Feiertags-Spam und Phishing-Kampagnen stellen Einzelhändler vor eine Herausforderung

Während die Weihnachtszeit zu Ende geht, versuchen böswillige Akteure, gestresste Verbraucher auszunutzen, indem sie das Volumen von Spam- und Phishing-Angriffen in Form von unerwünschten E-Mails und E-Mail-basierten Bedrohungen erhöhen – und Unternehmen werden darunter leiden.

Einem Bericht des Bitdefender Antispam Lab zufolge ist das Volumen von Spam mit Weihnachtsmotiven seit dem 27. November stetig gestiegen, wobei zwischen dem 6. und 9. Dezember ein Anstieg der unerwünschten Korrespondenz zu verzeichnen war.

Betrüger wenden die bewährten Taktiken gefälschter Umfragen, Online-Dating-Möglichkeiten für Feiertage, Angebote für Inhalte für Erwachsene und Rabatteinkäufe für Designerwaren an.

Große Unternehmen, darunter Netflix und Lowes, gehörten zu den Spoof-Subjekten, die Verbraucher mit exklusiven Angeboten und Bargeldgeschenken locken – der Haken dabei ist natürlich, dass sie zuerst Kreditkartennummern oder Bankinformationen eingeben müssen.

Eine kürzlich durchgeführte Studie ergab, dass mehr als ein Drittel der Amerikaner dies getan haben Opfer von Online-Shopping-Betrug geworden während der Feiertage und verlor dadurch durchschnittlich 387 $.

Alina Bizga, Sicherheitsanalystin bei Bitdefender, erklärt, dass Bedrohungsakteure versiert sind, wenn es um das Targeting geht. Die Ferienzeit bringt in der Regel eine Vielzahl von Social-Engineering-Werbekampagnen darauf abzielen, Kontoinhaber dazu zu bringen, ihre Zugangsdaten zu stehlen und andere schändliche Aktivitäten durchzuführen.

„Sie aktualisieren ihre Taktiken und Köder und nehmen das Verbraucherverhalten zur Kenntnis, indem sie ihre Social-Engineering-Angriffe so planen, dass sie die Benutzer überraschen und sensible persönliche Daten und Geld stehlen oder ihre Geräte und Finanzkonten kompromittieren“, sagt sie.

Konsequenzen für legitime Unternehmen

Bizga fügt hinzu, dass Organisationen auch finanzielle Verluste und Reputationsschäden erleiden können, wenn Bedrohungsakteure ein legitimes Unternehmen nachahmen, um Verbraucher dazu zu bringen, ihre persönlichen Daten oder ihr Geld preiszugeben.

„Betrügereien, die beliebte Handelsnamen nutzen, die über groß angelegte Spam-Kampagnen verbreitet werden, können sich sowohl auf Verbraucher als auch auf Mitarbeiter auswirken, und Unternehmen müssen einen klaren Aktionsplan haben, um potenzielle Schäden nach einem Phishing-Betrug zu minimieren“, sagt sie.

Dazu gehören die Identifizierung betrügerischer Kommunikation, das Sammeln von Informationen über das Ausmaß der Angriffe und die Benachrichtigung von Verbrauchern und Strafverfolgungsbehörden.

Sam Curry, Chief Security Officer von Cybereason, sagt, dass die jährliche Flut von saisonalem Spam legitimes Marketing für Unternehmen viel schwieriger macht.

„Wenn die Bösewichte versuchen, wie legitimes Marketing auszusehen, wird legitimes Marketing weniger vertrauenswürdig und weniger toleriert“, sagt er. „Wenn Ihre E-Mail-Warteschlange bis zu 200 Junk-E-Mails pro Tag erreicht und Sie es leid sind, 170 Mal auf „Löschen“ zu klicken, dann ist es wahrscheinlicher, dass Sie bei den vergrabenen legitimen Marketinginhalten auf „Löschen“ klicken, als nicht.“

Für Einzelhändler besteht der Kampf gegen Spam und Phishing aus zwei Gründen: dem Schutz des Kunden und dem Schutz des Unternehmens.

