Der Trend ist längst in Deutschland angekommen, das Bewusstsein für seine Gefahren jedoch nicht: Mit dem sogenannten »Black Friday« am 24.11., der von manchem Händler hierzulande sogar zu einer ganzen Schnäppchen-Woche ausgedehnt wird, fällt zunehmend auch bei deutschen Online-Shops der Startschuss für das intensive Weihnachtsgeschäft. Doch welchen Gefahren setzen sich Schnäppchenjäger und Geschenke-Shopper aus, wenn sie im Internet unbedacht auf Präsent-Safari gehen? ESET warnt zum vorweihnachtlichen Shopping vor den Gefahren beim Online-Einkauf.
Webbrowser als Einfallstor
Bevor es losgeht, sollte man unbedingt die Voraussetzungen für sicheres Surfen checken: Benutze ich ausreichend sichere Passwörter? Ist meine Sicherheitssoftware auf dem neuesten Stand? Und benutze ich eine aktuelle Browser-Version? Gerade Webbrowser, über die beim Online-Einkauf auch vertrauliche Informationen übermittelt werden, zählen zu den beliebtesten Angriffszielen von Cyberkriminellen und werden leicht zum Einfallstor für Attacken.
Online-Händler im Visier
In der Vorweihnachtszeit, in der Jahr für Jahr mehr Geschenke online gekauft werden, locken die Datenströme bei Online-Shops und im Online-Banking mit potenziell reicher Beute. Mit unterschiedlichsten Methoden – von manipulierten Browser-Plug-ins über gefälschte Apps bis hin zu hartnäckiger Malware – versuchen die Cyberkriminellen am Black Friday ebenso wie in der darauf folgenden Adventszeit ihr Glück.
Um ihre Kunden zu schützen, reagieren einige Online-Händler bereits effizient auf die immer neuen Angriffstaktiken. Sichere SSL-Zertifikate, Zwei-Faktor-Authentifizierung und verschlüsselte Datenübertragung sind Schritte in die richtige Richtung. Dennoch werden Datendiebstähle und Betrugsversuche auch weiterhin Alltag für Anbieter im Netz bleiben.
Vorsicht beim mobilen Schaufensterbummel
Online-Shopper geben sich jedoch nicht nur beim Kauf über den heimischen Rechner in Gefahr. Trotz vieler Mythen sind auch Smartphones und Tablets den gleichen Tücken ausgesetzt. Wer beim Black Friday mobil zugreifen möchte, sollte dies über sichere Kanäle tun und öffentliche WLAN-Hotspots beim digitalen Schaufensterbummel meiden. Die Sicherheitsforscher von ESET entdecken regelmäßig Fake-Apps und unterstützen App-Store-Betreiber bei der Identifizierung von betrügerischen Anwendungen und Sicherheitslücken. Das gilt für Shopping-Apps genauso wie fürs Online-Banking, bei dem man nach dem Kaufrausch nur dann seinen Kontostand überprüfen sollte, wenn man sicher ist, dass einem dabei kein Hacker über die Schulter blickt. Moderne Security-Lösungen wickeln Banking- und Bezahlvorgänge über speziell geschützte Browser ab, die die Kommunikation zwischen Tastatur und Webbrowser verschlüsseln, um zusätzlich gegen Keylogger bei der Eingabe von Kreditkartendaten und anderen persönlichen Daten zu schützen.
Geschenke shoppen ohne Sorgen
Der Black Friday bietet einen Monat vor Heiligabend großartige Möglichkeiten, seinen Lieben Weihnachtswünsche für wenig Geld zu erfüllen. Mit der nötigen Vorsicht beim Geschenke-Shoppen im Internet bleiben auch Konto- und Kreditkartendaten sicher vor Kriminellen geschützt und werden nicht zur leichten Beute für Cyberkriminelle.
Aktuelle Black-Friday- und Cyber-Monday-Phishing-Attacken
Massen-Phishing-Angriffe fälschen populäre E-Commerce- und Marken-Websites, um Nutzerinformationen zu stehlen.
»Black Friday« und »Cyber Monday« stehen vor der Tür und die Shopping-Schlacht beginnt. Doch während Onlinekäufer auf der Jagd nach Schnäppchen sind, locken Cyberkriminelle mit kreativen Betrügereien. Derzeit finden Massen-Phishing-Angriffe statt, die sich den Eifer der Onlinekunden zunutze machen: Bei den Attacken geben sich Kriminelle als bekannte Marken und Onlinehändler wie Amazon, Michael Kors, Ray-Ban oder Pandora aus, um Nutzer dazu zu verleiten, persönliche Daten preiszugeben.
