Advent
In den Wochen vor Weihnachten überbieten sich viele Geschäfte mit Angeboten. Die „Sonderangebots-Feiertage“ vor den Feiertagen sind hektisch – und stellenweise auch gefährlich.
Das Ganze beginnt schon Ende November mit der Woche des so genannten Cyber Monday, der Woche nach dem amerikanischen Thanksgiving, in der auch in Deutschland immer mehr Geschäfte ganz besondere Rabatte bieten. An diesen Tagen geben die Menschen mittlerweile oft mehr Geld für Geschenke aus, als in den folgenden Wochen der Adventszeit. Alleine in den USA wurde am vergangenen Cyber Monday mehr Geld als in den Jahren zuvor ausgegeben.
Aus diesem Anlass haben wir mit Angel Grant, einer Sicherheitsexpertin des Unternehmens RSA gesprochen, die uns die größten Gefahren des Online-Shoppings in der Vorweihnachtszeit vorstellt.
Angel, welche Auswirkungen hat der immer wichtiger werdende Cyber Monday auf die Sicherheit der Kunden und Geldbeutel der Cyberkriminellen?
Die Auswirkungen sind signifikant. Alleine in den USA soll der Umsatz von Online-Shops am Cyber Monday um 55 Prozent gestiegen sein. Wir gehen davon aus, dass in diesem Jahr mehr Menschen online einkaufen, als in Geschäften. Vom Standpunkt der Kunden und Händler aus gesehen, muss also enorm auf die Sicherheit aufgepasst werden, da Cyberkriminelle diesem Trend folgen werden. Vor allem sollten Kunden sich bewusst sein, dass wir mit einer 64-prozentigen Steigerung der cyberkriminellen Aktivitäten während solcher Einkaufszeiten rechnen.
Um das zu verdeutlichen, möchte ich einen aktuellen Report erwähnen, den RSA gemeinsam mit Ponemon durchgeführt hat: Wenn ein Händler am Cyber Monday unter einer DDoS-Attacke zu leiden hat und seine Webseite nur eine Stunde offline ist, kann ihn das bis zu 500.000 Dollar kosten – das sind 8.000 Dollar pro Minute, die normalerweise durch die Besucher umgesetzt werden.
DDoS-Angriffe (Distributed Denial of Service), die Online-Shops lahmlegen, sind eine der größten Gefahren für Händler. Kunden dagegen müssen eher mit Phishing-Attacken kämpfen. Welche Arten von Phishing-Angriffen registrieren sie derzeit und wie erfolgreich sind diese?
Wir haben in diesem Jahr definitiv festgestellt, dass die Zahl und die Arten von Phishing-Angriffen steigen. Im Oktober hat unser Anti-Fraud Command Center (AFCC) einen 84-prozentigen Anstieg von Phishing-Attacken im Vergleich zum Vorjahr bemerkt. Das zeigt, dass sich die Cyberkriminellen bereits auf die Weihnachtssaison vorbereiten.
Zudem muss man bedenken, dass Online-Shopping heute nicht nur mit dem PC erledigt wird. In diesem Jahr erwarten wir, dass 20 Prozent des Online-Shoppings mit mobilen Geräten durchgeführt wird. Dazu kommt, dass über 50 Prozent aller E-Mails ebenfalls auf mobilen Geräten gelesen werden. Beste Voraussetzungen auf einer breiteren Angriffsebene für Betrüger, die ebenfalls wissen, dass Händler in dieser Jahreszeit stark in mobile Apps, exklusive Internet-Angebote und immer mehr digitale Werbung investieren.