Curry weist darauf hin, dass jetzt die Zeit ist, in der viele Einzelhändler schwarze Zahlen schreiben.

„Sie können in ein paar Tagen mehr verdienen als in einigen Monaten im Rest des Jahres, weshalb sie die IT und Änderungen einfrieren und sich darauf konzentrieren, Kunden in großem Umfang zu bedienen“, sagt er.

Das bedeutet jetzt Schluckauf sind dadurch noch schmerzhafter.

„Im Sicherheitsbereich messen wir Risiken in Bezug auf Wahrscheinlichkeit und Auswirkungen, und während der Ferienzeit nehmen die Auswirkungen dramatisch zu“, sagt er. „Das wiederum verändert die Reaktionen und Eventualitäten von Unternehmen, sodass sie eher ein Lösegeld zahlen oder drastische Maßnahmen ergreifen, um Probleme und Probleme zu beheben.“

Bedrohungsakteure suchen nach schnellen, einfachen Gewinnen

Bizga sagt, obwohl Cyberkriminelle ihre Taktiken, Techniken und Verfahren (TTPs) regelmäßig anpassen, die häufigsten Angriffsvektoren Phishing, das Ausnutzen von Schwachstellen sowie menschliches Versagen und Fehlkonfigurationen gehören zu den während der Weihnachtszeit beobachteten Angriffen.

„Darüber hinaus können Angriffe auf die Lieferkette den Zugang Dritter wie Lieferanten, Händler oder Auftragnehmer zu ihrem Ökosystem ausnutzen“, stellt sie fest. „Zum Beispiel kann die Verletzung eines kleinen Lieferanten zum Zugriff auf seinen viel größeren Kunden oder den gesamten Kundenstamm führen.“

Michael DeBolt, Chief Intelligence Officer bei Intel 471, sagt, dass Cyber-Bedrohungsakteure immer nach schnellen und einfachen Erfolgen suchen, die mit geringem Risiko und geringem Aufwand zu beträchtlichen Gewinnen führen.

„Die Urlaubszeit zum Jahresende bietet Bedrohungsakteuren eine einzigartige Gelegenheit, illegale Gewinne zu steigern, da Einzelhändler und Verbraucher Waren und Dienstleistungen abwickeln, sich bei Online-Konten anmelden, Produkte versenden und empfangen und vieles mehr ," er sagt.

In der gesamten Organisation wachsam bleiben

DeBolt sagt, dass Einzelhandelsunternehmen sich dessen bewusst sein müssen die neuesten Spam- und Phishing-Kampagnen ihre Kunden gezielt ansprechen.

Ausgestattet mit diesen Informationen können Unternehmen gezielte Sensibilisierungskampagnen durchführen, um Kunden vor potenziellen Bedrohungen zu warnen und zu zeigen, wie sie vermieden werden können.

Er weist darauf hin, dass Sicherheits- und Betrugsteams Maßnahmen zur Schadensbegrenzung ergreifen können, indem sie die Kontrollen innerhalb der Umgebung anpassen, um sich gegen ATO-Angriffe (Account Takeover) zu schützen.

„Die gleichen Malware-Spam-Kampagnen, die auf Verbraucher abzielen, können auch für Mitarbeiter in Unternehmen verwendet werden“, fügt er hinzu.

Ein infizierter Computer, der einem Mitarbeiter gehört, kann Anmeldeinformationen für Remote-Netzwerkzugriffe oder Anmeldeinformationen für die Speicherung sensibler Daten enthalten, was zum Diebstahl von Unternehmensinformationen führen oder als Ausgangspunkt für eine Ransomware-Installation im Unternehmensnetzwerk dienen kann.

„Die vielleicht wichtigste Erkenntnis ist, dass Informationssicherheit im gesamten Unternehmen praktiziert und verstanden werden muss, nicht nur [von] den Netzwerkverteidigern“, sagt er.