Die Marken und Händler sind jedoch weniger wichtig als die Taktik der Angreifer, da Kriminelle rasch die gefälschten Absender wechseln. Zu tausenden werden bösartige E-Mails versendet, die zeitlich begrenzte Angebote und Geschenkgutscheine versprechen und auf gefälschte Websites weiterleiten. Ziel ist es, Nutzer dazu zu bringen, sich zu registrieren oder sich in den gefälschten Onlineshop einzuloggen. So können Kriminelle Zugangsdaten stehlen, Kreditkarteninformationen und persönliche Daten abgreifen oder den Einkaufsverlauf eines Nutzers für zukünftige Social Engineering-Angriffe ausspionieren.
Mit den folgenden drei kombinierten Methoden locken Angreifer ihre Opfer:
- Phishing: Angreifer versenden riesige Mengen an E-Mails mit gefälschten Kaufangeboten
- Imitation/Brand Hijacking: Cyberkriminelle imitieren bekannte Marken und E-Commerce-Shops
- Spoofing: Websites werden gefälscht, um wie die echte Marken- oder E-Commerce-Website zu erscheinen und Nutzerdaten abzugreifen
Perfide aufgebaute E-Mails: Es reicht meist ein Klick
Die jeweilige Bedrohung ist nur von kurzer Dauer, da die gefälschten Websites häufig abgebaut und neue Angriffe unter anderen Domains gestartet werden. Darüber hinaus sind die gefälschten E-Mails schlau ausgeführt: Angreifer betten bösartige Domain-Hyperlinks in jeden Teil der E-Mail ein, einschließlich aller Bilder und Texte. So reicht ein Klick, um auf bösartige Webseiten weitergeleitet zu werden. Auch wenn diese nicht mit den Original-Webseiten identisch sind, rechnen die Angreifer damit, dass die meisten Verbraucher nicht direkt von den jeweiligen Marken kaufen und die Fälschung deshalb nicht erkennen.
E-Mail-Angriffe fallen häufig durchs Sicherheitsraster
Die meisten E-Mail-Sicherheitslösungen werden diese Phishing-Angriffe nicht blockieren, da Kriminelle Kurz-URL-Dienste und Umleitungen verwenden. Angreifer nutzen die Tatsache, dass Sicherheitslösungen die meisten Kurz-URL-Dienste nicht blockieren. Durch Umleitungen wirkt es zudem so, als würden Benutzer keine bösartigen Websites besuchen.
Sicherheitstipps zur aktuellen »Black Friday«- und »Cyber Monday«-Phishing-Welle
- Vorsicht bei Werbe-E-Mails: Klicken Sie bei Angeboten nicht auf Links in der E-Mail, sondern gehen Sie direkt auf die gewünschte Seite und suchen Sie nach dem Produktangebot.
- Überprüfen Sie das Zertifikat in der linken Ecke der Website: Überprüfen Sie, ob es mit der jeweiligen Website übereinstimmt.
- Vergewissern Sie sich, wenn Sie sich einloggen, registrieren oder persönliche Informationen eingeben, dass die Website sicher ist: Sie können dies im Internet-Browser kurz vor der URL überprüfen. Diese zeigt »Sichere Verbindung« in Grün an.
- Gleiten Sie mit der Maus über jeden Hyperlink, um sicherzustellen, dass er legitim aussieht.
- Vergleichen und verifizieren Sie Websites, in dem sie die gewünschte Seite über eine Suchmaschine neu aufrufen.
- E-Mail-Sicherheitslösung: Verwenden Sie eine E-Mail-Sicherheitslösung, die Sandboxing und einen erweiterten Schutz vor Bedrohungen bietet. Diese sollte Spam, Phishing-Angriffe und Malware blockieren, bevor sie den Mailserver oder Posteingang der Benutzer erreicht. Darüber hinaus können diese Lösungen mit Link Protection einen Anti-Phishing-Schutz bereitstellen, um nach Links zu Webseiten zu suchen, die bösartigen Code enthalten. Links zu kompromittierten Websites werden blockiert, auch wenn diese Links im Inhalt eines Dokuments versteckt sind.
- Benutzerschulung in Unternehmen: Generell sollten Mitarbeiter regelmäßig geschult und getestet werden, um ihr Sicherheitsbewusstsein für verschiedene Angriffe wie diese Phishing-Versuche zu erhöhen. Simuliertes Angriffstraining ist bei weitem die effektivste Form des Trainings.
Wieland Alge, Vice President & General Manager EMEA, Barracuda Networks
Hier einige Beispiele von gefälschten Webseiten:
Hier folgt eine Auswahl an Fachbeiträgen, Studien, Stories und Statistiken die zu diesem Thema passen. Geben Sie in der »Artikelsuche…« rechts oben Ihre Suchbegriffe ein und lassen sich überraschen, welche weiteren Treffer Sie auf unserer Webseite finden.
Spielverderber beim Shoppen: Spam- und Malware (nicht nur) am Black Friday
Bald nun ist Weihnachtszeit: IT-Sicherheitsexperten geben Tipps für sicheres Online-Shopping
Betrügerische »Cyber-Elfen« startbereit für den bisher größten Online-Angriff