Mail-Hacking: Achtung vor den neuesten Maschen

Die Digitalisierung bringt neben zahlreichen Vorteilen natürlich auch neue Gefahren mit sich. Cyberkriminelle finden immer neue Möglichkeiten, um ihre Opfer zu täuschen, allem voran: Mail-Hacking. Die Angreifer gehen dabei mit immer raffinierteren Betrüger-Maschen vor – und haben vor allem das höhere Management im Visier. Wir halten Sie über die neuesten Methoden auf dem Laufenden und verraten Ihnen, wie Ihre E-Mail Security immer up to date bleibt.

Sehr geehrte Leserin, sehr geehrter Leser

Nach eingehender Prüfung unserer Unterlagen mussten wir feststellen, dass Sie gegen Vertragsbedingungen verstossen haben. Wir möchten Sie daher darüber informieren, dass eine Schadenersatzklage gegen Sie erhoben wird. In nachfolgenden Link und in den Dokumenten im Anhang finden Sie weitere Informationen.

Vor einiger Zeit haben Sie zudem ein kostenpflichtiges Abonnement bei uns abgeschlossen. Dafür möchten wir Ihnen danken. Unter folgendem Link finden Sie alle Informationen zu den Zahlungsdetails, Nutzungsbedingungen und Möglichkeiten des Widerrufs Ihres Abonnements.

Führen Sie vielleicht ein Restaurant oder ein Café? Das trifft sich gut, denn nach einem Besuch in Ihrem Lokal erlitt eine Familienangehörige eine Lebensmittelvergiftung. Wir informieren Sie hiermit darüber, dass wir Sie auf Schmerzensgeld verklagen. Im Anhang finden Sie das Schreiben unserer Anwälte und das Attest des behandelnden Arztes.

Laden Sie das Dokument. Klicken Sie auf den Link. Geben Sie uns Ihre Daten!

Malspam – Hochprofessionelle und kreative Täuschungs-Manöver

So oder noch kreativer klingt Malspam (kurz für Malicious Spam). Empfänger werden durch aggressive und schockierende Behauptungen getäuscht und dazu gebracht, vorschnell einen Link zu klicken oder eine Datei zu öffnen, welche mehr Informationen verspricht. Tatsächlich führt der Klick sofort zum Download einer Schadsoftware, die Cyberkriminellen Tür und Tor zu allen Daten und Konten öffnet.

Diese Betrugsmails sind längst keine dilettantischen Täuschungsversuche mehr – ganz im Gegenteil! Hochprofessionell werden Designs und Logos von vertrauenswürdigen Unternehmen verwendet und sehr oft ist Malspam personalisiert, d.h. die Empfänger werden mit Namen angesprochen und auch die Wohnadresse oder die Telefonnummer sind angegeben. Solche täuschend echten Betrugsmails können nur schwer entlarvt werden.

Dass Kriminelle vor geschmack- und pietätlosen Betrugsmails nicht zurückschrecken, zeigt auch die neueste Warnung der MELANI*: Derzeit sind gefälschte E-Mails im Namen des Bundesamts für Gesundheit (BAG) im Umlauf, welche die Verunsicherung der Bevölkerung aufgrund der Situation um das Coronavirus für gezieltes Mail-Hacking ausnutzen. In dem Mail wird eine Datei zum Download angeboten, welche die Anzahl der Infizierten in der näheren Umgebung der Nutzer enthalte – stattdessen aber den Computer mit Schadsoftware infiziert.

