E-Mail-Sicherheit

    FBI: 'Scampages' erhöhen die Anforderungen an E-Mail-Sicherheit und Markenschutz

    Das FBI warnt davor, dass Marken-Identitäten und E-Mail-Phishing-Angriffe die Zwei-Faktor-Authentifizierung umgehen und E-Mail-Konten kompromittieren können.

    by Mike Azzara
    getty-dark-room-with-laptop.jpg

    Wichtige Punkte

    • Das FBI gab letzte Woche bekannt, dass es Cyberkriminelle entdeckt hat, die markentreue Verbraucher mit E-Mail-Phishing-Betrügereien ins Visier nehmen und so deren Firmen-E-Mail-Konten gefährden können.
    • Cyberkriminelle geben sich als Markenhersteller aus, "weil so viele Menschen Markendienste nutzen und weil diese Unternehmen ein hohes Maß an Vertrauen und Legitimität genießen", so das FBI.
    • Schlimmer noch: Cyberkriminelle vertreiben solche Hacking-Tools als eine Art "Produkt-as-a-Service" - einschließlich fortlaufender technischer Unterstützung - und ziehen damit weniger erfahrene Kriminelle ohne Programmierkenntnisse an.

    Gemeinsam mit der US-Behörde für Cybersicherheit und Infrastruktursicherheit hat das FBI letzte Woche eine öffentliche Bekanntmachung veröffentlicht, in der Unternehmen und Verbraucher vor gefälschten Websites (Scampages) und damit verbundenen Phishing-E-Mails gewarnt werden, die markentreue Käufer dazu verleiten, persönliche Daten preiszugeben, indem sie sich als ihre Lieblingsmarken ausgeben.

    Laut PSA handelt es sich um mehrstufige Betrugskampagnen, mit denen die Zwei-Faktor-Authentifizierung (2FA) umgangen werden kann, insbesondere wenn der zweite Faktor das Senden von Bestätigungscodes an eine E-Mail-Adresse beinhaltet.[1] Wenn die Betrüger erkennen, dass eine Person ihre E-Mail-Adresse als Benutzer-ID für ein Markenkonto verwendet, können sie sie auf eine ähnliche Seite derselben Domäne wie ihre E-Mail-Adresse umleiten und versuchen, die Anmeldedaten und das Passwort des E-Mail-Kontos des Benutzers zu stehlen. Mit diesen Informationen können Marken-Identifikatoren 2FA-Benachrichtigungen abfangen, was bedeutet, dass sie Passwörter zurücksetzen und die Konten des Benutzers auf allen Marken-Websites übernehmen können, auf denen die Person regelmäßig einkauft oder andere Geschäfte tätigt.

    Wie bereits in der Vergangenheit bei ausgefeilter Hackertechnologie geschehen, vertreiben die Kriminellen, die hinter dieser zunehmenden Flut von Betrügereien stehen, ihre Software als eine Art "Produkt-as-a-Service", das laut FBI "ihren eigenen laufenden technischen Support" beinhaltet. Dadurch wird das Volumen der Angriffe drastisch erhöht, da auch technisch nicht versierte Kriminelle Scampage-Kampagnen erstellen können.

    Sowohl das FBI als auch Mimecasts eigene frühere Untersuchungen zeigen Wege auf, wie sich Unternehmen vor Imitationsangriffen schützen können, unabhängig davon, ob ihre eigene Marke imitiert wird oder Angreifer sich als eine andere Marke ausgeben, um die IT-Infrastruktur Ihres Unternehmens zu kompromittieren.

    Wie man Angriffe zur Markenausbeutung vermeidet

    Der Bericht von Mimecast zum Stand des Markenschutzes 2021 (SOBP) kommt zu dem Schluss, dass eine Kombination aus Technologie und Mitarbeiterschulung erforderlich ist, um sich gegen die Kompromittierung von Geschäfts-E-Mails und Phishing-Angriffe zu schützen, die sich der Taktik der Markenimitation bedienen. Die SOBP-Studie empfiehlt, dass Unternehmen:

