Beiträge

Marketingspezialisten sind die Gestalter des Markenimages, daher müssen sie diese 5 berühmten Phishing-Begriffe kennen, die den Ruf eines Unternehmens schädigen können. Phishing ist eine Art von Angriffsvektor, bei dem eine Website oder E-Mail so aussieht, als stamme sie von einer seriösen Organisation, aber in Wirklichkeit mit der Absicht erstellt wird, sensible Informationen wie Benutzernamen, Passwörter und Kreditkartendaten (auch bekannt als Kartendaten) zu sammeln. Phishing-Angriffe sind in der Online-Welt weit verbreitet.

Wenn Ihr Unternehmen einem Phishing-Angriff zum Opfer fällt, kann dies dem Markennamen schaden und Ihr Suchmaschinen-Ranking oder Ihre Konversionsrate beeinträchtigen. Es sollte eine Priorität für Marketer sein, sich vor Phishing-Angriffen zu schützen, da sie ein direktes Spiegelbild der Konsistenz Ihres Unternehmens sind. Daher müssen wir als Marketer mit äußerster Vorsicht vorgehen, wenn es um Phishing-Betrug geht.

Phishing-Betrügereien gibt es schon seit vielen Jahren. Machen Sie sich keine Sorgen, wenn Sie vorher noch nichts davon gehört haben, es ist nicht Ihre Schuld. Manche sagen, dass der Cyber-Betrug vor 10 Jahren geboren wurde, aber Phishing wurde offiziell im Jahr 2004 zu einem Verbrechen. Da sich die Phishing-Techniken ständig weiterentwickeln, kann die Begegnung mit einer neuen Phishing-E-Mail schnell verwirrend werden, und manchmal ist es schwer zu erkennen, ob die Nachricht legitim ist oder nicht. Sie können sich und Ihr Unternehmen besser schützen, wenn Sie auf die folgenden fünf gängigen Phishing-Techniken achten.

5 Häufige Phishing-Begriffe, die Sie kennen müssen

1) E-Mail-Phishing 

Phishing-E-Mails werden in der Regel massenhaft von einer Domain verschickt, die eine legitime Domain imitiert. Ein Unternehmen könnte die E-Mail-Adresse [email protected] haben, aber ein Phishing-Unternehmen könnte [email protected] verwenden. Das Ziel ist es, Sie dazu zu verleiten, auf einen bösartigen Link zu klicken oder vertrauliche Informationen weiterzugeben, indem sie vorgeben, ein echtes Unternehmen zu sein, mit dem Sie Geschäfte machen. Bei einer gefälschten Domain werden oft Zeichen ersetzt, z. B. durch die Verwendung von "r" und "n" nebeneinander, um "rn" anstelle von "m" zu erzeugen.

Phishing-Angriffe entwickeln sich ständig weiter und werden mit der Zeit immer unerkennbarer. Bedrohungsakteure nutzen Social-Engineering-Taktiken, um Domains zu fälschen und betrügerische E-Mails von einer legitimen Domain aus für bösartige Zwecke zu versenden.

2) Spear-Phishing 

Ein Spear-Phishing-Angriff ist eine neue Form des Cyberangriffs, bei dem falsche Informationen verwendet werden, um Zugang zu Konten zu erhalten, die eine höhere Sicherheitsstufe haben. Professionelle Angreifer haben das Ziel, ein einzelnes Opfer zu kompromittieren. Um diese Idee auszuführen, recherchieren sie das soziale Profil des Unternehmens sowie die Namen und Rollen der Mitarbeiter innerhalb dieses Unternehmens. Im Gegensatz zum Phishing handelt es sich beim Spear-Phishing um eine gezielte Kampagne gegen eine Organisation oder Einzelperson. Diese Kampagnen werden von Bedrohungsakteuren sorgfältig mit dem alleinigen Ziel aufgebaut, eine bestimmte Person(en) ins Visier zu nehmen, um Zugang zu einer Organisation zu erhalten.

