Mails verschickten, die selbst ein Laie als betrügerisch erkennen konnte. Heutzutage nutzen Bedrohungsakteure SMTP-Sicherheitsprobleme wie die Verwendung opportunistischer Verschlüsselung bei E-Mail-Transaktionen zwischen zwei kommunizierenden E-Mail-Servern aus, indem sie die Konversation abhören, nachdem sie die gesicherte Verbindung erfolgreich auf eine unverschlüsselte zurückgesetzt haben. MITM-Angriffe wie SMTP-Downgrade und DNS-Spoofing haben im Jahr 2024 zunehmend an Popularität gewonnen.
4. CEO-Betrug
CEO-Fraud bezieht sich auf Betrugsversuche, die auf hochrangige Führungskräfte abzielen, um Zugang zu vertraulichen Informationen zu erhalten. Die Angreifer nehmen dabei die Identität von echten Personen wie CEOs oder CFOs an und senden eine Nachricht an Personen auf niedrigeren Ebenen innerhalb des Unternehmens, an Partner und Kunden, um sie zur Preisgabe vertraulicher Informationen zu verleiten. Diese Art von Angriff wird auch als Business Email Compromise oder Whaling bezeichnet. In einem geschäftlichen Umfeld versuchen einige Kriminelle, eine glaubhaftere E-Mail zu erstellen, indem sie sich als Entscheidungsträger eines Unternehmens ausgeben. So können sie um einfache Geldüberweisungen oder sensible Informationen über das Unternehmen bitten.
5. COVID-19 Impfstoff-Köder
Sicherheitsforscher haben aufgedeckt, dass Hacker immer noch versuchen, aus den Ängsten im Zusammenhang mit der COVID-19-Pandemie Kapital zu schlagen. Jüngste Studien werfen ein Licht auf die Denkweise von Cyberkriminellen. Sie zeigen ein anhaltendes Interesse am Zustand der Panik rund um die COVID-19-Pandemie und einen messbaren Anstieg von Phishing- und Business-E-Mail-Compromise (BEC)-Attacken, die auf Unternehmensleiter abzielen. Das Medium für diese Angriffe ist ein gefälschter COVID-19-Impfstoff, der sofort das Interesse der E-Mail-Empfänger weckt.
Wie können Sie die E-Mail-Sicherheit verbessern?
- Konfigurieren Sie Ihre Domain mit E-Mail-Authentifizierungsstandards wie SPF, DKIM und DMARC
- Umstellung von DMARC-Überwachung auf DMARC-Durchsetzung, um maximalen Schutz vor BEC, CEO-Betrug und weiterentwickelten Phishing-Angriffen zu erhalten
- Kontinuierliche Überwachung des E-Mail-Verkehrs und der Authentifizierungsergebnisse von Zeit zu Zeit
- Verschlüsselung in SMTP mit MTA-STS obligatorisch machen, um MITM-Angriffe abzuschwächen
- Erhalten Sie regelmäßige Benachrichtigungen über E-Mail-Zustellungsprobleme mit Details zu deren Ursachen mit SMTP-TLS-Reporting (TLS-RPT)
- Entschärfen Sie SPF-Permerror, indem Sie stets unter dem Limit von 10 DNS-Lookups bleiben
- Helfen Sie Ihren Empfängern, Ihre Marke in ihren Posteingängen visuell zu identifizieren - mit BIMI
PowerDMARC ist Ihre SaaS-Plattform für E-Mail-Authentifizierung, die alle E-Mail-Authentifizierungsprotokolle wie SPF, DKIM, MTA-STS, TLS-RPT und BIMI in einem einzigen Fenster zusammenfasst. Melden Sie sich noch heute an und erhalten Sie Ihren kostenlosen DMARC-Analysator!
