Business E-Mail Fraud – Wissen schützt !

Das Problem des Alltäglichen

Auch in Zeiten moderner Instant-Messaging-Anwendungen wie Slack oder Discord hat die gute alte E-Mail nachwievor eine zentrale Stellung bei der Kommunikation im geschäftlichen Kontext – ob als Mittel in der Interaktion mit Kunden, beim Aushandeln von Verträgen mit Lieferanten und beim Verwalten von Mitarbeitern bis hin zum internen File-Sharing.

Gerade diese alltägliche Anwendung und die Selbstverständlichkeit von E-Mails machen sie zu einem der attraktivsten Einfallswege für Hacking-Agriffe auf Unternehmen. Wie erfolgreich sie dabei sind, zeigen die neusten Zahlen im Data Breach Report von Verizon, wonach E-Mails nachwievor als häufigster Angriffsvektor (96%) für Social Engineering Attacken gelten. Vor allem Phishing-Angriffe auf Unternehmen, der sog. “Business-Email-Fraud” (Geschäfts-Email-Betrug), verursachen immense Kosten.

 

Die schlechte Nachricht – Jeder Mitarbeiter ist betroffen

Business-Email-Fraud kann dabei zahlreiche Formen annehmen. Von relativ einfach zu erkennenden Massenmailings auf Mitarbeiter einer Firma, bis hin zu extrem gut vorbereiteten Spear-Phishing-Attacken gegen einzelne Mitarbeiter. Theoretisch ist jede Person mit einer Geschäfts-Email betroffen. Besonders perfide dabei: häufig geben sich Betrüger als interne Kollegen aus, in einigen Fällen auch als Vorgesetzte. Dann spricht man dabei vom sogenannten “CEO-Fraud” (Vorgesetzten-Betrug).

 

Die Gute Nachricht – Jeder Mitarbeiter kann sein Unternehmen aktiv verteidigen

Allerdings: auch wenn die Ausprägungen von Business-Email-Fraud durchaus vielfältig sind, können Sie sie anhand bestimmter Kriterien erkennen. Dadurch können Sie Selbst aktiv werden und Ihr Unternehmen erfolgreich an der Cyber-Front verteidigen! Das Aufspüren und Verhindern von E-Mail-Betrug ist nämlich auch dann möglich, wenn Sie kein Cybersicherheitsexperte sind. Diese sechs Faktoren sind vielen gefälschten oder betrügerischen E-Mails im Geschäftskontext gemein – sie helfen Ihnen dabei, gefährliche E-Mails zu erkennen:

    1. Dringlichkeit: Cyberkriminelle haben ein hohes Interesse, Betrügereien schnell durchzuführen, um ein etwaiges Misstrauen oder gar eine kritische Prüfung durch das Opfer gar nicht erst zuzulassen. Um den Druck beim Opfer zu erhöhen, fahren sie große Geschütze auf, wie ein angeblicher Vertragsbruch, eine Strafe für eine überfällige Rechnung, eine Kontosperrung oder Abschaltung eines Services.
    2. Schlecht überarbeitete Kommunikation: Seriöse Unternehmen investieren viel Zeit und Geld in die Gestaltung von Mails um die Reputation ihrer Marke zu erhalten und zu erhöhen. Generisch wirkende Grüße, Grammatikfehler und schlechte Formatierung sind markante Signale von Business-Fraud- oder Phishing-Mails.
    3. Kontakte nur per Mail: Hacker sind bemüht ihre falschen Identitäten aufrecht zu erhalten und meiden den persönlichen Kontakt. Bei ungewöhnlichen oder dringlichen Anfragen kann eine Authentizitätsprüfung per Telefon genügen, um sie zu entlarven.
    4. Eigenartige URLs und Domains: Viele Hacker verwenden in Phishing-Mails externe Links, um potenzielle Opfer auf eine gefälschte Homepages oder ein Formular umzuleiten, wo persönliche und finanzielle Daten gesammelt werden. Die falschen Links sind häufig schwer, aber für ein geschultes Auge doch zu erkennen. Ein Beispiel sind sind inkonsistente Links, bei denen die Anzeige- und Ziel-URLs nicht übereinstimmen. Ein Weiteres sind gefälschte, leicht veränderte URLs wie z.B. “webside.com” statt “website.com”.
    5. Kein flexibler Support: Cyberkriminelle imitieren oft bekannte Marken und Organisationen, um Vertrauen und Glaubwürdigkeit bei ihren Opfern auszustrahlen. Mittelständische- und Großunternehmen bieten häufig einen differenzierten Kundensupport und haben oft für spezielle Anliegen geschulte Mitarbeiter. Daher hilft es bei Unsicherheiten, sich nach fachbezogenen Ansprechpartnern zu erkundigen und so zu prüfen, ob eine Informationsanfrage legitim ist.
    6. Zweifelhafte Anlagen: Eine andere gängige Phishing-Technik besteht darin, einen oder mehrere bösartige Anhänge zu betrügerischen E-Mails anzufügen. Diese Dateien können Viren oder andere Arten von Ransomware/Malware enthalten. Besondere Achtsamkeit gilt bei unbekannten Absendern und insbesondere bei besitmmten Dateitypen, wie z.B. komprimierte Dateien (z.B. .rar, .zip), Dateien die zum Ausführen von Programm-Codes verwendet werden (z.B. .bat, .cmd, .exe & .msi) und Macro-fähige Dokumente (z.B. .docm, .pptm und .xlsm).

 

SoSafe

SoSafe testet, sensibilisiert und schult Ihre Mitarbeiter im richtigen Umgang mit Cyberkriminalität. Sie möchten wissen, wie anfällig Ihre Organisation zum Beispiel für Business-Email-Fraud ist? Sie würden gerne einmal sehen, wie eine gezielte Spear-Phishing-Attacke auf Ihr Unternehmen aussehen würde? Und Sie möchten Ihre Mitarbeiter auf moderne Art und Weise mit simulierten Angriffen im richtigen Umgang mit Cyberrisiken trainieren? Dann fragen Sie jetzt einen unverbindlichen Testlauf bei SoSafe an und erhalten Sie erste Transparenz darüber, wie anfällig Ihre Organisation auf diesem Gebiet ist.


www.sosafe.de     Cyber Security Awareness – made in Germany

 

2018-04-30T16:04:33+00:00