Die Weihnachtszeit steht vor der Tür, und wie jedes Jahr häufen sich in dieser Zeit die Betrugsversuche. Im vergangenen Jahr meldete das vom FBI geführte Internet Crime Complaint Center (IC3), dass es zu den großen Feiertagen fast 12.000 Betrugsopfer gab, die einen Verlust von über 73 Millionen US-Dollar erlitten.
In diesem Blog-Beitrag erläutern wir einige gängige Betrugsarten und Phishing-Taktiken, mit denen Menschen während der Weihnachtszeit ins Visier genommen werden, damit Sie sich und Ihre Mitarbeiter besser vor Cyberkriminalität schützen können.
4 KI-gestützte Betrugsarten zur Weihnachtszeit
Die von KI generierten Bedrohungen unterscheiden sich nicht wesentlich von den Bedrohungen, die wir regelmäßig zum Jahreswechsel erleben. Sie sind jedoch raffinierter und schwerer zu erkennen. Die folgenden vier gängigen Betrugsarten sollten Sie im Blick behalten.
1. Shopping-Betrug
Es ist durchaus verlockend, bei zeitlich begrenzten Angeboten und Sonderrabatten zuzuschlagen. Doch genau diese Bereitschaft nutzen Cyberkriminelle gern gezielt aus. Die Opfer werden beispielsweise auf Phishing-Seiten gelockt, auf denen Luxusgüter, Elektronikartikel oder Markenmode zu verdächtig niedrigen Preisen angeboten werden. In den vergangenen Jahren konnten Bedrohungsforscher beobachten, wie Cyberkriminelle tausende gefälschte Domains für bekannte internationale Marken registriert und diese dann für groß angelegte Phishing-Kampagnen genutzt haben.
Mit generativer KI (GenAI) lassen sich überzeugend aussehende, gefälschte Online-Shops einfacher und schneller erstellen als je zuvor. Früher dauerte das Einrichten solcher betrügerischer Webseiten mitunter Stunden – mit GenAI ist dies nun in wenigen Sekunden möglich. Gefälschte Websites zeichnen sich in der Regel durch gestohlene Logos, Doppelgänger-Domains und aufwändige Designs aus, die denen seriöser Online-Händler zum Verwechseln ähnlich sehen.
Wer etwas bei diesen gefälschten Online-Shops kauft, erhält entweder gefälschte Artikel oder geht ganz und gar leer aus. Zudem geben die Opfer persönliche Daten wie Kreditkartennummern unwissentlich an Cyberkriminelle weiter.
Phishing-Vorlage aus Proofpoint ZenGuide für Amazon-Shopping-Betrug, die auf einem von uns beobachteten realen Angriff basiert.
2. Betrug mit Zustellbenachrichtigungen
Wie bei Blitzangeboten, die uns unter Zeitdruck setzen, neigen wir auch bei Paketstatus-Updates dazu, sofort zu reagieren – v. a. wenn es um angebliche Probleme mit einer Sendung geht.
Betrüger nutzen die menschliche Psychologie gezielt zu ihrem Vorteil aus. Das gilt vor allem für die Manipulation durch Angst. Häufig nutzen sie E-Mails oder SMS, um vertrauenswürdige Versandunternehmen wie UPS, FedEx, DHL oder USPS zu imitieren. Bei diesen Betrugsversuchen geht es in der Regel um fehlgeschlagene Zustellungen, unvollständige Sendungsinformationen, fehlende Pakete oder um Pakete, die angeblich wegen ausstehender Zahlungen zurückgehalten werden.
Seit Kurzem sind die Angreifer dazu übergegangen, QR-Codes als Phishing-Tool einzusetzen. Anstatt schädliche URLs direkt einzubetten, versenden sie nun QR-Codes, die die Opfer scannen sollen. Diese neue Technik, die als QR-Code-Phishing oder Quishing bekannt ist, hat sich unter anderem durch die massenhafte Verwendung von QR-Codes während der COVID-19-Pandemie durchgesetzt.
Phishing-Vorlage aus Proofpoint ZenGuide für DHL-Shopping-Betrug, die auf einem von uns beobachteten realen Angriff basiert.
3. Betrügerische Reiseangebote
Während der Feiertage suchen viele Menschen nach günstigen Flügen und Hotelangeboten. Cyberkriminelle nutzen dies aus und erstellen gefälschte Websites für Reiseangebote mit unwiderstehlich niedrigen Preisen.
Häufig imitieren die Betrüger Websites bekannter Online-Reisebüros, um ahnungslose Opfer mit vermeintlich besonders günstigen Pauschalangeboten zu ködern. Wer auf den Betrug hereinfällt, zahlt am Ende meist mehr als den beworbenen Preis oder erhält ungültige Buchungen, die nicht rückerstattet werden können.
Phishing-Vorlage aus Proofpoint ZenGuide für betrügerische Expedia-Reiseangebote, die auf einem von uns beobachteten realen Angriff basiert.
Mit dem Aufkommen von KI-Tools sind diese Betrügereien raffinierter geworden. Heute nutzen die Angreifer GenAI, um glaubwürdige Phishing-Köder in verschiedenen Sprachen zu erstellen. In der Vergangenheit waren betrügerische E-Mails leicht an seltsamen Formulierungen und Rechtschreibfehlern erkennbar. Dies ist nun nicht mehr der Fall. Heute können Cyberkriminelle sprachliche und kulturelle Barrieren leicht überwinden.
Ein Beispiel: Ein Krimineller, der kein Deutsch spricht, möchte ein betrügerisches Reiseangebot für deutschsprachige Empfänger erstellen. Mithilfe von KI-Tools kann er glaubwürdige E-Mails mit perfekter Rechtschreibung erstellen, die eine beliebige deutsche Fluggesellschaft imitieren. Elemente wie Logos, hochauflösende Bilder und fehlerfreier Text machen die E-Mails dabei zu einem überzeugenden Köder.
KI-generierte Phishing-Vorlage aus Proofpoint ZenGuide für ein betrügerisches Reiseangebot.
4. Spendenbetrug
Aus ethischer Perspektive ist Spendenbetrug die wohl verwerflichste Form des Betrugs. Die Täter wissen, dass in der Weihnachtszeit eine besonders hohe Spendenbereitschaft besteht, und nutzen dies für ihre Zwecke aus. Dabei geht es nicht nur um Geld, sondern auch um persönliche Daten, die für Identitätsdiebstahl genutzt werden können.
Eine gängige Methode ist die Gründung einer Scheinorganisation, mit der das Wohlwollen der Öffentlichkeit missbraucht wird. Verschiedene Behörden wie die US-amerikanische IRS und die FTC warnen vor Organisationen, die sich weigern, detaillierte Informationen über sich herauszugeben. Ein weiteres Warnsignal ist, wenn Menschen zu einer sofortigen Spende gedrängt werden. Zur Erinnerung: Seriöse Wohltätigkeitsorganisationen nehmen jederzeit Spenden an und machen ihre Tätigkeit transparent.
Eine häufig anzutreffende Variante sind betrügerische Kampagnen für Spielzeugspenden. Zunächst werden die Opfer dazu aufgefordert, persönliche Daten anzugeben. Anschließend werden sie unter Druck gesetzt, auch ihre Kreditkartendaten anzugeben oder Überweisungen auf betrügerische Konten vorzunehmen.
Phishing-Vorlage aus Proofpoint ZenGuide für Spendenbetrug, die auf einem von uns beobachteten realen Angriff basiert.
Tipps zum Schutz vor Betrug in der Weihnachtszeit
GenAI erleichtert Cyberkriminellen die Arbeit und ermöglicht es ihnen, Phishing-Betrug raffinierter zu gestalten und eine größere Anzahl von Opfern ins Visier zu nehmen. KI-gestützte Bedrohungen führen jedoch nicht zu gänzlich neuen Risiken und Bedrohungen. Die allgemeinen Grundsätze bleiben daher unverändert.
Beachten Sie die folgenden Tipps, mit denen Sie sich in der aktuellen Weihnachtszeit vor Betrug schützen können. Teilen Sie diese Informationen mit Ihren Mitarbeitern und Kollegen, damit sie ebenfalls in der Lage sind, KI-gestützten Betrug zu erkennen und zu vermeiden:
- Seien Sie misstrauisch bei Angeboten, die zu gut klingen, um wahr sein zu können.
- Rufen Sie Online-Händler-Websites direkt auf und klicken Sie nicht auf eingebettete Links.
- Seien Sie skeptisch bei Nachrichten, in denen Sie zum sofortigen Handeln aufgefordert werden.
- Überprüfen Sie die Identität des Absenders über alternative Wege.
- Bewegen Sie den Mauszeiger immer über die E-Mail-Adresse, um den vollständigen Absender anzuzeigen und Display Name-Spoofing zu erkennen.
- Achten Sie eher auf die Absicht einer Nachricht als auf Grammatik- und Rechtschreibfehler, da diese herkömmlichen Warnsignale heutzutage viel weniger zuverlässig sind.
- Aktivieren Sie die Zwei-Faktor-Authentifizierung, sofern dies möglich ist.
Ihr kostenloses Weihnachtsgeschenk
Mit dem kostenlosen Proofpoint-Kit „Frohe Festtage 2024“ möchten wir Ihnen eine kleine Freude machen. Es umfasst Materialien, mit denen Sie das Sicherheitsbewusstsein über einen Zeitraum von vier Wochen steigern können.
- Woche 1: Die Grundlagen für sicheres Online-Shopping
- Woche 2: Wie Phishing-Nachrichten die Reiselust ausnutzen
- Woche 3: Cyberbetrug mit falschen Spendenaufrufen
- Woche 4: Ein Improvisationsspiel zum Kampagnenabschluss