Phishing-E-Mails gehören zu den häufigsten Tricks von Betrügern, sind aber in der Regel leicht zu erkennen, wenn man aufmerksam ist. Umständliche Grammatik, zufällige Details und vor allem eine inoffizielle E-Mail-Adresse sind eindeutige Hinweise. Beispielsweise erhalten Sie möglicherweise eine E-Mail mit der Meldung, dass Ihre Apple-ID deaktiviert wurde, die E-Mail des Absenders stammt jedoch nicht tatsächlich von Apple. Jetzt finden Betrüger jedoch Wege, dies zu umgehen.
Nach Angaben des FBI ist es in letzter Zeit zu einem Anstieg von Cyberkriminellen gekommen, die gehackte E-Mail-Konten von Polizei und Regierung nutzen, um gefälschte Vorladungen und Datenanfragen an in den USA ansässige Technologieunternehmen zu senden.
Ich verschenke eine Geschenkkarte im Wert von 500 $ für die Feiertage
Geben Sie ein Anmelden für meinen kostenlosen Newsletter!
Illustration eines Betrügers bei der Arbeit (Kurt „CyberGuy“ Knutsson)
Was Sie wissen müssen
Der FBI hat einen Anstieg der kriminellen Forenbeiträge über Notfalldatenanfragen und gestohlene E-Mail-Zugangsdaten von Polizeibehörden und Regierungsbehörden verzeichnet. Cyberkriminelle dringen in kompromittierte E-Mail-Konten amerikanischer und ausländischer Regierungen ein und nutzen diese, um gefälschte Notfalldatenanfragen an in den USA ansässige Unternehmen zu senden, wodurch Kundendaten für den weiteren Missbrauch bei anderen Straftaten offengelegt werden.
Im August 2024 bewarb ein beliebter Cyberkrimineller in einem Online-Forum „hochwertige .gov-E-Mails“ zum Verkauf, die für Spionage, Social Engineering, Datenerpressung, Notfalldatenanfragen und mehr bestimmt waren. Die Auflistung enthielt sogar US-Berechtigungsnachweise, und der Verkäufer behauptete, er könne Käufer bei Notfalldatenanfragen unterstützen und sogar echte gestohlene Vorladungsdokumente verkaufen, um ihnen dabei zu helfen, sich als Strafverfolgungsbehörden auszugeben.
Ein anderer Cyberkrimineller prahlte damit, im Besitz von Regierungs-E-Mails aus über 25 Ländern zu sein. Sie behaupteten, jeder könne diese E-Mails verwenden, um eine Vorladung an ein Technologieunternehmen zu senden und Zugang zu Benutzernamen, E-Mails, Telefonnummern und anderen persönlichen Kundeninformationen zu erhalten. Einige Betrüger veranstalten sogar eine „Meisterklasse“, in der es darum geht, wie man eigene Notfall-Datenanfragen erstellt und übermittelt, um Daten auf einem beliebigen Social-Media-Konto abzurufen. Für die vollständige Auflistung wird eine Gebühr von 100 US-Dollar erhoben.
Illustration eines Betrügers bei der Arbeit (Kurt „CyberGuy“ Knutsson)
WINDOWS-FEHLER ERMÖGLICHT HACKERN, ÜBER WLAN IN IHREN PC ZU SCHLEICHEN
Wie dieser Phishing-Betrug funktioniert
Wenn Strafverfolgungsbehörden auf Bundes-, Landes- oder lokaler Ebene Informationen über das Konto einer Person bei einem Technologieunternehmen benötigen, beispielsweise deren E-Mail-Adresse oder andere Kontodaten, benötigen sie in der Regel einen Haftbefehl, eine Vorladung oder einen Gerichtsbeschluss. Wenn ein Technologieunternehmen eine dieser Anfragen von einer offiziellen E-Mail-Adresse erhält, muss es dieser nachkommen. Wenn ein Betrüger also Zugriff auf eine Regierungs-E-Mail erhält, kann er eine Vorladung vortäuschen und Informationen über nahezu jeden erhalten.
Um die Überprüfung zu umgehen, senden Betrüger häufig Notfalldatenanfragen mit der Behauptung, dass das Leben einer Person in Gefahr sei und die Daten dringend benötigt würden. Da Unternehmen im Falle eines tatsächlichen Notfalls nicht zögern wollen, geben sie die Informationen möglicherweise weiter, selbst wenn sich herausstellt, dass die Anfrage gefälscht ist. Durch die Darstellung einer Situation, in der es um Leben oder Tod geht, machen es Betrüger den Unternehmen schwerer, sich Zeit für die Überprüfung der Anfrage zu nehmen.
So berichtete das FBI beispielsweise, dass ein bekannter Cyberkrimineller Anfang des Jahres in einem Online-Forum Bilder einer gefälschten Notfalldatenanfrage gepostet hatte, die er an PayPal gesendet hatte. Der Betrüger versuchte, den Eindruck eines legitimen Vorgehens zu erwecken, indem er einen betrügerischen Rechtshilfevertrag verwendete und behauptete, es handele sich um eine örtliche Untersuchung des Kinderhandels, einschließlich einer Fallnummer und eines Rechtscodes zur Überprüfung. PayPal erkannte jedoch, dass es sich nicht um eine echte Strafverfolgungsanfrage handelte und lehnte diese ab.