Bekannte Mail-Hacking Maschen werden weiterentwickelt

Datendiebstahl durch manipulierte URLs sind kein Novum. Die Zahl der Phishing-Angriffe steigt laut aktuellen Angaben der Melde- und Analysestelle Informationssicherung (MELANI)* seit Jahren kontinuierlich: Dadurch werden sowohl Kreditkartendaten gestohlen als auch Benutzernamen und Passwörter von Online-Diensten wie E-Banking, Spotify, Apple, Paypal oder Amazon. Immer mehr Angriffe richten sich zudem gegen E-Mail-Konten, da diese einige Zeit später für weitere Datendiebstähle verwendet werden können. Eine neuere Variante ist das sogenannte «Real Time Phishing». Dabei gelingt es Betrügern, gezielt den Schutz der Zwei-Faktor-Authentisierung zu umgehen. Beim «normalen» Phishing stossen die Täter nämlich dann an ihre Grenzen, wenn sie versuchen, sich mit den erbeuteten Daten anzumelden – und dann ein neu generiertes One Time Password (OTP) verlangt wird. Beim Real Time Phishing werden die Täter daher in Echtzeit aktiv, sobald der Empfänger auf den Phishing-Link in der Betrugsmail klickt. Mit perfekt gefälschten Login-Seiten stehlen die Betrüger sowohl die Anmeldedaten als auch sofort im Anschluss das vom Benutzer generierte und an sie gesendete OTP. Nichtsahnend öffnet das Opfer den Betrügern Tür und Tor und wird selbst nur mit einer Fehlermeldung vertröstet.

Dringende Überweisung – Anweisung per Mail direkt vom Chef!

Eine ebenfalls weit verbreitete Betrüger-Masche ist der sogenannte CEO-Betrug. Dabei schreiben Cyberkriminelle Betrugsmails an Organisationen und Unternehmen, deren Internetseiten oder Soziale Netzwerke alle Informationen bereitstellen, die für einen solchen Angriff nötig sind: Namen und E-Mail-Adressen von Personen und deren Funktion oder Position. Diese Information, ein fingiertes Mail vom Chef an einen Finanzverantwortlichen mit der dringenden Bitte um Überweisung eines unauffälligen Betrages ist alles, was für diese Mail-Hacking Masche nötig ist.

 10 einfache Massnahmen gegen Mail-Hacking

Mithilfe einfacher Massnahmen können Sie Ihre E-Mail Security verbessern und sich und Ihr Unternehmen noch besser schützen:

1. Führen Sie eine Zwei-Faktor-Authentifizierung mittels Authenticator App und eine Passwort-Policy für sichere Passwörter ein.
2. Bleiben Sie auch dann wachsam, wenn persönliche Daten in einem Mail genannt werden. Klicken Sie in suspekten Mails nicht auf Anhänge oder Links.
3. Seien Sie skeptisch bei Mails, die Sie zu einer raschen Handlung auffordern und Ihnen mit negativen Konsequenzen drohen.
4. Überprüfen Sie die Absender-Adresse. Wenn Sie sich unsicher sind, ob der Absender vertrauenswürdig ist, recherchieren Sie im Internet eine Kontaktmöglichkeit des Unternehmens, kontaktieren Sie den Support und fragen Sie nach, ob das Mail tatsächlich von dem Unternehmen stammt.
5. Seriöse Unternehmen würden Sie niemals per Mail nach vertraulichen Informationen fragen. Geben Sie daher Passwörter oder andere sensible Daten auf keinen Fall, erst recht nicht bei Anfrage per Mail weiter.
6. Achten Sie auf sprachliche Ausdrucksweise, Rechtschreibung, Grammatikfehler, Inkonsistenzen bei der Mehrsprachigkeit und Abweichungen im Layout oder Design des vorgetäuschten Unternehmens.
7. Überdenken Sie die Informationen, die Sie und Ihre Mitarbeitenden auf der Firmen-Webseite, aber auch in den sozialen Netzwerken öffentlich zur Verfügung stellen.
8. Sensibilisieren und schulen Sie Ihr Personal regelmässig zu den neuesten Betrüger-Maschen, zur Cyber Security* allgemein und für den Umgang mit verdächtigen Mails.
9. Machen Sie den Healthcheck: Analysieren Sie die aktuelle Bedrohungs- und Sicherheitslage für Ihr Unternehmen, den Status Quo Ihrer Cyber bzw. E-Mail Security und regeln Sie die Zuständigkeiten mit Ihrem IT-Dienstleister.
10. Schützen Sie sich, bevor es zu spät ist. Informieren Sie sich, zum Beispiel mit diesem Merkblatt zur Informationssicherheit von KMUs der MELANI* und gerne auch direkt bei uns. Wir unterziehen Systeme und Unternehmen einem Cyber Security Risk Assessment* und schulen Personal mit unserem Security Awareness Training.

* Keine Angst. Unsere Links sind garantiert Phishing-sicher – versprochen!