Mimecast Logo
Jetzt starten
Angebot einholen
    Einblicke in die Cyber-Resilienz
    Alle Themen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Brand Protection

    Cyberkriminelle stehlen die Leads der Vermarkter

    Schließen Sie große Schlupflöcher im Internet und in E-Mails, um Phishing, Web-Spoofing und Markenimitation zu verhindern, die zu gestohlenen Leads und verlorenen Umsätzen führen können.

    by Michael Grover
    936117884.jpg

    Wichtige Punkte

    • Da potenzielle Kunden mehr Berührungen benötigen als je zuvor, ist es wichtig zu wissen, wie Cyberkriminelle Marketing-Leads in letzter Minute ablenken können.
    • Verlorene Leads sind mehr als verschwendetes Marketingbudget. Sie bedeuten auch potenziell verlorene Umsätze.
    • Phishing, Domain-Spoofing und Markenimitation in sozialen Medien gehören zu den Taktiken der Cyberkriminellen, um Leads zu stehlen.

    Je nach Branche werden Vermarkter im Jahr 2021 voraussichtlich zwischen 31 und 208 US-Dollar pro Lead ausgeben. [1] Und da Business-to-Business (B2B)-Leads bis zu 13 oder mehr Berührungen benötigen, bevor sie konvertieren, ist es entscheidend, dass die Lead-Sammlung so reibungslos wie möglich verläuft. Das Letzte, was ein Unternehmen gebrauchen kann, ist, dass es sich die ganze Arbeit macht, um potenzielle Kunden vorzubereiten, nur um dann von einem Cyberkriminellen überrumpelt zu werden, der sich in einer Phishing-E-Mail oder auf einer gefälschten Website als die Marke des Unternehmens ausgibt.

    Aber Leads werden regelmäßig von Cyberkriminellen und manchmal auch von hinterhältigen Wettbewerbern gekapert. Der jüngste Bericht von Mimecast The State of Brand Protection 2021 (SOBP) zeigt, dass die Zahl der Angriffe auf die 100 wertvollsten Marken der Welt in den ersten Monaten der COVID-19-Pandemie im vergangenen Jahr um 381 % angestiegen ist - und dass die Zahl der Angriffe in der Folgezeit deutlich gestiegen ist. Um solchen Lead-Stealing-Angriffen Einhalt zu gebieten, bevor sie zu viel Schaden anrichten, bedarf es proaktiver Überwachung, Sensibilisierung - und Maßnahmen.

    Und die Vermarkter müssen das verhindern: Jeder verlorene Lead ist auch ein potenziell verlorener Verkauf. Angesichts einer durchschnittlichen Kapitalrendite von 42 US-Dollar für jeden Dollar, der für E-Mail-Marketing ausgegeben wird, [2] fressen entführte Leads nicht nur das Budget, sondern auch die Umsätze, die einige dieser Leads generiert hätten.

    Phishing-E-Mails sind eine direkte Bedrohung

    Die "gute" Nachricht ist, dass gefälschte Phishing-E-Mails im Großen und Ganzen nicht an Ihre eigene Kundenliste gehen, es sei denn, Sie hatten eine Sicherheitsverletzung. Aber selbst eine billig gekaufte Liste wird wahrscheinlich einige Ihrer Kunden und Interessenten erreichen. Und es ist nur logisch, dass Sie, je größer Sie sind und je größer Ihr Kundenstamm ist, desto wahrscheinlicher werden Sie Opfer von Markenimitationsangriffen . Darüber hinaus können Phishing-E-Mails zu Problemen bei der Zustellbarkeit von E-Mails führen, da Internetdienstanbieter, die versuchen, Marken-Imitatoren zu blockieren, wahrscheinlich auch legitime Marketingorganisationen erwischen, die E-Mails im Namen einer Marke versenden.

