Das wachsende Risiko von Geschenkkartenbetrug
BEC-Betrügereien, bei denen es um Geschenkkarten geht, sind in der Regel nicht sehr ausgeklügelt, aber Mitarbeiter fallen trotzdem oft darauf herein.
Wichtige Punkte
- Geschenkkartenbetrug ist eine wachsende Form der Kompromittierung von Geschäfts-E-Mails, die Diebe nutzen, um Unternehmen und Privatpersonen zu betrügen.
- Viele E-Mail-Phishing-Versuche für Geschenkkarten sind relativ simpel, so dass sie leichter zu erkennen sind.
- Eine Kombination aus Schulungen zum Sicherheitsbewusstsein, Richtlinien und E-Mail-Sicherheitsdiensten kann das Risiko eines erfolgreichen Phishing-Angriffs verringern.
Diebe verlassen sich auf eine ständig wachsende Anzahl von Social-Engineering-Methoden, um ahnungslose Empfänger um ihr Geld zu bringen. Eine sich schnell ausbreitende Taktik ist die Kompromittierung von Geschäfts-E-Mails ( ) , die den Kauf von Geschenkkarten vorsehen.
In der Regel bringen die Diebe die Mitarbeiter dazu, echte Geschenkkarten zu kaufen und ihnen die für den Verkauf oder die Einlösung der Karten erforderlichen Informationen zu übermitteln. Dazu versenden sie häufig Phishing-E-Mails, in denen sie sich als Führungskraft ausgeben und den Angestellten auffordern, Geschenkkarten zu kaufen und die Seriennummern zu übermitteln, damit die Karten sofort verwendet werden können. Sie geben eine Vielzahl falscher Gründe für den Kauf von Geschenkkarten an, darunter Überraschungsgeschenke oder den Kauf von Ausrüstung, Verbrauchsmaterial und sogar Essen in einem Restaurant für ein Meeting oder eine Party.[1] Sie fordern oft Karten von großen Marken wie Apple (iTunes), Google (Play), Amazon, Target und Best Buy an. [2]
Der Trend macht sich die Tatsache zunutze, dass die meisten Arbeitnehmer bereits mit Geschenkkarten vertraut sind und diese online kaufen können. Laut dem Marktforschungsunternehmen Statista wurden 2018 in den USA Geschenkkarten im Wert von über 160 Milliarden US-Dollar verkauft, und mehr als 93 % der Bevölkerung haben sie bereits verwendet.[3] Laut der Anti-Phishing Working Group (APWG) liegt die von den Dieben geforderte durchschnittliche Summe bei etwa 1.600 US-Dollar, aber einige Geschenkkartenbetrügereien erreichen mehr als 10.000 US-Dollar.[4]
Geschenkkarten-Betrügereien sind Teil einer breiteren Zunahme von Phishing-Angriffen, bei denen Angreifer in der Regel versuchen, sich als Führungskräfte oder Lieferanten auszugeben, um Mitarbeiter dazu zu verleiten, ihnen Geld zu schicken. Einem FBI-Bericht zufolge wurden in 131 Ländern kompromittierende Angriffe auf Geschäfts-E-Mails entdeckt.[5] Insgesamt haben kompromittierende Angriffe auf Geschäfts-E-Mails seit 2016 schätzungsweise 26 Milliarden US-Dollar an Verlusten verursacht. [6]
Übliche E-Mail-Betrugstechniken für Geschenkkarten
Obwohl viele Angriffe auf Geschenkkarten-E-Mails weit weniger ausgeklügelt sind als andere Arten der Kompromittierung von Geschäfts-E-Mails, können sie offiziell aussehende Logos, Anforderungen oder Kaufaufträge enthalten, die den Anschein erwecken, von einer echten Abteilung, einer Führungskraft oder einem Manager gesendet zu werden. Sie richten sich oft an bestimmte Mitarbeiter, die befugt sind, Einkäufe oder Zahlungen zu tätigen. Wenn eine Phishing-E-Mail zur richtigen Zeit im Posteingang der richtigen Person landet, erregt sie möglicherweise keinen Verdacht. In vielen Fällen arbeiten Diebe, die E-Mail- oder Telefonbetrug begehen, in koordinierten Teams, die Leads generieren, Betrugs-E-Mails verteilen, Aliase erstellen und bei Bedarf gefälschte Dokumente erstellen.[7]
Diebe erfinden auch immer wieder neue Methoden, um Unternehmen mit Geschenkkarten zu betrügen. Eine neue Masche besteht beispielsweise darin, den Empfängern einen mit Malware infizierten USB-Stick zu schicken, zusammen mit einem Brief, in dem behauptet wird, der Mitarbeiter habe eine Auszeichnung erhalten und das USB-Gerät enthalte eine digitale Geschenkkarte eines beliebten Einzelhändlers.[8] Sobald das Gerät an das System des Mitarbeiters angeschlossen ist, wird eine JavaScript-Backdoor mit einem Keystroke Logger installiert.