Die stärksten Phishing-Trends zielen derzeit auf mobile Nutzer, etwa das so genannte SMSishing, bei dem im Grunde eine SMS mit einem Link auf eine Phishing-Seite verschickt wird. Eine derzeit populäre Masche ist zum Beispiel, Anwendern eine SMS zu schicken, in der sie darüber informiert werden, dass sie einen Geschenkgutschein gewonnen haben, und wenn die Anwender auf den Link in der SMS klicken, gelangen sie auf eine Webseite, auf der sie private oder Login-Daten eingeben müssen, die der Betrüger später dann missbrauchen kann. Um sich als Kunde vor solchen Angriffen schützen zu können, sollte man vor allem nicht auf Links in unverlangt erhaltenen SMS-Nachrichten, E-Mails oder Beiträgen in Sozialen Netzwerken klicken.
Es scheint, als würde sich das Phishing vom PC auf mobile Geräte verlagern. Doch welche anderen Gefahren lauern auf Kunden beim Online-Shopping?
Es gibt in diesem Jahr vier Haupt-Bedrohungen, die alle Kunden kennen sollten:
Die erste Gefahr sind gefälschte mobile Apps, die meist vorgeben, von legitimen Händlern zu stammen, in Wirklichkeit allerdings Kontozugangsdaten stehlen und mit verdeckten Rabatten oder Punktesystemen Geld machen. Wenn Kunden eine App herunterladen, sollten Sie dies direkt vom entsprechenden Anbieter tun – die meisten Banken, eWallet-Anbieter, Händler und Sozialen Netzwerke bieten auf ihren Webseiten Links auf ihre Original-Apps. Übrigens sollten Kunden mit Android-Geräten besonders vorsichtig sein, da die meisten Cyberkriminellen auf Android-Nutzer abzielen.
Die zweite Gefahr ist, dass Soziale Netzwerke wie Facebook und Twitter Hauptziele für Betrugsversuche sind, da die Kriminellen wissen, dass Anwender auf diesen Seiten weniger vorsichtig sind. Die Betrüger versuchen, sie zum Herunterladen infizierter Gutscheine und Rabattangebote zu bringen, die sie auf Sozialen Netzwerken bewerben, oder sie täuschen vor, dass diese Angebote von ihren „Freunden“ geschickt werden.Oder sie werden gebeten, auf einer Seite auf „Gefällt mir“ zu klicken, oder eine Umfrage auszufüllen, um einen Gutschein zu erhalten – natürlich erst, nachdem sie persönliche Informationen eingegeben haben.
Die dritte Gefahr ist das Kreditkarten-Testen: Da in der Vorweihnachtszeit besonders viele Kartentransaktionen durchgeführt werden, nutzen Cyberkriminelle diese Zeit, um gestohlene Karten auszuprobieren, die sie in großer Menge in Untergrund-Foren gekauft haben. Deshalb ist es gerade in der Hektik der Vorweihnachstzeit wichtig, Einkäufe und Abbuchungen auf den Kreditkartenabrechnungen genau zu prüfen.
Die vierte Gefahr, die die Anwender kennen sollten, sind so gennante Spear-Phishing-Attacken, die auf die Firmen abzielen, bei denen sie angestellt sind, da viele von uns die gleichen Geräte für die Arbeit und zum Online-Shopping verwenden. Wenn sie das tun, sollten sie entsprechend vorsichtig sein und daran denken, dass ein Klick auf einen infizierten Link nicht nur sie selbst betrifft, sondern auch ihrem Arbeitgeber erheblichen Schaden zufügen kann.
Bleiben wir noch beim Phishing. In vielen Fällen tarnen sich Phisher als legitime Firmen. Egal ob über E-Mails oder, wie Sie schon gesagt haben, über schädliche Coupons auf Sozialen Netzwerken – welche Verantwortung, wenn überhaupt, haben Händler ihren Kunden gegenüber, wenn sich ein Krimineller als dieser Händler ausgibt?
Zunächst muss man sagen, dass sowohl Händler als auch Kunden eine Verantwortung tragen. Händler haben allerdings eine regulatorische Verantwortung, die Zahlungsdaten, Kreditkarteninformationen und persönlichen Daten ihrer Kunden zu schützen, und müssen mit Strafen rechnen, wenn sie diesen Schutz nicht ernst nehmen.