Im Kampf gegen Spam und Weihnachtsphishing müssen Einzelhändler ihren Kunden die richtigen Informationen und Kanäle zur Verfügung stellen, über die sie verdächtige, in ihrem Namen gesendete Korrespondenz melden können.

Laut Bizga sollten Unternehmen auch saisonale Sensibilisierungskampagnen durchführen, um Verbraucher über laufende Spam-/Phishing-Kampagnen zu informieren und den zuständigen Domainnamen-Registrar zu benachrichtigen, um betrügerische Aktivitäten zu melden.

„Zusätzliche Abhilfemaßnahmen sollten die Benachrichtigung von Strafverfolgungsbehörden und juristischen Stellen umfassen, die bei rechtlichen Schritten behilflich sein und gegen böswillige Akteure beraten können“, sagt sie.

Die Gefahren des Kundenvertrauensverlusts

Patrick Harr, CEO von SlashNext, erklärt, dass schlechte Schauspieler die Markenbekanntheit großer Einzelhändler und anderer Unternehmen nutzen, um ihre Opfer in ein falsches Sicherheitsgefühl zu locken.

„Wenn ein Opfer merkt, dass es betrogen wurde, kann es dazu führen, dass es das Vertrauen in die Marke verliert, obwohl es natürlich nichts mit dem eigentlichen Betrug zu tun hatte“, sagt er. „Wie wir alle wissen, kann der Verlust des Verbrauchervertrauens zu erheblichen Umsatzeinbußen führen“, sagt Harr.

Er rät Einzelhändlern, einen starken Markenschutzdienst einzusetzen, der auf Fälle von Markenidentitätsdiebstahl prüft.

Sobald ein Betrug oder Identitätsdiebstahl identifiziert wurde, muss ein Antrag gestellt werden, zusammen mit Beweisen, um zu beweisen, dass es unrechtmäßig ist.

„Dies kann jedoch einige Zeit in Anspruch nehmen, daher sollten Einzelhändler einen automatisierten Dienst einsetzen, der diese Identitätsfälschungen kontinuierlich scannt und meldet“, sagt Harr. „Es wird Identitätsdiebstahl nicht vollständig stoppen, aber Unternehmen, die sich wehren, machen sich weniger zu einem Ziel für zukünftige Identitätsdiebstähle.“

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
Quelle: https://www.darkreading.com/attacks-breaches/holiday-spam-phishing-campaigns-challenge-retailers

Generative Datenintelligenz

Feiertags-Spam und Phishing-Kampagnen fordern Einzelhändler heraus

Konsequenzen für legitime Unternehmen

Bedrohungsakteure suchen nach schnellen, einfachen Gewinnen

In der gesamten Organisation wachsam bleiben

Die Gefahren des Kundenvertrauensverlusts

Altcoin Avalanche: Dissecting the Crash, Revolut’s UK Crypto Entry, and a Glimpse into Crypto’s 2024 Passive Income Strategies

Deciphering the Altcoin Downturn: Analyst Insights and the Road Ahead for Crypto Markets

Neueste Intelligenz

Altcoin-Lawine: Den Absturz, regulatorische Schwankungen und rückläufige Aussichten inmitten der Blockchain-Entwicklung aufklären

Altcoin-Lawine: Bewältigung des Absturzes, Revoluts britische Krypto-Aktion und Bidens SEC-Erschütterung

Analyse des Altcoin-Abgrunds: Top-Analyst entschlüsselt Crash-Dynamik inmitten regulatorischer Gerüchte und DeFi-Hoffnungen

Entschlüsselung des Altcoin-Crashs: Eine umfassende Analyse von Experten inmitten einer turbulenten Kryptolandschaft

Altcoin Avalanche: Analyse des Abschwungs und der Zukunft der Kryptowährung inmitten regulatorischer Veränderungen und Marktdynamik

Entschlüsselung des Altcoin-Abschwungs: Marktkräfte, regulatorische Auswirkungen und Analystenperspektiven zur Zukunft der Kryptowährung