    Laut dem SOBP-Bericht wurde vom 1. Oktober 2020 bis zum 31. Januar 2021 fast jede der 100 größten Marken von Kantar regelmäßig angegriffen: Sie verzeichneten im Durchschnitt mehr als 715.000 Phishing-Angriffe pro Monat, insgesamt 2,9 Millionen E-Mail-Phishing-Versuche während des Viermonatszeitraums.

    mostimpersonatedtop100brands.jpg

    Die 20 meistbesuchten Marken der Top 100 im Viermonatszeitraum 10/1/20 - 1/31/21

     

    Insgesamt stieg die durchschnittliche monatliche Zahl der markenimitierenden E-Mails im Jahr 2020 mit 26,95 Millionen sprunghaft an - ein Anstieg von 44 % gegenüber dem Vorjahr, so der SOBP-Bericht. Die monatlichen Klicks auf unsichere URLs verdoppelten sich von etwa 4 Millionen im Januar 2020 auf etwa 8 Millionen im Januar 2021. (Es ist wichtig anzumerken, dass der SOBP-Bericht auf einer Analyse von über 40.000 Mimecast-Kunden basiert, die seine E-Mail-Überwachungstechnologie nutzen, was bedeutet, dass die tatsächliche Zahl der gefälschten E-Mails viel höher ist).

    monthlyclicksonunsafeurls.jpg

    Zu ergreifende Maßnahmen: Sensibilisierung ist der Schlüssel. Alle Mitarbeiter mit Kundenkontakt (Support, Vertrieb) sollten darin geschult werden, was zu tun ist, wenn ein Kunde oder Interessent eine Phishing-E-Mail erhält. Auch die Technologie kann zum Schutz eines Unternehmens beitragen. Zum Beispiel DMARC - was für Domain-based Message Authentication, Reporting and Conformance steht - überprüft, ob eine E-Mail von jemandem kommt, der berechtigt ist, Ihre Domain zu nutzen, und blockiert die Zustellung, wenn dies nicht der Fall ist. Darüber hinaus kann maschinelles Lernen über einen Dienst wie das Brand Exploit Protect Web-Scanning-Tool von Mimecast dabei helfen, sich anbahnende Angriffe und die Domänen, von denen sie ausgehen, zu erkennen und sie automatisch zu blockieren.

    Wenn eine große Anzahl von Phishing-E-Mails entdeckt wird, sollten Sie eine E-Mail an Ihre Kunden senden, damit sie wissen, dass Sie die Situation im Griff haben. Sie werden es zu schätzen wissen, von Ihnen zu hören und zu erfahren, wie Sie damit umgehen.

    Betrüger fälschen Ihren Domänennamen

    Domänennamen und Markennamen sind untrennbar miteinander verbunden, aber Domänennamen, die einem Markennamen zum Verwechseln ähnlich sind, lassen sich nur allzu leicht erwerben - und ausnutzen.

    Es ist nicht nur die Top-Level-Domain (der .com-Teil der Domain), die ein Risiko darstellt. In den meisten Fällen reicht es aus, ein Wort/eine Phrase wie "customerservices" in den offiziellen Domänennamen einer Marke einzufügen. Kunden und potenzielle Kunden können dann leicht glauben, dass es sich um eine legitime Domain handelt, die für einen bestimmten Aspekt des Unternehmens eingerichtet wurde.

    Eine andere Taktik ist das Austauschen eines Buchstabens in einem offiziellen Domänennamen gegen einen anderen Buchstaben oder eine Zahl. Es ist leicht, den Unterschied zwischen amazon.com und amaz0n.com in diesem Satz aufgrund des Kontexts zu erkennen, aber die Analyse des Absender-Domainnamens ist nicht für jeden ein natürlicher Vorgang. Cyberkriminelle nutzten auch im Jahr 2020 die Ablenkung durch die Pandemie aus. Laut dem SOBP-Bericht stieg die Zahl der verdächtigen Domainregistrierungen im Mai/Juni gegenüber Januar/Februar um 366 % an.

    verdächtige-domainreg.png

    Unternehmen, die einem Betrug mit gefälschten Domains zum Opfer fallen, erleiden einen doppelten Verlust. Erstens ist der Lead, der vielleicht zu einem Verkauf geführt hätte, verloren. Zweitens können die Verbraucher das Unternehmen immer noch dafür verantwortlich machen. Dem Bericht zufolge gab fast die Hälfte (48 %) der Verbraucher an, dass sie einen Online-Dienst nicht mehr nutzen, wenn dieser von einer Datenschutzverletzung betroffen ist.

