Inhaltsverzeichnis
Definition: Scam-Bedeutung
Der Begriff Scam bezeichnet jede Art von Betrug. Dabei finden viele Scams heutzutage über das Internet statt, oft über E-Mail. In diesem Beitrag erklären wir die häufigsten Scamming-Taktiken per E-Mail und zeigen, wie Sie eine Scam-Mail erkennen.
Was ist eine Scam-Mail?
Scam-Mails sind betrügerische E-Mails, die einen Nutzer dazu verleiten sollen, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen oder Schadsoftware auf seinem Computer auszuführen.
Scam-E-Mails gibt es in vielen Formen, darunter:
- Finanzieller Diebstahl
- Überweisungsbetrug
- Lieferkettenangriffe
Wenn Nutzer mit der Betrüger-E-Mail interagieren und dem Angreifer vertrauliche Informationen bereitstellen, kann dies langfristige Probleme für Ihr Unternehmen verursachen, einschließlich Identitätsdiebstahl, finanzielle Verluste und Datenverletzungen.
Cybersicherheits-Schulungen beginnen hier
So können Sie Ihre kostenlose Testversion nutzen:
- Vereinbaren Sie einen Termin mit unseren Cybersicherheitsexperten, bei dem wir Ihre Umgebung bewerten und Ihre Sicherheitsrisiken identifizieren.
- Wir implementieren unsere Lösung innerhalb von lediglich 24 Stunden und mit minimalem Konfigurationsaufwand. Anschließend können Sie unsere Lösungen für 30 Tage testen.
- Lernen Sie unsere Technologie in Aktion kennen!
- Sie erhalten einen Bericht zu Ihren Sicherheitsschwachstellen, sodass Sie sofort Maßnahmen gegen Cybersicherheitsrisiken ergreifen können.
Füllen Sie dieses Formular aus, um einen Termin mit unseren Cybersicherheitsexperten zu vereinbaren.
Vielen Dank
Wir werden Sie zeitnah zur Abstimmung der nächsten Schritte kontaktieren.
Eine Scam-Email erkennen
E-Mail-Betrüger verwenden verschiedene Strategien, um die E-Mail-Abwehr zu umgehen und Benutzer dazu zu bringen, Informationen preiszugeben oder bösartigen Code auszuführen. Einige betrügerische E-Mails enthalten einen Link zu einer vom Angreifer kontrollierten Website, auf der der Angreifer sensible Daten von den Opfern sammelt. Wenn eine Methode nicht mehr funktioniert, ändern die Angreifer oft ihren Ansatz, um ihre Erfolgsquote zu erhöhen.
Klare Anzeichen für eine Scam-Mail liegen vor, wenn der Absender einer E-Mail:
- behauptet, dass Sie sich bei einer Website anmelden müssen, da ansonsten Ihr Konto geschlossen wird. Diese Taktik enthält einen Link zu einer vom Angreifer kontrollierten Website.
- behauptet, dass Ihre Zahlungsinformationen ungültig sind und Sie sich bei Ihrem Konto anmelden und diese Informationen ändern müssen, um das Konto aktiv zu halten.
- Sie darauf hinweist, dass Ihre persönlichen Daten nicht korrekt sind und dass sie entweder in einer Antwortnachricht oder auf einer Website an den Angreifer gesendet werden müssen.
- eine Rechnung zur Zahlung anhängt.
- ein Gefühl der Dringlichkeit oder Vertraulichkeit vermittelt.
- behauptet, dass Sie eine staatliche Rückerstattung erhalten könnten und nach sensiblen Daten wie der Sozialversicherungsnummer fragt.
- Sie auffordert, private Daten einzugeben, um kostenlose Produkte, Gutscheine oder Geld zu erhalten.
Aber immer häufiger weisen betrügerische E-Mails keines der typischen Anzeichen auf. Die Scam-E-Mails enthalten keine Anhänge oder URLs. Und sie verstecken sich geschickt, indem sie sich als normale Alltagsgeschäfte tarnen.
Diese Angriffe werden manchmal als Business Email Compromise (BEC) oder Email Account Compromise (EAC) bezeichnet. Sie beginnen in der Regel damit, dass sich der Angreifer als jemand ausgibt, dem der Empfänger vertraut – vielleicht ein Chef, Kollege oder Geschäftspartner – und um etwas bittet, das wie eine normale geschäftliche Anfrage aussieht. Dabei kann es sich um eine Überweisung oder die Änderung von Zahlungsdaten handeln, also um Dinge, die im alltäglichen Geschäftsablauf ständig vorkommen. Wenn das Unternehmen merkt, dass etwas nicht stimmt, hat der E-Mail-Betrüger das Geld bereits gestohlen.
Beispiele für E-Mail-Scams
Angreifer nutzen viele gängige Strategien. Wenn Sie eine kostenlose E-Mail-Lösung wie Gmail nutzen und Ihre E-Mail-Adresse in Kontaktformularen im Internet verwenden, haben Sie wahrscheinlich betrügerische E-Mails in Ihrem Spam-Postfach.
Manche Angreifer werfen ein weites Netz aus, indem sie E-Mails an tausende Anwender versenden. Bei diesem Modell gilt: Je mehr E-Mails gesendet werden, desto größer ist die Chance, zahlreiche Zielnutzer tatsächlich zu täuschen.
Andere Angreifer wählen einen gezielteren Ansatz, indem sie einen Empfänger mit dem gewünschten Zugang zu Daten, Systemen oder Ressourcen sorgfältig auswählen. Der Angreifer recherchiert das Opfer online und gestaltet die E-Mails so persönlich und überzeugend wie möglich. In einigen Fällen hat der Angreifer dafür bereits ein legitimes E-Mail-Konto kompromittiert und Zugang zu früheren E-Mail-Konversationen, Kalendern und Kontakten – die ideale Voraussetzung für sehr überzeugende Imitationen.