3) Walfang

Whaling ist eine sehr gezielte Technik, die die E-Mails von Mitarbeitern höherer Ebenen kompromittieren kann. Das Ziel, das anderen Phishing-Methoden ähnlich ist, besteht darin, Mitarbeiter dazu zu verleiten, auf einen bösartigen Link zu klicken. Eine der verheerendsten E-Mail-Attacken, die über Unternehmensnetzwerke laufen, ist der Whaling-Betrug. Bei diesen Versuchen, sich persönlich zu bereichern, wird die Überzeugungskraft der Opfer genutzt, um ihren Widerstand zu senken und sie zur Herausgabe von Firmengeldern zu bewegen. Whaling ist auch als CEO-Betrug bekannt, da sich die Angreifer oft als Personen in autoritären Positionen ausgeben, wie z. B. der CEO eines Unternehmens.

4) E-Mail-Kompromittierung im Unternehmen 

Business Email Compromise (BEC) ist eine Form der Cyberkriminalität, die für Unternehmen extrem kostspielig sein kann. Diese Art von Cyberangriff nutzt E-Mail-Betrug, um Unternehmensdomänen dazu zu bringen, sich an betrügerischen Aktivitäten zu beteiligen, die zur Kompromittierung und zum Diebstahl sensibler Daten führen. Beispiele für BEC können Rechnungsbetrug, Domain-Spoofing und andere Formen von Impersonation-Attacken sein. Jedes Jahr kann ein durchschnittliches Unternehmen bis zu 70 Millionen Dollar durch BEC-Betrug verlieren. Erfahren Sie mehr über die BEC-Angriffsstatistik 2020. Bei einem typischen Angriff zielen die Betrüger auf bestimmte Mitarbeiterrollen innerhalb eines Unternehmens ab, indem sie eine Reihe von betrügerischen E-Mails versenden, die vorgeben, von einem leitenden Kollegen, Kunden oder Geschäftspartner zu stammen. Sie können die Empfänger anweisen, Zahlungen zu leisten oder vertrauliche Daten freizugeben.

5) Angler Phishing 

Viele Unternehmen haben Tausende von Kunden und erhalten täglich Hunderte von Beschwerden. Durch Social Media sind Unternehmen in der Lage, aus der Enge ihrer Grenzen auszubrechen und ihre Kunden zu erreichen. Dies ermöglicht es einem Unternehmen, flexibel zu sein und sich an die Anforderungen seiner Kunden anzupassen. Beim Angler-Phishing werden verärgerte Kunden über soziale Medien angesprochen und geben vor, Teil eines Unternehmens zu sein. Der Angler-Phishing-Betrug ist ein einfacher Trick, mit dem gelegentliche Social-Media-Nutzer glauben, dass ein Unternehmen versucht, ihre Probleme zu lösen, während die Person am anderen Ende sie in Wirklichkeit ausnutzt.

Wie Sie Ihr Unternehmen vor Phishing und E-Mail-Betrug schützen können

Ihr E-Mail-Dienstanbieter verfügt möglicherweise über integrierte Sicherheitspakete als Teil seines Dienstes. Diese fungieren jedoch als Spam-Filter, die Schutz vor eingehenden Phishing-Versuchen bieten. Wenn jedoch eine E-Mail von Betrügern unter Verwendung Ihres Domain-Namens an die Postfächer der Empfänger gesendet wird, wie im Fall von BEC, Whaling und anderen oben aufgeführten Formen von Imitationsangriffen, erfüllen sie nicht ihren Zweck. Aus diesem Grund müssen Sie E-Mail-Authentifizierungslösungen wie DMARC sofort nutzen und zu einer Politik der Durchsetzung übergehen.

  • DMARC authentifiziert Ihre E-Mails durch den Abgleich mit den Authentifizierungsstandards SPF und DKIM.
  • Sie gibt den empfangenden Servern vor, wie sie auf E-Mails reagieren sollen, die die Authentifizierungsprüfung nicht bestehen.
  • DMARC-Aggregatberichte (RUA) bieten Ihnen einen besseren Einblick in Ihr E-Mail-Ökosystem und die Authentifizierungsergebnisse und helfen Ihnen, Ihre Domains einfach zu überwachen.
  • DMARC-Forensikberichte (RUF) geben Ihnen eine detaillierte Analyse Ihrer DMARC-Fehlerergebnisse und helfen Ihnen, schneller auf Impersonationsangriffe zu reagieren.

Wie kann PowerDMARC Ihrer Marke helfen?

