Was ist Scam? Scam-Mails und Scamming-Taktiken erkennen

Wenn Nutzer mit der Betrüger-E-Mail interagieren und dem Angreifer vertrauliche Informationen bereitstellen, kann dies langfristige Probleme für Ihr Unternehmen verursachen, einschließlich Identitätsdiebstahl, finanzielle Verluste und Datenverletzungen.

Aber immer häufiger weisen betrügerische E-Mails keines der typischen Anzeichen auf. Die Scam-E-Mails enthalten keine Anhänge oder URLs. Und sie verstecken sich geschickt, indem sie sich als normale Alltagsgeschäfte tarnen.

Diese Angriffe werden manchmal als Business Email Compromise (BEC) oder Email Account Compromise (EAC) bezeichnet. Sie beginnen in der Regel damit, dass sich der Angreifer als jemand ausgibt, dem der Empfänger vertraut – vielleicht ein Chef, Kollege oder Geschäftspartner – und um etwas bittet, das wie eine normale geschäftliche Anfrage aussieht. Dabei kann es sich um eine Überweisung oder die Änderung von Zahlungsdaten handeln, also um Dinge, die im alltäglichen Geschäftsablauf ständig vorkommen. Wenn das Unternehmen merkt, dass etwas nicht stimmt, hat der E-Mail-Betrüger das Geld bereits gestohlen.

Angreifer nutzen viele gängige Strategien. Wenn Sie eine kostenlose E-Mail-Lösung wie Gmail nutzen und Ihre E-Mail-Adresse in Kontaktformularen im Internet verwenden, haben Sie wahrscheinlich betrügerische E-Mails in Ihrem Spam-Postfach.

Manche Angreifer werfen ein weites Netz aus, indem sie E-Mails an tausende Anwender versenden. Bei diesem Modell gilt: Je mehr E-Mails gesendet werden, desto größer ist die Chance, zahlreiche Zielnutzer tatsächlich zu täuschen.

Andere Angreifer wählen einen gezielteren Ansatz, indem sie einen Empfänger mit dem gewünschten Zugang zu Daten, Systemen oder Ressourcen sorgfältig auswählen. Der Angreifer recherchiert das Opfer online und gestaltet die E-Mails so persönlich und überzeugend wie möglich. In einigen Fällen hat der Angreifer dafür bereits ein legitimes E-Mail-Konto kompromittiert und Zugang zu früheren E-Mail-Konversationen, Kalendern und Kontakten – die ideale Voraussetzung für sehr überzeugende Imitationen.

Hier ist ein Beispiel für einen E-Mail-Scam:

Bei dem obigen Bild handelt es sich um eine Nachricht, die an den Spam-Posteingang von Gmail gesendet wurde, bei der ein Angreifer den hohen Bekanntheitsgrad von FedEx nutzt, um einen Nutzer zum Senden privater Daten zu verleiten. Angreifer verwenden diese Art von Nachricht, weil es häufig vorkommt, dass jemand auf ein FedEx-Paket wartet. Wenn die Nachricht an tausende Empfänger gesendet wird, kann sie viele von ihnen täuschen.

E-Mail-Spoofing ist bei Betrugsfällen üblich, aber die E-Mail-Adresse des Absenders im obigen Bild stammt von einer öffentlichen Domain, die nicht mit FedEx in Verbindung steht. Die E-Mail gibt keine Kontaktnummer an, sondern enthält einen einzigen Link, der zu einer bösartigen Website führt.

Ein weiteres Erkennungsmerkmal in diesem Beispiel ist, dass die E-Mail den Empfänger nicht mit seinem Namen anspricht und keine persönlichen Informationen enthält, die ein Anbieter wie FedEx haben würde. Die E-Mail ist allgemein gehalten und enthält nur die E-Mail-Adresse des Empfängers in der Begrüßung (die E-Mail-Adresse ist hier geschwärzt).