    • Train: Eine Studie, in der Mimecast-Kunden mit und ohne Awareness-Training verglichen wurden, ergab, dass Mitarbeiter in Organisationen ohne Training durchschnittlich 13,6 Mal häufiger auf bösartige Links klickten als solche mit Training.
    • Zusammenarbeit: Insbesondere sollten Sicherheitsexperten eng mit den Marketingfachleuten des Unternehmens zusammenarbeiten, die in der Regel für den Schutz der Marke zuständig sind. Ein Befragter im SOBP-Bericht sagte: "Sicherheitsteams sollten mitfahren und betrügerische Websites abschießen, sobald sie auftauchen, damit sie den Marketingverantwortlichen nicht in die Quere kommen."
    • Monitor: Marketingspezialisten und Führungskräfte sind immer wieder überrascht, wie sehr ihre Marken von Cyberkriminellen ausgenutzt werden - aber Marken erfahren das Ausmaß des Problems nur, wenn sie es tatsächlich überwachen. Andernfalls ist die Ausbeutung für die geschädigte Marke praktisch unsichtbar. Die Messung des Problems ermöglicht Maßnahmen.
    • Outsourcing: Schutzdienste von Drittanbietern sind kostengünstiger und effektiver als die Arbeit im eigenen Haus, so eine Studie von Frost & Sullivan. Der Brand Exploit Protect Service von Mimecast beispielsweise konzentriert sich ausschließlich auf die Identifizierung und Beseitigung bösartiger Marken-Imitations-Sites.
    • Einsatz von DMARC: Mit dem E-Mail-Authentifizierungsstandard DMARC (Domain-based Message Authentication, Reporting and Conformance) können Unternehmen E-Mails identifizieren, die sich als ihre Marke ausgeben, und ihre legitimen E-Mails authentifizieren, damit sie nicht im Spam-Ordner landen. Aber DMARC erfordert Überwachung, strategische Analyse und Planung.

    FBI-Markenschutz-Empfehlungen

    Die PSA des FBI ermutigt Partner aus dem privaten Sektor, wachsam zu bleiben, interne Richtlinien zu überprüfen und weiterhin mit ihren Kunden über Kontosicherheitsprotokolle zu kommunizieren". Die PSA enthält darüber hinaus spezifische Empfehlungen für Unternehmen, die sie an ihre Mitarbeiter und Kunden weitergeben sollten:

    • Seien Sie misstrauisch, wenn Sie unaufgefordert per E-Mail oder über soziale Medien von jemandem kontaktiert werden, den Sie nicht kennen, insbesondere wenn Sie aufgefordert werden, einen Link oder eine angehängte Datei zu öffnen.
    • Klicken Sie nicht auf Links in einer E-Mail oder einem Text - Punkt, Fall abgeschlossen. Navigieren Sie stattdessen manuell zu der Website, die Sie besuchen möchten.
    • Überprüfen Sie die Schreibweise von Webadressen, Websites und E-Mail-Adressen, die vertrauenswürdig aussehen, aber möglicherweise Imitationen legitimer Versionen sind.
    • Verwenden Sie sichere, eindeutige Passwörter, und zwar für jedes Konto ein anderes.
    • Speichern Sie keine wichtigen Dokumente oder Informationen, wie z. B. private Schlüssel für digitale Währungen, Daten mit Ihrer Sozialversicherungsnummer oder Fotokopien Ihres Führerscheins, in Ihrem E-Mail-Konto.
    • Wenn möglich, erstellen Sie eindeutige Benutzernamen für Online-Konten - verwenden Sie nicht Ihre primäre E-Mail-Adresse.
    • Aktivieren Sie 2FA-Optionen, um Online-Konten zu sichern, aber verwenden Sie etwas anderes als Ihre Haupt-E-Mail als zweiten Faktor, z. B. "eine Telefonnummer, softwarebasierte Authentifizierungsprogramme/-apps, einen USB-Sicherheitsschlüssel oder ein separates E-Mail-Konto (mit einem eindeutigen Passwort, das nicht mit anderen Verbraucherkonten verknüpft ist)".

    Das FBI ermutigt jeden oder jede Organisation, die glaubt, Opfer eines Markenbetrugs geworden zu sein, sich an die örtlichen Strafverfolgungsbehörden oder an die örtliche FBI-Außenstelle zu wenden. Darüber hinaus wird empfohlen, die Aktivitäten sofort dem Internet Crime Complaint Center des FBI zu melden.

    Die Quintessenz

    Es wird immer schwieriger, Ihre Marke vor Online-Imitationen zu schützen oder Ihr Unternehmen vor Kompromittierung von Geschäfts-E-Mails, Ransomware und anderer Cyberkriminalität zu bewahren, die Marken-Imitationen nutzt, um in das Unternehmensnetzwerk einzudringen. Die Widerstandsfähigkeit gegenüber Cyberangriffen erfordert zunehmend starke Cybersecurity-Technologien wie sichere E-Mail-Gateways, laufende Schulungen zum Sicherheitsbewusstsein, Überwachungsdienste für Markenangriffe - und ständige Wachsamkeit.

    [1] "Cyber-Kriminelle entwickeln und verkaufen wahrscheinlich Betrugs-Tools, um Anmeldedaten von Marken-Konsumenten zu sammeln," FBI

    Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen

    Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang

    Anmeldung erfolgreich

    Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben

    Wir bleiben in Kontakt!

    Zurück zum Anfang