Bald ist wieder Shopping Season. Black Friday und Cyber Monday locken mit Rabattaktionen und die Online Shops investieren all ihre Ressourcen, um das Einkaufsvolumen noch mehr zu steigern. Der riesige Ansturm von Deals und Promos, welche Online Shoppern angezeigt werden, macht es Cyberkriminellen umso leichter, ihre Malware-Kampagnen zu starten und ebenfalls ein Stück vom Kuchen abzugreifen. Sie sind bestens auf diese Tage vorbereitet. Welches die beliebtesten Angriffsmethoden sind und wie Sie sich davor schützen können, erfahren Sie in diesem Blogartikel.
Cyberkriminelle nutzen die Einkaufsdynamik von Black Friday und Cyber Monday, um ihre Malware-Kampagnen zu starten. Die Angriffsmethoden reichen von einfachen Phishing-Attacken in Form von gefälschten Geschenkgutscheinen bis hin zu Malware, zum Kreditkartendatendiebstahl- bzw. Form-Jacking.
Cyber Attack-Methoden am Black Friday und Cyber Monday
Email Scams
Cyberkriminelle wollen ein möglichst breites Publikum erreichen. Daher stehen vor allem grosse Online Shops im Fokus, welche für folgende Angriffsmethoden ausgenutzt werden:
- Gefälschte Geschenkgutscheine: Eine Möglichkeit um auf ein Kundenkonto zuzugreifen, führt über den Einsatz von gefälschten Geschenkgutscheinen. Der Online Shopper erhält dabei per E-Mail einen Geschenkgutschein. Sobald er auf den Link des Gutscheins klickt, wird er auf eine Phishing-Seite weitergeleitet, welche die Anmeldeinformationen abgreift. Dass die Seite nicht echt ist, merkt der Online Shopper oftmals zu spät.
- Gefälschte Logins: Eine der häufigsten Methoden, wie ein Kundenkonto angegriffen wird, führt über ein vorgetäuschtes E-Mail mit einem Login-Link vom Online Shop-Kundendienst. Diese E-Mails können täuschend echt wirken, insbesondere, wenn Sie soeben dort eingekauft haben. Der Link leitet auch hier auf eine Phishing-Seite weiter, welche die Kundeninformationen abgreift.
- Trojaner: Die gefährlichste Methode ist die Verwendung von betrügerischen E-Mails, welche im Anhang eine Bestellung oder Rechnung aufweisen. Dahinter verbirgt sich meist ein Trojaner wie beispielsweise Emotet. Sobald das Dokument im Anhang geöffnet wird und das Makro aktiviert, wird der Trojaner installiert. Cyberkriminelle können dann bei einem infizierten Computer im Hintergrund Geld wegtransferieren, sobald eine E-Banking-Sitzung hergestellt wird.
Damit die obigen Täuschungen möglichst echt wirken, registrieren Cyberkriminelle bereits im Vorfeld gefälschte Web-Domains und lösen gültige Zertifikate für die Phishing-Seiten, die auf subtilen Abweichungen der echten URL-Website basieren.
Cyber Security-Tipp Nr. 1
- Öffnen Sie keine Anhänge mit Gutscheinen oder Sonderangeboten. Bei einem gültigen Angebot ist es nicht nötig, auf einen Link oder Anhang zu klicken.
- Klicken Sie nie auf Links in E-Mails. Es gibt Tausende von gefälschten Websites, die fast identisch zur echten Seite aussehen. Wenn Sie auf einer Website einkaufen möchten, die Sie häufig besuchen, geben Sie besser die URL manuell in Ihren Browser ein oder speichern sie die Webseite bei Ihren Favoriten.
- Seien Sie vorsichtig bei Mail-Attachments und aktivieren Sie die Makro-Funktion niemals.
Unsere Cyber Security-Experten haben in einem gratis Phishing-Poster die wichtigsten Tipps und Tricks zusammengestellt.
Fake Angebote auf Social Media
Cyberkriminelle nutzen am Black Friday und Cyber Monday gerne auch die sozialen Medien für ihre Angriffsmethoden, um noch mehr Reichweite zu bekommen. Beliebte Artikel werden dann zu Spotpreisen angeboten oder mit gefälschten Geschenkgutscheinen Schnäppchenjäger angelockt. Auch hier wird beim Klick auf den Link auf eine Phishing-Seite weitergeleitet. Die Cyberkriminellen werden versuchen, Sie zu einer Kartenzahlung oder Überweisung zu bewegen, um Ihre persönlichen Daten abzugreifen. In einem früheren Blogbeitrag haben wir bereits einige Social-Media-Phishing-Methoden beleuchtet.
Cyber Security-Tipp Nr. 2
- Seien Sie in sozialen Netzwerken besonders misstrauisch gegenüber Artikeln, die weit unter dem typischen Marktpreis liegen, selbst am Black Friday und Cyber Monday.