    Zu ergreifende Maßnahmen: Ein Unternehmen kann unmöglich jede Iteration seines legitimen Domänennamens besitzen, aber es gibt sicherlich eine Handvoll "gefälschter" Domänen - sei es durch einen unschuldigen Tippfehler oder eine einfache Buchstabensubstitution -, die kostengünstig und logisch zu besitzen sind. Stellen Sie sicher, dass diese "falschen" URLs auf Ihre offizielle Website umleiten. (Profi-Tipp: Indem Sie die Weiterleitung verfolgen, können Sie feststellen, ob Sie möglicherweise ein Problem mit der Markenbildung haben. Jahrelang hat lego.com jeglichen Verkehr zu legos.com mit einem Hinweis an die Besucher abgefangen, dass der Markenname in der Einzahl und nicht in der Mehrzahl steht).

    Wie beim E-Mail-Phishing sollten Sie sicherstellen, dass Ihre Mitarbeiter geschult sind und über die nötigen Mittel verfügen, um verdächtige Domains ernst zu nehmen und sie zu melden.

    Nachahmungen von Markenseiten in den sozialen Medien

    Ein weiterer Ort, an dem Cyberkriminelle es direkt auf Ihren hochwertigen Kundenstamm abgesehen haben könnten, sind die sozialen Medien . Es ist zum Beispiel einfach, eine gefälschte Unternehmensseite auf Facebook zu erstellen, da der Prozess fast keine Authentifizierung erfordert. Mit ein paar ähnlich aussehenden Grafiken und dem offiziellen Logo des Unternehmens kann ein bösartiger Akteur innerhalb einer halben Stunde eine illegale Facebook-Seite erstellen, die auf Ihren Markt abzielt.

    Mit etwas Werbung, Beiträgen (die vielleicht sogar von der echten Seite übernommen werden) und einer Einladung können einige Ihrer echten Besucher leicht dazu verleitet werden, sich an der neuen gefälschten Seite zu beteiligen. Möglicherweise merken sie nicht einmal, dass sie sich mit einem Betrüger einlassen, was die Fähigkeit eines Unternehmens, soziale Beiträge in Kunden zu verwandeln, weiter beeinträchtigt.

    Zu ergreifende Maßnahmen: Weisen Sie Ihr Social-Media-Team oder Ihre Agentur darauf hin, dass sie gefälschte Konten nicht ignorieren dürfen, und richten Sie ein Verfahren ein, was zu tun ist, wenn sie gefunden werden. Stellen Sie sicher, dass diese gefälschten Konten an das soziale Netzwerk selbst gemeldet werden. Alle großen Anbieter sozialer Medien haben Mechanismen zur Meldung betrügerischer Seiten eingerichtet.

    Der Markenname Ad Blitz

    Auch wenn viele mit der Google-Richtlinie, die die Verwendung von Firmennamen für Keyword-Anzeigen erlaubt, nicht einverstanden sind, ist das Bieten auf einen Firmennamen eine gängige Methode, mit der Cyberkriminelle Ihre hart verdienten Leads erbeuten können. Google gibt an, dass nur ein Markeninhaber einen markenrechtlich geschützten Namen in seinem Anzeigentext verwenden darf, [3] aber abgesehen davon ist es Freiwild.

    Es mag nicht fair erscheinen, dass Sie Ihren eigenen Firmennamen kaufen müssen, aber die Kosten können sich durchaus lohnen. Wenn Ihr Unternehmen nicht auf den ersten Plätzen der organischen Suche auftaucht, garantiert Ihnen der Kauf Ihres Firmennamens nicht nur eine Top-Position, sondern verhindert auch, dass ein böser Akteur versucht, sich mit Ihrem guten Willen davonzumachen.

    Maßnahmen: Nehmen Sie sich die Zeit, die Top-Suchmaschinen für Ihren Firmennamen zu überwachen. Wenn Sie feststellen, dass ein anderes Unternehmen vor Ihnen auftaucht und Ihre Marke in seinem Anzeigentext verwendet, melden Sie dies Google, das die Anzeige des Konkurrenten entfernen wird.