Es ist auch wichtig, dass Händler bemerken, ob ein Kunde oder ein Krimineller mit ihrer Webseite interagiert. Dadurch erkennen Händler nicht nur frühzeitig Angriffe und können Schäden abwenden, sondern reduzieren auch Schadensersatzforderungen, die ansonsten im Januar auf sie zukommen könnten. Zudem stärken sie damit ihr Image und die Beziehung zu ihren Kunden. Dies ist enorm wichtig, da die Auswirkungen durch ein Abwandern der Kunden und den Image-Schaden den finanziellen Schaden bei nur einer Stunde Ausfall der Webseite auf mehrere Millionen hochtreiben können.
Kommen wir zurück zu Kreditkarten: Wie sieht hier die Verantwortung des Händlers aus, wenn es darum geht, sicherzustellen, dass die Zahlungen für Güter wirklich von legitimen Kartenbesitzern kommen, und nicht – wie Sie vorher gesagt haben – von Leuten, die gestohlene Kreditkarten mehr oder weniger en gros im Internet gekauft haben?
Wenn es um die Zahlung geht, müssen Händler immer den schmalen Grat gehen zwischen Risiko, Kosten und Bedienbarkeit, um den Kunden schnelle Zahlungsvorgänge und möglichst wenige abgelehnte Zahlungen bieten zu können. Es gibt hier kommerzielle Produkte und Vorgehensweisen, die Händler nutzen sollten. Sie sollten auf jeden Fall Maßnahmen einführen, um sicherstellen zu können, dass der Kunde auf ihrer Seite echt ist und dass der Zahlungsmechanismus einwandfrei funktioniert und die Zahlung legitim ist. Das geht mit Dingen wie Verify By Visa und SecureCode von Mastercard, die dabei helfen, zu prüfen, ob eine akzeptierte Zahlung von einem legitimen Karteninhaber kommt.
Was tun Leute wie Sie und die Firmen, für die wir beide arbeiten dafür, solche Shopping-Betrügereien einzudämmen?
Man muss immer daran denken, dass die Betrüger dem Geld folgen, deshalb wird auch die Zahl der Angriffe weiterhin steigen. Sie werden nicht verschwinden. Die Kunden kennen mittlerweile Sicherheitslösungen, doch die meisten wissen nicht, dass sie auch von den Händlern geschützt werden, da das hinter den Kulissen passiert. Und genau das macht RSA. Viele der von uns angebotenen Lösungen werden im HIntergrund eingesetzt. Wir schützen Milliarden von Online-Transaktionen hinter den Kulissen.
Ein Beispiel: Anti-Phishing- und Anti-Trojaner-Services, mit denen die weltweit größten Online-Shops geschützt werden, indem Organisationen Webseiten suchen und schließen, die Phishing- und Trojaner-Attacken enthalten. Zudem machen wir forensische Arbeit, um kompromittierte Daten wiederzubeschaffen, etwa gestohlene Kreditkarten.
Ich wollte noch fragen, ob diese Betrügereien jemals verschwinden werden, aber das haben sie bereits mit einem klaren „nein“ beantwortet. Wenn man also bedenkt, dass die Zahl der Angriffe steigt, aber auch die Zahl der installierten Sicherheitslösungen sowie das Bewusstsein der Bevölkerung für Internet-Gefahren – werden wir mehr oder weniger Opfer von Online-Shopping-Betrug haben?
Wir erfahren jedes Jahr von immer mehr Opfern solcher Betrügereien. Kunden und Händler müssen vorsichtiger werden, allerdings werden die Angriffe so ausgeklügelt, da die Betrüger immer schlauer werden. Deshalb müssen wir als Anbieter etwas anders denken, um die Kunden beim Online-Shopping besser schützen zu können. Dazu müssen wir noch besser zusammenarbeiten, um die Angriffe besser analysieren und damit die Kunden immer besser schützen können.
Die Betrüger werden immer kreativer, darum müssen auch die Schutzlösungen für die Kunden immer kreativer werden.