Smishing – Phishing mittels SMS
Durch das hohe Online Shopping während Black Friday und Cyber Monday erwarten die Online Shopper Bestell- und Lieferbenachrichtigungen. Dies nutzen Cyberkriminelle aus und senden eine gefälschte SMS-Nachricht mit einem Link an die Online Shopper. Diese Links leiten dann wiederum auf eine Phishing-Seite, auf der bei Eingabe die Nutzerdaten und Passwörter abgegriffen werden.
Beim Smishing ist es für die Online Shopper besonders schwierig zu erkennen, ob die empfangene Nachricht authentisch ist, da im Vergleich zu einer E-Mail nicht viele Informationen vorhanden sind. Es gibt keinen Header, mit welchem die Echtheit des Absenders überprüft werden kann oder eine kurze URL, die merkwürdig oder verdächtig vorkommen könnte. Aus diesem Grund wird Smishing bei Cyberkriminellen immer beliebter.
Cyber Security-Tipp Nr. 3
- Reagieren Sie niemals auf SMS-Nachrichten, welche Links enthalten.
- Klicken Sie auf keinen Fall auf die Links.
- Installieren Sie nur mobile Anwendungen über den offiziellen Store und niemals solche, die Ihnen über einen SMS-Link zugesandt werden.
Formjacking, Web-Skimming
Formjacking, auch bekannt als Web-Skimming oder Magecart, ist ein Cyberangriff, bei dem der Angreifer einen bösartigen Code in die jeweilige Ziel-Webseite bzw. den Online Shop einschleust. Diese Malware zielt auf Online Shopper ab, wenn diese versuchen, eine Bestellung im Warenkorb abzuschliessen. Sobald die Zahlungsinformationen in das Online-Formular eingegeben werden, erfasst die Malware diese Daten (einschliesslich der Bankkartendaten) und überträgt sie direkt an die Cyberkriminellen. Magecart, gleichnamig der Methode, ist ein Zusammenschluss von kriminellen Hackergruppen, die sich auf Online-Shopping-Cart-Systeme spezialisiert haben, um Kundendaten und Zahlungsinformationen zu stehlen. Die Folgen von solchen Angriffen können katastrophal sein. Neben dem finanziellen Schaden und der Rufschädigung, welches das Unternehmen hat, verlieren die Kunden auch das Vertrauen zum betroffenen Online Shop und kehren oft nie mehr zurück.
Cyber Security-Tipp Nr. 4
- Zahlen Sie beim Online Shopping, wenn immer möglich mit Kreditkarte und nicht mit der Debitkarte. Eine Rückerstattung aufgrund von Web-Skimming ist bei der Debitkarte nicht immer möglich. Kreditkartenherausgeber bieten dagegen einen grösseren Schutz.
- Behalten Sie Ihre Kreditkartenabrechnung genau im Auge. Unerwartete Belastungen sind in der Regel das erste Anzeichen dafür, dass Ihre Karte oder sogar Ihre gesamte «Identität» gestohlen wurde. Falls Sie etwas Verdächtiges entdecken, lassen Sie die Karte sofort sperren.
Die Hauptopfer von Web-Skimming sind vor allem Online Shopper, die Bankkartendaten online eingeben. In den meisten Fällen muss das Problem jedoch von den Unternehmen behoben werden, die Websites mit Zahlungsformularen unterstützen. Um zu verhindern, dass Benutzerdaten durch die Website geleakt werden, wird eine regelmässige Aktualisierung der gesamten Software inkl. der Web-Anwendungen (CMS und Plugins) empfohlen. Die Installation von CMS-Komponenten sollte nur aus vertrauenwürdigen Quellen stammen. Setzen Sie auf eine strenge CMS-Zugangspolitik, wie zum Beispiel die 2-Faktor Authentifizierung sowie regelmässige Sicherheitsaudits des Zahlungsformulars.
Schützen Sie sich gegen Social Engineering
Damit auch Sie am Black Friday und Cyber Monday unbeschwert Online Shoppen können, ist es wichtig, sich der Bedrohung bewusst zu sein. Das heisst, Sie sollten Phishing-Angriffe erkennen können und wissen, mit welchen Methoden sie ausgetrickst werden könnten. Mehr Informationen rund um das Thema Security Awareness finden Sie auf unserer Webseite «Know-how Security Awareness»!
Auch Unternehmen sollten ihre Mitarbeitenden gezielt auf Phishing sensibilisieren. Phishing- und Ransomware-Attacken zählen zu den häufigsten Bedrohungen für Unternehmen. Selbst die beste IT-Infrastruktur und Cyber-Security-Strategie reichen nicht aus, wenn die Mitarbeitenden nicht ausreichend geschult sind. Wir beraten Sie gerne über unsere professionellen Security-Awareness-Trainings & Phishing-Simulations.