Bei E-Mail-Scams gibt es einige Faktoren, die häufig auftreten. Die E-Mails:

• Verwenden ein vertrauenswürdiges bekanntes Unternehmen (wie FedEx, Netflix, PayPal, Ihre Bank usw.).
• Vermitteln Dringlichkeit, wie z. B. den Verlust eines Kontos oder Produkts, wenn der angesprochene Nutzer nicht reagiert.
• Enthalten eine generische Begrüßung ohne Namen.
• Enthalten eine praktische Schaltfläche, auf die der Zielbenutzer klicken kann, um dann auf die bösartige Website zu gelangen.
• Nutzen eine E-Mail-Adresse, die nicht mit dem offiziellen Unternehmen verbunden ist, ihm aber täuschend ähnlichsieht. Der Absender könnte z. B. die Domain fedexx.com verwenden und Nutzer auf diese Weise täuschen, denn die meisten Anwender schenken der Absenderadresse nicht viel Beachtung.

Sie können nicht verhindern, dass Angreifer betrügerische E-Mails an Sie senden. Aber Sie können Schritte unternehmen, um sich vor E-Mail-Scams zu schützen. Unternehmensanwender können Betrugsprävention mithilfe von E-Mail-Filtern und Authentifizierung (wie DMARC) nutzen, um gefälschte Nachrichten und E-Mails von bösartigen Domains zu blockieren. Privatpersonen sollten immer einen E-Mail-Anbieter wählen, der einen integrierten Schutz vor Scams bietet.

Scam-Mails zielen auf Menschen ab, nicht auf Systeme. Deshalb brauchen Sie einen personenzentrierten Ansatz, um diese Angriffe zu stoppen. So können Sie Menschen vor E-Mail-Scams schützen:

• Nutzen Sie eine E-Mail-Abwehr, die Kontrollen basierend auf den individuellen Schwachstellen, Angriffsprofilen und Zugriffsrechten jedes Nutzers anpasst. Sie sollte bösartige Anhänge, unsichere URLs und Social Engineering-Techniken erkennen.
• Verwenden Sie eine E-Mail-Domain-Authentifizierungstechnologie wie DMARC, um E-Mail-Betrugsversuche über Ihre vertrauenswürdige Domain zu verhindern, einschließlich Angriffe auf Ihre Benutzer.
• Verhindern Sie die Kompromittierung von E-Mail- und Cloud-Konten mit einer Technologie, die verdächtige Aktivitäten und andere Anzeichen einer Übernahme sofort erkennt. Scannen Sie interne E-Mails, die von kompromittierten Konten stammen könnten. Verwenden Sie, wenn möglich, Multifaktor-Authentifizierung (MFA), aber bedenken Sie, dass dies keine 100 % sichere Lösung für den Schutz vor einer Kompromittierung von Accounts ist.
• Isolieren Sie riskante Webseiten und URLs. Web Isolation Technology kann verdächtige Webseiten und nicht verifizierte URLs in einem geschützten Container innerhalb des normalen Webbrowsers eines Benutzers analysieren.
• Schulen Sie Ihre Benutzer in den neuesten Phishing-Taktiken und halten Sie sie dazu an, auf E-Mail-Adressen zu achten, die nicht mit dem Absender übereinstimmen (einschließlich solcher mit Domains, die nicht der jeweiligen Marke entsprechen). Geschulte Mitarbeiter sollten Phishing-Mails melden, damit die IT-Abteilung ggf. handeln kann.
• Halten Sie Ihre Sicherheitssoftware (Antiviren- und Antimalware-Software) immer auf dem neuesten Stand.
• Aktualisieren Sie Ihr Betriebssystem, wenn Patches und neue Versionen verfügbar sind. Viele dieser Patches beheben Schwachstellen, die von Forschern und Cybersicherheitsexperten veröffentlicht wurden.
• Sichern Sie Ihre Daten regelmäßig, für den Fall, dass Sie versehentlich einem Scam zum Opfer fallen. Ihre Backups können zur Datenwiederherstellung verwendet werden. Erwägen Sie die Verwendung eines Cloud-Backup-Speichers für den besten Schutz. Denken Sie aber daran, dass viele der kostspieligsten E-Mail-Betrugsfälle gar keine Malware verwenden.