Wie man die Risiken reduziert
Die gute Nachricht ist, dass es sich bei Geschenkkartenbetrügereien oft um relativ plumpe Angriffe auf Geschäfts-E-Mails handelt, so dass sie leichter zu erkennen und zu blockieren sind. Es gibt mehrere Möglichkeiten, wie Sie sich und Ihr Unternehmen vor E-Mail-Spoofing und anderen Gefahren schützen können:
- Bieten Sie Sensibilisierungsschulungen für Mitarbeiter an. Die wichtigste Verteidigungslinie gegen E-Mail-Spoofing und die Kompromittierung von Geschäfts-E-Mails sind gut geschulte Mitarbeiter. 90 % aller Sicherheitsverletzungen und -pannen sind auf menschliches Versagen zurückzuführen.[9] Durch Schulungen zur Sensibilisierung der Mitarbeiter können diese lernen, verdächtige E-Mails zu erkennen, z. B. gefälschte Links, Rechtschreibfehler und ungewöhnliche Formulierungen oder Anfragen. Wichtig ist auch, dass die Mitarbeiter eine Möglichkeit haben, verdächtige Nachrichten oder Anrufe zu melden.
- Richten Sie Kontrollen ein, die das Risiko minimieren. Gauner finden immer wieder kreative Wege, um Lücken in Prozessen und Kontrollen auszunutzen. Geschenkkartenbetrügereien, die sich auf Phishing-E-Mails oder Telefonanrufe stützen, sind keine Ausnahme. Eine Möglichkeit, das Betrugsrisiko zu verringern, besteht darin, die Zahl der Personen zu begrenzen, die Käufe veranlassen können, spezifische Regeln dafür aufzustellen und den Mitarbeitern eine Liste von Führungskräften zur Verfügung zu stellen, die sie anfordern können. Wenn eine Transaktion ein bestimmtes Limit überschreitet oder außerhalb der normalen Einkaufskanäle liegt, sollten Sie eine zweite Genehmigung vorschreiben und einen Telefonanruf oder eine persönliche Genehmigung verlangen.
- Setzen Sie Software ein, die den Schutz unterstützt. Erweiterte E-Mail-Sicherheitslösungen können viele Phishing-Angriffe erkennen. Es ist wichtig, den Schutz auf mobile Geräte auszuweiten, da Untersuchungen zeigen, dass Smartphone-Benutzer anfälliger für Phishing sind als Benutzer von Desktop- und Laptop-Computern.[10] Verwenden Sie wann immer möglich die Multifaktor-Authentifizierung (MFA).
Die Quintessenz
Angesichts der zunehmenden Zahl von Geschenkkartenbetrügereien und anderen Formen der Kompromittierung von Geschäfts-E-Mails ist es wichtiger denn je, wachsam zu sein und Kontrollen zur Bekämpfung von E-Mail-Betrug zu implementieren. Eine Kombination aus Mitarbeiteraufklärung, Richtlinien und E-Mail-Sicherheitsdiensten kann das Risiko eines erfolgreichen Phishing-Angriffs verringern.
[1] "BEC-Geschenkkartenbetrug verlagert sich aufgrund der Pandemie auf Online-Shops," BleepingComputer.
[2] "How Gift Card Scams Are Used to Finance Fraud," AARP.
[3] "Prognostizierter Geschenkkartenumsatz in den Vereinigten Staaten von 2006 bis 2018," Statista.
[4] "Phishing Activity Trends Report, 4th Quarter 2019," APWG.org.
[5] "Business E-Mail Compromise E-Mail Account Compromise The 5 Billion Dollar Scam," Federal Bureau of Investigation.
[6] "Geschenkkarten: Everyone's Favorite Gift, Especially Criminals," CPO magazine.
[7] "Email Scammers Ditch Wire Transfers for iTunes Gift Cards," Wired.
[8] "Hacker verschicken mit Malware infizierte USBs mit Geschenkkarten von Best Buy," Hackread.com
[9] 2017 Cost of Data Breach Study," Ponemon Institute.
[10] Ebd.
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!