Finanzdienstleister im Visier von Cyberkriminellen
E-Mail-Betrug betrifft nicht nur Unternehmen des Finanzsektors, doch auch Cyberkriminelle arbeiten ergebnisorientiert. Falls sie es schaffen, einen Mitarbeiter eines Unternehmens der Finanzbranche zu überlisten und für ihre Zwecke einzuspannen, verspricht dies ein äusserst lukratives Geschäft zu werden.
Wenn Finanzdienstleister dem Phänomen des E-Mail-Betrugs effektiv entgegenwirken möchten, müssen sie sich mehrere Trends vergegenwärtigen: Angriffe richten sich immer weniger gegen die IT-Infrastruktur. Hier haben die Unternehmen in den vergangenen Jahren ihre Hausaufgaben gemacht, sodass Sicherheitslücken, die Hacker für ihre Zwecke nutzen könnten, deutlich zurückgegangen sind. Viel einfacher, und für Cyberkriminelle deutlich kosteneffizienter, sind Social-Engineering-Attacken, die einzelne Mitarbeiter ausgewählter Unternehmen aufs Korn nehmen. Hier sind die technischen Einstiegshürden für Hacker niedriger, während der mögliche Ertrag ungleich höher ist.
Schaden für Finanzdienstleister um 50 Prozent höher als in anderen Branchen
Was jedoch für Cyberkriminelle ein lohnender Ertrag ist, verursacht auf der anderen Seite erhebliche Kosten. Der Ende Juli diesen Jahres von IBM und dem Ponemon Institut veröffentlichte "Cost of a Data Breach Report" beziffert die durchschnittlichen Kosten einer erfolgreichen Attacke für Unternehmen des Finanzdienstleistungssektors auf 5,86 Millionen US-Dollar (umgerechnet 5,72 Millionen Franken) und damit um annähernd 50 Prozent höher als im Durchschnitt aller Branchen.
E-Mail-Betrug als Betrugsmasche Nummer eins
Wie ausgereift E-Mail-Betrug gegen Unternehmen des Finanzsektors heute ist, zeigt sich auch in den Ergebnissen der aktuellen Studie "Email Fraud in Financial Services" von Proofpoint. Belegt wird nicht nur ein Anstieg der Angriffe um 60 Prozent von 2017 auf 2018, auch die Zahl der angegriffenen Personen im Unternehmen steigt. So waren bei 56 Prozent der Unternehmen mehr als fünf Mitarbeiter mit Betrugsversuchen konfrontiert.
Auffällig ist ferner ein stark erhöhtes Angriffsaufkommen am Montag sowie zwischen 7 und 14 Uhr – jeweils in der Zeitzone des potenziellen Opfers. Damit wollen die Angreifer die geringere Aufmerksamkeit von Mitarbeitern auszunutzen, die nach dem Wochenende oder zu Beginn des Arbeitstages ihren E-Mail-Posteingang abarbeiten.
Vorsicht vor Zahlungsanweisungen und als dringend deklarierten Anfragen
Kategorisiert man betrügerische E-Mails anhand ihrer Betreffzeilen, ist besondere Vorsicht bei all jenen Nachrichten geboten, die zu einer Zahlung auffordern, eine Anfrage beinhalten oder als dringend ausgewiesen sind.
Misstrauen schulen
Um effektiv gegen heutige Angriffe gewappnet zu sein, benötigen Unternehmen umfassende Kenntnis aller Ziele, die im Visier der Kriminellen stehen, sowie Kontrolle über alle Betrugsmethoden hinweg, einschliesslich Domain Spoofing, Display Name Spoofing und Lookalike Domains. Ebenso wichtig ist es, das Misstrauen der Mitarbeiter zu schulen, wie es bereits die Royal Bank of Scotland praktiziert. Dort begann man, über simulierte Phishing-Attacken die Wahrscheinlichkeit zu testen, dass Mitarbeiter auf einen echten Betrugsversuch hereinfallen. Diejenigen Nutzer, die mehrfach auf diese gefälschten Phishing-Nachrichten hereinfielen, erhielten ein besonders intensives Training: Dadurch konnte die Wahrscheinlichkeit, dass Nutzer auf betrügerische Kampagnen reagieren, um 78 Prozent reduziert werden.
Dies zeigt, dass intensive Schulungen ein erfolgreiches Mittel darstellen, um den Menschen mit seinen Schwächen besser gegen die aktuellen Bedrohungen durch Cyberkriminelle zu wappnen.