Hier ist ein Beispiel für einen E-Mail-Scam:
Bei dem obigen Bild handelt es sich um eine Nachricht, die an den Spam-Posteingang von Gmail gesendet wurde, bei der ein Angreifer den hohen Bekanntheitsgrad von FedEx nutzt, um einen Nutzer zum Senden privater Daten zu verleiten. Angreifer verwenden diese Art von Nachricht, weil es häufig vorkommt, dass jemand auf ein FedEx-Paket wartet. Wenn die Nachricht an tausende Empfänger gesendet wird, kann sie viele von ihnen täuschen.
E-Mail-Spoofing ist bei Betrugsfällen üblich, aber die E-Mail-Adresse des Absenders im obigen Bild stammt von einer öffentlichen Domain, die nicht mit FedEx in Verbindung steht. Die E-Mail gibt keine Kontaktnummer an, sondern enthält einen einzigen Link, der zu einer bösartigen Website führt.
Ein weiteres Erkennungsmerkmal in diesem Beispiel ist, dass die E-Mail den Empfänger nicht mit seinem Namen anspricht und keine persönlichen Informationen enthält, die ein Anbieter wie FedEx haben würde. Die E-Mail ist allgemein gehalten und enthält nur die E-Mail-Adresse des Empfängers in der Begrüßung (die E-Mail-Adresse ist hier geschwärzt).
Bei E-Mail-Scams gibt es einige Faktoren, die häufig auftreten. Die E-Mails:
- Verwenden ein vertrauenswürdiges bekanntes Unternehmen (wie FedEx, Netflix, PayPal, Ihre Bank usw.).
- Vermitteln Dringlichkeit, wie z. B. den Verlust eines Kontos oder Produkts, wenn der angesprochene Nutzer nicht reagiert.
- Enthalten eine generische Begrüßung ohne Namen.
- Enthalten eine praktische Schaltfläche, auf die der Zielbenutzer klicken kann, um dann auf die bösartige Website zu gelangen.
- Nutzen eine E-Mail-Adresse, die nicht mit dem offiziellen Unternehmen verbunden ist, ihm aber täuschend ähnlichsieht. Der Absender könnte z. B. die Domain fedexx.com verwenden und Nutzer auf diese Weise täuschen, denn die meisten Anwender schenken der Absenderadresse nicht viel Beachtung.
Wie können Sie sich vor Scam schützen?
Sie können nicht verhindern, dass Angreifer betrügerische E-Mails an Sie senden. Aber Sie können Schritte unternehmen, um sich vor E-Mail-Scams zu schützen. Unternehmensanwender können Betrugsprävention mithilfe von E-Mail-Filtern und Authentifizierung (wie DMARC) nutzen, um gefälschte Nachrichten und E-Mails von bösartigen Domains zu blockieren. Privatpersonen sollten immer einen E-Mail-Anbieter wählen, der einen integrierten Schutz vor Scams bietet.
Scam-Mails zielen auf Menschen ab, nicht auf Systeme. Deshalb brauchen Sie einen personenzentrierten Ansatz, um diese Angriffe zu stoppen. So können Sie Menschen vor E-Mail-Scams schützen:
- Nutzen Sie eine E-Mail-Abwehr, die Kontrollen basierend auf den individuellen Schwachstellen, Angriffsprofilen und Zugriffsrechten jedes Nutzers anpasst. Sie sollte bösartige Anhänge, unsichere URLs und Social Engineering-Techniken erkennen.
- Verwenden Sie eine E-Mail-Domain-Authentifizierungstechnologie wie DMARC, um E-Mail-Betrugsversuche über Ihre vertrauenswürdige Domain zu verhindern, einschließlich Angriffe auf Ihre Benutzer.
- Verhindern Sie die Kompromittierung von E-Mail- und Cloud-Konten mit einer Technologie, die verdächtige Aktivitäten und andere Anzeichen einer Übernahme sofort erkennt. Scannen Sie interne E-Mails, die von kompromittierten Konten stammen könnten. Verwenden Sie, wenn möglich, Multifaktor-Authentifizierung (MFA), aber bedenken Sie, dass dies keine 100 % sichere Lösung für den Schutz vor einer Kompromittierung von Accounts ist.
- Isolieren Sie riskante Webseiten und URLs. Web Isolation Technology kann verdächtige Webseiten und nicht verifizierte URLs in einem geschützten Container innerhalb des normalen Webbrowsers eines Benutzers analysieren.
- Schulen Sie Ihre Benutzer in den neuesten Phishing-Taktiken und halten Sie sie dazu an, auf E-Mail-Adressen zu achten, die nicht mit dem Absender übereinstimmen (einschließlich solcher mit Domains, die nicht der jeweiligen Marke entsprechen). Geschulte Mitarbeiter sollten Phishing-Mails melden, damit die IT-Abteilung ggf. handeln kann.
- Halten Sie Ihre Sicherheitssoftware (Antiviren- und Antimalware-Software) immer auf dem neuesten Stand.
- Aktualisieren Sie Ihr Betriebssystem, wenn Patches und neue Versionen verfügbar sind. Viele dieser Patches beheben Schwachstellen, die von Forschern und Cybersicherheitsexperten veröffentlicht wurden.
- Sichern Sie Ihre Daten regelmäßig, für den Fall, dass Sie versehentlich einem Scam zum Opfer fallen. Ihre Backups können zur Datenwiederherstellung verwendet werden. Erwägen Sie die Verwendung eines Cloud-Backup-Speichers für den besten Schutz. Denken Sie aber daran, dass viele der kostspieligsten E-Mail-Betrugsfälle gar keine Malware verwenden.