PowerDMARC ist mehr als nur Ihr DMARC-Dienstleister, es ist eine mandantenfähige SaaS-Plattform, die eine breite Palette von Authentifizierungslösungen und DMARC-MSSP-Programmen bietet. Wir machen E-Mail-Authentifizierung einfach und zugänglich für jede Organisation, von kleinen Unternehmen bis hin zu multinationalen Konzernen.

  • Wir helfen Ihnen, in kürzester Zeit von p=none auf p=reject zu wechseln, um Ihre Marke vor Imitationsangriffen, Domain-Spoofing und Phishing zu schützen.
  • Wir helfen Ihnen bei der einfachen Konfiguration des DMARC-Reportings mit umfassenden Diagrammen und Tabellen sowie RUA-Berichtsansichten in 6 verschiedenen Formaten für eine einfache Bedienung und erhöhte Transparenz
  • Wir haben uns um Ihre Privatsphäre gekümmert, deshalb können Sie Ihre DMARC-RUF-Berichte mit Ihrem privaten Schlüssel verschlüsseln
  • Wir unterstützen Sie bei der Erstellung von zeitgesteuerten PDF-Berichten über Ihre Authentifizierungsergebnisse
  • Wir bieten eine dynamische SPF-Flattening-Lösung wie PowerSPF an, so dass Sie niemals das Limit von 10 DNS-Lookups überschreiten
  • Wir helfen Ihnen dabei, TLS-Verschlüsselung in SMTP obligatorisch zu machen, mit MTA-STS, um Ihre Domain vor allgegenwärtigen Überwachungsangriffen zu schützen
  • Wir helfen Ihnen, Ihre Marke in den Posteingängen der Empfänger visuell erkennbar zu machen - mit BIMI

Melden Sie sich noch heute bei PowerDMARC an, um Ihre kostenlose Testversion des DMARC-Analysetools zu erhalten, und gehen Sie von einer Überwachungs- zu einer Durchsetzungspolitik über, um Ihrer Domain maximalen Schutz vor BEC-, Phishing- und Spoofing-Angriffen zu bieten.

E-Mail dient als wichtiger Kanal für die B2B-Lead-Generierung und Kundenkommunikation, ist aber auch einer der am häufigsten angegriffenen Kanäle für Cyberattacken und E-Mail-Betrugsversuche. Cyberkriminelle entwickeln ihre Angriffe ständig weiter, um mehr Informationen und finanzielle Vermögenswerte zu stehlen. Während sich Unternehmen weiterhin mit stärkeren Sicherheitsmaßnahmen zur Wehr setzen, müssen Cyberkriminelle ihre Taktiken ständig weiterentwickeln und ihre Phishing- und Spoofing-Techniken verbessern.

Im Jahr 2021 haben Sicherheitsforscher aus aller Welt einen drastischen Anstieg der Nutzung von Phishing-Angriffen auf Basis von maschinellem Lernen (ML) und künstlicher Intelligenz (KI) festgestellt, die von herkömmlichen E-Mail-Sicherheitslösungen unentdeckt bleiben. Das Hauptziel dieser Angriffe ist es, menschliches Verhalten zu manipulieren und Menschen dazu zu verleiten, unbefugte Handlungen auszuführen - wie etwa Geld auf Konten von Betrügern zu überweisen.

Während sich die Bedrohung durch E-Mail-basierte Angriffe und E-Mail-Betrug ständig weiterentwickelt, sollten Sie nicht zurückbleiben. Kennen Sie die E-Mail-Betrugstrends, die in den nächsten Jahren in Bezug auf Betrüger-Taktiken, Tools und Malware stattfinden werden. In diesem Blogbeitrag zeige ich Ihnen, wie Cyberkriminelle ihre Taktiken entwickeln, und erkläre, wie Ihr Unternehmen diese Art von E-Mail-Angriffen verhindern kann.

Arten von E-Mail-Betrug, vor denen Sie sich 2021 in Acht nehmen sollten

1. Business Email Compromise (BEC)

COVID-19 hat Unternehmen dazu gezwungen, Remote-Arbeitsumgebungen zu implementieren und auf virtuelle Kommunikation zwischen Mitarbeitern, Partnern und Kunden umzustellen. Während dies einige Vorteile mit sich bringt, ist der offensichtlichste Nachteil der alarmierende Anstieg von BEC im letzten Jahr. BEC ist ein breiterer Begriff, der sich auf E-Mail-Betrugsangriffe wie E-Mail-Spoofing und Phishing bezieht.

Die gängige Vorstellung ist, dass ein Cyber-Angreifer Ihren Domain-Namen verwendet, um E-Mails an Ihre Partner, Kunden oder Mitarbeiter zu senden, die versuchen, Unternehmensanmeldeinformationen zu stehlen, um Zugang zu vertraulichen Vermögenswerten zu erhalten oder Überweisungen zu veranlassen. BEC hat im vergangenen Jahr mehr als 70 % der Unternehmen betroffen und zum Verlust von Unternehmensvermögen im Wert von Milliarden Dollar geführt.

2. Entwickelte E-Mail-Phishing-Angriffe

E-Mail-Phishing-Angriffe haben sich in den letzten Jahren drastisch weiterentwickelt, obwohl das Motiv dasselbe geblieben ist: Es geht darum, Ihre vertrauenswürdigen Partner, Mitarbeiter und Kunden dazu zu verleiten, auf bösartige Links zu klicken, die in einer scheinbar von Ihnen gesendeten E-Mail enthalten sind, um die Installation von Malware oder den Diebstahl von Zugangsdaten zu initiieren. Entwickelte E-Mail-Betrüger versenden Phishing-E-Mails, die nur schwer zu erkennen sind. Vom Schreiben tadelloser Betreffzeilen und fehlerfreier Inhalte bis hin zur Erstellung gefälschter Landing Pages mit einem hohen Maß an Genauigkeit ist die manuelle Verfolgung ihrer Aktivitäten im Jahr 2021 immer schwieriger geworden.

3. Man-In-The-Middle

Vorbei sind die Zeiten, in denen Angreifer schlecht geschriebene E-Mails verschickten, die selbst ein Laie als betrügerisch identifizieren konnte. Bedrohungsakteure nutzen heutzutage SMTP-Sicherheitsprobleme wie die Verwendung von opportunistischer Verschlüsselung bei E-Mail-Transaktionen zwischen zwei kommunizierenden E-Mail-Servern aus, indem sie die Konversation abhören, nachdem sie die gesicherte Verbindung erfolgreich auf eine unverschlüsselte zurückgestuft haben. MITM-Angriffe wie SMTP-Downgrade und DNS-Spoofing haben im Jahr 2021 zunehmend an Popularität gewonnen.

4. CEO-Betrug

CEO-Fraud bezieht sich auf Betrugsversuche, die auf hochrangige Führungskräfte abzielen, um Zugang zu vertraulichen Informationen zu erhalten. Angreifer tun dies, indem sie die Identitäten tatsächlicher Personen wie CEOs oder CFOs annehmen und eine Nachricht an Personen auf niedrigeren Ebenen innerhalb des Unternehmens, an Partner und Kunden senden und sie so zur Preisgabe vertraulicher Informationen verleiten. Diese Art von Angriff wird auch als Business Email Compromise oder Whaling bezeichnet. In einem geschäftlichen Umfeld versuchen einige Kriminelle, eine glaubhaftere E-Mail zu erstellen, indem sie sich als Entscheidungsträger eines Unternehmens ausgeben. Dies ermöglicht es ihnen, um einfache Geldüberweisungen oder sensible Informationen über das Unternehmen zu bitten.

5. COVID-19 Impfstoff-Köder

Sicherheitsforscher haben aufgedeckt, dass Hacker immer noch versuchen, aus den Ängsten im Zusammenhang mit der COVID-19-Pandemie Kapital zu schlagen. Jüngste Studien werfen ein Licht auf die Denkweise von Cyberkriminellen. Sie zeigen ein anhaltendes Interesse am Zustand der Panik rund um die COVID-19-Pandemie und einen messbaren Anstieg von Phishing- und Business-E-Mail-Compromise (BEC)-Attacken, die auf Unternehmensleiter abzielen. Das Medium für diese Angriffe ist ein gefälschter COVID-19-Impfstoff, der sofort das Interesse der E-Mail-Empfänger weckt.

Wie können Sie die E-Mail-Sicherheit verbessern?

  • Konfigurieren Sie Ihre Domain mit E-Mail-Authentifizierungsstandards wie SPF, DKIM und DMARC
  • Wechseln Sie von DMARC-Überwachung zu DMARC-Durchsetzung, um maximalen Schutz vor BEC, CEO-Betrug und weiterentwickelten Phishing-Angriffen zu erhalten
  • Kontinuierliche Überwachung des E-Mail-Verkehrs und der Authentifizierungsergebnisse von Zeit zu Zeit
  • Verschlüsselung in SMTP mit MTA-STS obligatorisch machen, um MITM-Angriffe abzuschwächen
  • Erhalten Sie regelmäßige Benachrichtigungen über E-Mail-Zustellungsprobleme mit Details zu deren Ursachen mit SMTP-TLS-Reporting (TLS-RPT)
  • Entschärfen Sie SPF-Permerror, indem Sie stets unter dem Limit von 10 DNS-Lookups bleiben
  • Helfen Sie Ihren Empfängern, Ihre Marke in ihren Posteingängen visuell zu identifizieren - mit BIMI

PowerDMARC ist Ihre SaaS-Plattform für E-Mail-Authentifizierung, die alle E-Mail-Authentifizierungsprotokolle wie SPF, DKIM, MTA-STS, TLS-RPT und BIMI auf einer einzigen Glasscheibe vereint. Registrieren Sie sich noch heute, um Ihren kostenlosen DMARC-Analyzer zu erhalten !

Wissen Sie, was die schlimmste Art von Phishing-Betrug ist? Die Art, die Sie nicht einfach ignorieren können: wie CEO Fraud. E-Mails, die angeblich von der Regierung stammen und Sie auffordern, die ausstehende Steuerzahlung zu leisten oder rechtliche Schritte zu riskieren. E-Mails, die aussehen, als wären sie von Ihrer Schule oder Universität und Sie auffordern, die eine verpasste Studiengebühr zu bezahlen. Oder sogar eine Nachricht von Ihrem Chef oder CEO, in der Sie aufgefordert werden, ihm "als Gefallen" etwas Geld zu überweisen.

Das Problem bei solchen E-Mails ist, dass sie sich als eine Autoritätsperson ausgeben, sei es die Regierung, Ihr Universitätsvorstand oder Ihr Chef auf der Arbeit. Das sind wichtige Leute, und das Ignorieren ihrer Nachrichten wird mit ziemlicher Sicherheit ernsthafte Konsequenzen haben. Sie sind also gezwungen, sich die E-Mails anzusehen, und wenn sie überzeugend genug erscheinen, könnten Sie tatsächlich darauf hereinfallen.

Aber lassen Sie uns einen Blick auf den CEO-Betrug werfen. Was genau ist das? Kann er auch Ihnen passieren? Und wenn ja, was sollten Sie tun, um ihn zu verhindern?

Sie sind nicht immun gegen CEO-Betrug

Es handelt sich umeinen Betrug im Wert von 2,3 Milliarden Dollar pro Jahr. Sie fragen sich vielleicht: "Wie können Unternehmen so viel Geld durch einen einfachen E-Mail-Betrug verlieren?" Aber Sie würden überrascht sein, wie überzeugend CEO-Betrugs-E-Mails sein können.

Im Jahr 2016 verlor Mattel fast 3 Millionen Dollar durch einen Phishing-Angriff, als eine Finanzmanagerin eine E-Mail vom CEO erhielt, in der sie angewiesen wurde, eine Zahlung an einen ihrer Lieferanten in China zu senden. Aber erst als sie später beim CEO nachfragte, stellte sie fest, dass er die E-Mail gar nicht gesendet hatte. Glücklicherweise arbeitete das Unternehmen mit den Strafverfolgungsbehörden in China und den USA zusammen, um das Geld ein paar Tage später zurückzubekommen, aber das passiert bei diesen Angriffen fast nie.

Die Menschen neigen dazu zu glauben, dass ihnen diese Betrügereien nicht passieren werden... bis es ihnen passiert. Und das ist ihr größter Fehler: sich nicht auf CEO-Betrug vorzubereiten.

Phishing-Betrügereien können Ihr Unternehmen nicht nur Millionen von Dollar kosten, sie können auch den Ruf und die Glaubwürdigkeit Ihrer Marke nachhaltig beeinträchtigen. Sie laufen Gefahr, als das Unternehmen gesehen zu werden, das durch einen E-Mail-Betrug Geld verloren hat und das Vertrauen Ihrer Kunden zu verlieren, deren sensible persönliche Daten Sie speichern.

Anstatt sich im Nachhinein um Schadensbegrenzung zu bemühen, ist es viel sinnvoller, Ihre E-Mail-Kanäle gegen Spear-Phishing-Betrug wie diesen zu sichern. Hier sind einige der besten Möglichkeiten, wie Sie sicherstellen können, dass Ihre Organisation nicht zu einer Statistik im BEC-Bericht des FBI wird.

Wie Sie CEO-Betrug verhindern: 6 einfache Schritte

  1. Informieren Sie Ihr Personal über Sicherheit
    Dieser Punkt ist absolut entscheidend. Die Mitglieder Ihrer Belegschaft - insbesondere die im Finanzwesen - müssen verstehen, wie Business Email Compromise funktioniert. Und damit meinen wir nicht nur eine langweilige, zweistündige Präsentation darüber, dass man sein Passwort nicht auf einen Post-it-Zettel schreibt. Sie müssen sie darin schulen, wie sie auf verdächtige Anzeichen achten, dass eine E-Mail gefälscht ist, wie sie auf gefälschte E-Mail-Adressen achten und wie sie abnormale Anfragen stellen, die andere Mitarbeiter per E-Mail zu stellen scheinen.
  2. AchtenSie auf verräterische Anzeichen für Spoofing
    E-Mail-Betrüger verwenden alle möglichen Taktiken, um Sie dazu zu bringen, ihren Aufforderungen nachzukommen. Diese können von dringenden Anfragen/Anweisungen zur Überweisung von Geld reichen, um Sie zu schnellem und unüberlegtem Handeln zu bewegen, bis hin zur Bitte um Zugang zu vertraulichen Informationen für ein "geheimes Projekt", das die höheren Stellen noch nicht mit Ihnen teilen wollen. Dies sind ernstzunehmende Warnsignale, die Sie doppelt und dreifach überprüfen müssen, bevor Sie überhaupt etwas unternehmen.
  3. Schützen Sie sich mit DMARC
    Der einfachste Weg, einen Phishing-Betrug zu verhindern, ist, die E-Mail gar nicht erst zu erhalten. DMARC ist ein E-Mail-Authentifizierungsprotokoll, das E-Mails, die von Ihrer Domain kommen, verifiziert, bevor sie zugestellt werden. Wenn Sie DMARC auf Ihrer Domain erzwingen, wird jeder Angreifer, der sich als jemand aus Ihrer eigenen Organisation ausgibt, als nicht autorisierter Absender erkannt, und seine E-Mail wird in Ihrem Posteingang blockiert. Sie müssen sich nicht mehr mit gefälschten E-Mails herumschlagen.
  4. Holen Sie die ausdrückliche Genehmigung für Überweisungen ein
    Dies ist eine der einfachsten und unkompliziertesten Möglichkeiten, um Geldüberweisungen an die falschen Personen zu verhindern. Bevor Sie sich zu einer Transaktion verpflichten, sollten Sie die ausdrückliche Zustimmung der Person, die das Geld anfordert, über einen anderen Kanal als E-Mail einholen. Bei größeren Überweisungen sollten Sie eine mündliche Bestätigung verlangen.
  5. E-Mails mit ähnlichen Erweiterungen kennzeichnen
    Das FBI empfiehlt, dass Ihr Unternehmen Systemregeln erstellt, die automatisch E-Mails kennzeichnen, die zu ähnliche Erweiterungen wie Ihre eigenen verwenden. Wenn Ihr Unternehmen zum Beispiel "123-business.com" verwendet, könnte das System E-Mails mit Erweiterungen wie "123_business.com" erkennen und kennzeichnen.
  6. Kaufen Sie ähnliche Domain-Namen
    Angreifer verwenden oft ähnlich aussehende Domain-Namen, um Phishing-E-Mails zu versenden. Wenn Ihr Unternehmen z. B. ein kleines "i" im Namen hat, verwenden sie vielleicht ein großes "I" oder ersetzen den Buchstaben "E" durch die Zahl "3". Auf diese Weise können Sie die Wahrscheinlichkeit verringern, dass jemand einen extrem ähnlichen Domainnamen verwendet, um Ihnen E-Mails zu senden.