    Reverse-Engineered Keyword-Strategie

    Natürlich geht es bei Suchmaschinen um viel mehr als nur um den Namen eines Unternehmens. Genauso wie Konkurrenten die Webpräsenzen und Suchbegriffsstrategien der anderen analysieren, um die besten Ansätze für sich selbst zu finden, kann sich ein Cyberkrimineller mit Ihren hochrangigen und leistungsstarken SEO- und SEM-Schlüsselwörtern davonmachen, indem er sie rechtmäßig kauft. Und wenn es um Pay-per-Click (PPC)-Anzeigen geht, kann ein Vermarkter nicht viel mehr tun, als ein höheres Gebot für das Keyword abzugeben als der Kriminelle, solange der Cyberkriminelle kein markenrechtlich geschütztes Wort in seinem Anzeigentext verwendet.

    Maßnahmen: Ziehen Sie die Inanspruchnahme eines Dienstes in Betracht, der Sie bei der Strategie und der Überwachung Ihres Suchrankings unterstützen kann. Wenn Sie ein hochwertiges Schlüsselwort an einen Konkurrenten oder Cyberkriminellen verlieren, vergleichen Sie dessen Ergebnisseite mit der Ihren, nehmen Sie einige Änderungen vor und versuchen Sie, Ihre Position wieder zu verbessern.

    Überprüfen Sie Ihr Google My Business-Konto

    Eine weitere Möglichkeit, wie Cyberkriminelle Ihre Leads abgreifen können, ist ein Schlupfloch in Google My Business-Konten. Diese Konten, die buchstäblich dazu dienen, Unternehmen auf der Landkarte zu platzieren, müssen vom Unternehmen verifiziert werden, da sonst jeder Nutzer wichtige Details des Eintrags ändern kann. Stellen Sie sich vor, Ihr Firmenname wird angezeigt, aber mit einer URL und Telefonnummer, die nicht zu Ihnen führt.

    Gehen Sie zu Google Maps und suchen Sie nach Ihrem Firmennamen. Wenn der Eintrag eine Schaltfläche "Bearbeitung vorschlagen" anzeigt, bedeutet das, dass jeder im Internet eine Reihe von potenziell verheerenden Änderungen vornehmen kann, einschließlich der Änderung der URL und der Telefonnummer.

    Maßnahmen: Suchen Sie im Google Maps-Profil nach einem Link mit der Aufschrift "Diesen Eintrag anfordern" (nicht verifiziert) oder "Eintrag verwalten" (verifiziert). Wenn der Name Ihres Unternehmens nicht verifiziert ist, sollten Sie ihn unbedingt verifizieren. Unternehmen, die überhaupt nicht in Google Maps aufgeführt sind, müssen business.google.com aufrufen und den Unternehmenseintrag entweder erstellen oder verifizieren.

     

    Die Quintessenz

    Die Ausbeutung von Marken ist mehr als nur ein Dorn im Auge der Vermarkter. Wenn sich ein böser Akteur als eine Marke ausgibt, kann jeder Klick von einer Phishing-E-Mail oder einer gefälschten Webseite einem Vermarkter einen Lead - und damit einen potenziellen Verkauf - stehlen. Unternehmen müssen proaktiv auf Markenimitationen achten , was die Schulung von Mitarbeitern, die Einrichtung eines Prozesses für den Umgang mit solchen Fällen und die Berücksichtigung von Schlüsseltechnologien einschließt, um Cyberkriminelle zu stoppen, bevor sie Schaden anrichten können.

    [1] " Prognostizierte Durchschnittskosten pro Lead für 2021 nach Branche und Kanal ," Linchpin

    [2] " E-Mail-Marketing-ROI: Was führt zu besseren Erträgen? ," Litmus

    [3] " Warenzeichen ," Google

    gettyimages-1150042042.png
    Nächster Punkt
    Brand Protection |
    Marken-Imitation: Ein Cyberangriff reicht aus, um das Vertrauen der Verbraucher und ihre Kunden zu verlieren

    Verwandte Artikel

    Brand Protection
    Vollständige Anleitung zur Einrichtung des Google G Suite DMARC-Datensatzes
    Brand Protection
    Vernachlässigen Sie die DNS-Sicherheit nicht länger - oder zahlen Sie den Preis
    Brand Protection
    Marken-Imitationen nehmen zu, aber DMARC-Schutz hinkt hinterher

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang