Es ist wieder soweit: Die Hauptsaison für Cyberbetrug beginnt. Die Feiertage stehen vor der Tür und viele Angreifer werden versuchen, die Hilfsbereitschaft und Festtagsstimmung von Verbrauchern auszunutzen. Gerade deshalb ist es wichtig, wachsam zu sein.
Es ist zwar noch zu früh, um saisonale Trends erkennen und analysieren zu können, doch wir gehen davon aus, dass die Angreifer neben altbewährten Taktiken aus früheren Jahren auch neue und innovative Techniken für ihre Angriffe einsetzen werden.
Die Bandbreite reicht von Angriffen per Telefon (Telephone-Oriented Attack Delivery, TOAD) mit Unterstützung durch generative KI bis zu gefälschten Versandbenachrichtigungen mit dem Ziel, Multifaktor-Authentifizierung (MFA) zu umgehen. Wir haben fünf Prognosen zum Thema Betrug zur Weihnachtszeit aufgestellt. Folgende Tricks und Trends könnten in diesem Winter die Bedrohungslandschaft prägen.
1. Generative KI wird Bedrohungserkennung schwerer machen
Was hat sich seit der letzten Weihnachtszeit rasant entwickelt? Richtig, es ist die generative KI. Diese neue Technologie dürfte das Erstellen von E-Mails mit Angeboten, die zu gut klingen, um wahr zu sein, grundlegend verändern. Gefälschte Versandbenachrichtigungen sind bei Angreifern sehr beliebt – und zu den großen Feiertagen treten sie gehäuft auf. Schließlich möchte gerade in dieser Zeit niemand Probleme mit einem bestellten Geschenk oder einem verschickten Päckchen haben.
Im letzten Jahr enthielten viele Phishing-Versuche, die zur Weihnachtszeit das Thema Versand ausnutzten, die üblichen Warnsignale wie Rechtschreibfehler sowie seltsam klingende Formulierungen. Diese lassen sich auf den ersten Blick schnell erkennen. Dieses Jahr gehen wir jedoch davon aus, dass viele Angreifer ihre E-Mails und Texte von einer generativen KI schreiben lassen und somit nicht so schnell zu entlarven sind.
Schauen Sie diesmal also genauer hin, wenn Sie feststellen wollen, ob eine Versand-E-Mail zur Weihnachtszeit betrügerisch ist oder nicht. Stellen Sie sich dabei folgende Fragen:
- Ist die Nachricht allgemein gehalten oder personalisiert?
- Werden Sie gebeten, unnötige vertrauliche Informationen anzugeben?
- Stimmt der Anzeigename des Absenders mit der E-Mail-Adresse überein? (Dies ist ein Punkt auf Sicherheits-Checklisten, der in Security-Awareness-Schulungen gelehrt wird.)
- Sollen Sie für die Paketannahme eine Gebühr bezahlen? (Hinweis: In diesem Fall sollten Sie das Paket erst annehmen, wenn Sie sich vergewissert haben, dass es sich um eine echte Lieferung handelt.)
2. Angriffe per Telefon könnten durch KI glaubwürdiger werden
Angriffe per Telefon (Telephone-Oriented Attack Delivery, TOAD) gehören mittlerweile zu den üblichen Methoden, mit denen Angreifer ihre Opfer zu unvorsichtigen Aktionen zu verleiten. Die Nutzung generativer KI könnte die Glaubwürdigkeit von Angriffen per Telefon erhöhen, bei denen Skripte verwendet werden, die auf die Weihnachtszeit angepasst sind.
Möchten Sie einen teuren Geschenkkauf stornieren, den Sie per Kreditkarte getätigt haben, oder Reiseangebote mit großen Rabatten buchen? Dann kontaktieren Sie dieses (falsche) Callcenter! Wenn KI-generierte E-Mails seriöse Unternehmen erfolgreich imitieren, erhöht sich die Wahrscheinlichkeit, dass die Opfer bei der angegebenen Telefonnummer anrufen.
Generative KI ermöglicht es zudem, Betrug zu großen Feiertagen weltweit zu verbreiten. So gibt es beispielsweise jedes Jahr zu Weihnachten und Neujahr englischsprachigen Betrug, der sich an ein westliches Publikum richtet. Doch auch zum Mondneujahrsfest gibt es in China, Südkorea, Vietnam und Hongkong ein hohes Reiseaufkommen und viele Feste. Früher fehlte es Angreifern an kulturellem Hintergrundwissen oder Sprachkenntnissen, um diese Bevölkerungsgruppen anzusprechen. Heute können sie frei verfügbare KI-Tools nutzen, um schnell geeignete Anlässe zu finden und dann entsprechende Köder zu erstellen, die an die jeweilige Sprache angepasst und attraktiv sind.
Zum Glück wird generative KI wohl kaum das Gespräch mit dem falschen Callcenter beeinflussen. Wenn Sie die angegebene Nummer anrufen, sollten sich also einige Warnsignale erkennen lassen. Lassen Sie daher Vorsicht walten, wenn Ihre Gesprächspartner Folgendes tun:
- Sie folgen ganz klar einem Skript.
- Sie setzen Sie unter Handlungsdruck.
- Sie sprechen in einem typischen Akzent aus einem Land, aus dem Ihrer Security-Awareness-Schulung zufolge häufig Callcenter-Betrug stammt.
3. Umgehung von MFA könnte häufiger auftreten
Die Umgehung von MFA hat im letzten Jahr stark zugenommen, und die Zahl der Angriffe, bei denen diese Technik eingesetzt wird, steigt weiterhin. Die Angreifer stehlen die Anmeldedaten in Echtzeit. Dazu fangen sie den MFA-Code ab, sobald das Opfer ihn auf einer gefälschten oder kompromittierten Anmeldeseite eingibt.
Da MFA-Umgehung ein anhaltender Bedrohungstrend ist, erwarten wir, dass die Techniken in diesem Jahr für Köder eingesetzt werden, die auf die Weihnachtszeit zugeschnitten sind. Während der Weihnachtszeit verschicken Unternehmen viele Auftragsbestätigungen und Versandbenachrichtigungen. Wenn Sie ein Paket erwarten und darauf hoffen, dass es noch pünktlich ankommt, verspüren Sie häufiger den Drang, sich bei Ihrem UPS-, FedEx- oder DHL-Konto anzumelden.
Angreifer nutzen das erhöhte Nachrichtenaufkommen und die Sorgen der Verbraucher gern aus. Daher verfassen sie Phishing-E-Mails, die an die Feiertage angepasst wurden und legitime Benachrichtigungen nachahmen, um sich unter die echten E-Mails zu mischen. Auf diese Weise lassen sich Verbraucher leichter auf kompromittierte Kontoanmeldeseiten oder nachgeahmte Websites locken, die MFA-Anmeldedaten erfassen.
Um sich vor Diebstahl von MFA-Anmeldedaten zu schützen, sollten Sie unangekündigte Bestell- und Versandnachrichten am besten ganz meiden. Klicken Sie nicht auf Links in E-Mails bzw. SMS, die Sie nicht angefordert haben oder die aus irgendeinem Grund ungewöhnlich sind. Wenden Sie sich zur Bestätigung einer Bestellung oder Lieferung direkt an eine legitime Quelle, indem Sie die Adresse der Website eingeben oder eine bekannte Kontaktnummer anrufen.
4. Gutscheinkartenbetrug wird wieder hoch im Kurs stehen
Gutscheinkarten sind beliebt und praktisch – auch für Cyberkriminelle. Das macht Gutscheinkarten zu einer immer wiederkehrenden Bedrohung, die vor allem zur Weihnachtszeit gehäuft auftritt. Diese Art von BEC-Angriff (Business Email Compromise) ist Teil einer Social-Engineering-Kampagne, bei der Angreifer sich als hochrangige Führungskräfte ausgeben, die angeblich Hilfe bei der Verteilung von Weihnachtsprämien an Mitarbeiter benötigen.
Die Betrugsmasche beginnt oft am Arbeitsplatz mit einer kurzen SMS oder E-Mail, in der getestet wird, wie empfänglich Sie für diese Idee sind. In den darauf folgenden Nachrichten werden Sie aufgefordert, hochwertige Gutscheinkarten mit Firmengeldern zu kaufen oder im Voraus zu bezahlen, wobei eine Rückerstattung versprochen wird. Anschließend sollen Sie die Gutscheinkarten-Nummern und -PINs übermitteln, damit die Betrüger diese einlösen können.
Häufig wirkt Gutscheinkartenbetrug glaubwürdig, weil dabei das Vertrauen von privaten und beruflichen Beziehungen ausgenutzt wird. Zudem nutzen die Angreifer die Emotionen des Opfers aus, beispielsweise den Stolz, den Mitarbeiter empfinden, wenn sie von einer Führungskraft kontaktiert werden oder Teil von etwas Positivem sind, das anderen Freude bereitet.
Zu den Feiertagen ist es daher wichtig, auf Warnzeichen zu achten, zum Beispiel wenn jemand versucht, emotional an Sie zu appellieren. Und nehmen Sie in jedem Fall über einen anderen Kanal Kontakt mit der Führungskraft auf, von der die Anfrage angeblich kommt.
5. Spendenbetrüger nutzen Spenden immer für sich
Cyberangriffe machen sich häufig das Mitgefühl von Menschen zunutze – Betrug mit Spenden zur Weihnachtszeit sind ein Paradebeispiel dafür. Angreifer gründen falsche gemeinnützige Unternehmen oder erstellen Websites, die bekannte Wohltätigkeitsorganisationen nachahmen. Zudem werden Jahr für Jahr Phishing-E-Mails mit Spendenaufrufen verschickt, da immer noch Menschen darauf hereinfallen.
Dieses Jahr erwarten wir, dass Angreifer vertraute herzerwärmende Spendenaufrufe tätigen werden, zum Beispiel für Kinderhilfe-Vereine oder für obdachlose Menschen, die im Winter eine Unterkunft benötigen. Wahrscheinlich werden die kriminellen Akteure ihre Kampagnen auf die ganze Welt ausweiten und aktuelle Nachrichtenthemen als Köder einsetzen. Wundern Sie sich also nicht über falsche Spendenaufrufe, die sich aktueller humanitärer Krisen, Naturkatastrophen und Konfliktgebiete bedienen.
Lassen Sie zur Weihnachtszeit nicht nur bei E-Mails und SMS Vorsicht walten, denn die Angreifer werden alle Kanäle nutzen, die ihnen zur Verfügung stehen. Ähnliche Taktiken können auch bei Telefonanrufen, in sozialen Netzwerken, in Druckerzeugnissen und irreführenden Anzeigen zum Einsatz kommen.
Um Nachahmern aus dem Weg zu gehen, sollten Sie am besten direkt Kontakt zu seriösen Wohltätigkeitsorganisationen und etablierten Hilfsprojekten aufnehmen. Geben Sie dazu beispielsweise die vertraute Webadresse der betreffenden Organisation in Ihren Browser ein, anstatt auf Spendenaufrufe in einer Nachricht zu klicken, die sie unaufgefordert erhalten haben.
Holen Sie sich jetzt unser kostenloses Kit
Die Feiertage rücken immer näher und es wird sich zeigen, welche dieser Betrugsmethoden und Trends die Angreifer in welchem Ausmaß einsetzen und wie groß die Schäden sein werden.
Wie können Sie in der Zwischenzeit sicherstellen, dass die Nachrichten und Medien, mit denen Ihre Anwender in Berührung kommen, seriös sind – und wie können sie ihnen helfen, Unseriöses zu vermeiden?
Der beste Weg zum Schutz Ihrer Mitarbeiter ist eine Security-Awareness-Schulung. Das kostenlose Proofpoint-Kit „Frohe Festtage 2023“ hilft Ihnen dabei. Es umfasst empfohlene Inhalte, mit denen Sie über einen Zeitraum von vier Wochen das Sicherheitsbewusstsein zu den Festtagen und zum Jahreswechsel steigern können. Die Themen des Kits lauten:
- Woche 1: Die Grundlagen für sicheres Online-Shopping
- Woche 2: Wie Phishing-Nachrichten die Reiselust ausnutzen
- Woche 3: Cyberbetrug mit falschen Spendenaufrufen
- Woche 4: Ein Improvisationsspiel zum Kampagnenabschluss
Das „Kit Frohe Festtage 2023“ können Sie hier herunterladen.