Illustration einer Person, die eine Phishing-E-Mail erhält (Kurt „CyberGuy“ Knutsson)
CYBERBETRÜGER VERWENDEN KI, UM GOOGLE-SUCHERGEBNISSE ZU MANIPULIEREN
Was können Unternehmen tun, um nicht auf diese Phishing-Betrügereien hereinzufallen?
1) Überprüfen Sie alle Datenanfragen: Bevor Unternehmen vertrauliche Informationen weitergeben, sollten sie jede Datenanfrage überprüfen, auch wenn sie legitim erscheint. Erstellen Sie ein Protokoll zur Bestätigung von Anfragen direkt mit der Agentur oder Organisation, die sie angeblich gesendet hat.
2) E-Mail-Sicherheit stärken: Verwenden Sie E-Mail-Authentifizierungsprotokolle wie DMARC, SPF und DKIM, um E-Mails von nicht autorisierten Quellen zu blockieren. Implementieren Sie Anti-Phishing-Filter, um verdächtige Inhalte in Nachrichten zu erkennen.
3) Schulen Sie Ihre Mitarbeiter im Hinblick auf Phishing-Bewusstsein: Regelmäßige Schulungen zum Thema Phishing-Betrug können Mitarbeitern helfen, Warnsignale wie dringende Sprache, ungewöhnliche Anfragen oder E-Mails von unbekannten Adressen zu erkennen. Mitarbeiter sollten dazu angehalten werden, verdächtige E-Mails zu melden.
4) Beschränken Sie den Zugriff auf sensible Daten: Beschränken Sie, wer vertrauliche Kundendaten einsehen oder teilen kann. Weniger Personen mit Zugriff bedeuten weniger Chancen für versehentliche oder absichtliche Datenlecks.
5) Implementieren Sie Notfallverifizierungsverfahren: Richten Sie einen klaren Verifizierungsprozess für „Notfall“-Datenanfragen ein, einschließlich Schritten zur doppelten Überprüfung mit dem höheren Management oder der Rechtsabteilung, bevor Sie auf eine dringende Anfrage nach Kundeninformationen reagieren.
Illustration eines Betrügers bei der Arbeit (Kurt „CyberGuy“ Knutsson)
Müssen Sie etwas tun?
Dieser spezielle Phishing-Betrug zielt hauptsächlich auf große Technologieunternehmen ab, sodass Sie nicht viel direkt tun können. Es ist jedoch eine Erinnerung daran, dass Sie einer E-Mail nicht automatisch vertrauen sollten, selbst wenn sie von einer .gov-Adresse stammt. Hier sind einige Schritte, die Sie unternehmen können, um sicher zu bleiben.
1) Überprüfen Sie E-Mail-Adressen und Links noch einmal: Auch wenn eine E-Mail offiziell aussieht, nehmen Sie sich einen Moment Zeit, um die E-Mail-Adresse des Absenders zu überprüfen und den Mauszeiger über alle Links zu bewegen, um zu sehen, wohin sie tatsächlich führen. Seien Sie vorsichtig, wenn etwas nicht stimmt. Der beste Weg, sich vor schädlichen Links zu schützen, besteht darin, auf allen Ihren Geräten eine Antivirensoftware zu installieren. Dieser Schutz kann Sie auch vor Phishing-E-Mails und Ransomware-Betrug warnen und so Ihre persönlichen Daten und digitalen Vermögenswerte schützen. Holen Sie sich meine Auswahl der besten Virenschutz-Gewinner 2024 für Ihre Windows-, Mac-, Android- und iOS-Geräte.
2) Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA): Verwenden 2FA für alle sensiblen Konten. Diese zusätzliche Sicherheitsebene schützt Sie auch dann, wenn Ihre Anmeldedaten kompromittiert werden.
3) Bleiben Sie über Phishing-Betrug auf dem Laufenden: Behalten Sie die neuesten Phishing-Taktiken im Auge, damit Sie wissen, worauf Sie achten müssen. Regelmäßige Updates helfen Ihnen, neue Arten von Betrug zu erkennen, bevor sie Sie beeinträchtigen.
4) Verdächtige Anfragen überprüfen: Wenn Sie unerwartet eine E-Mail mit der Bitte um vertrauliche Informationen erhalten, kontaktieren Sie den Absender direkt über einen offiziellen Kanal, um die Anfrage zu bestätigen.
Illustration eines Betrügers bei der Arbeit (Kurt „CyberGuy“ Knutsson)
LASSEN SIE MIT DIESEM KURZEN TIPP NICHT ZU, DASS SNOOPS IN DER NÄHE IHRE VOICEMAIL MITHÖREN
Kurts Schlüssel zum Mitnehmen
Betrüger bringen Phishing-E-Mails auf ein völlig neues Niveau. Ich empfehle oft, die E-Mails sorgfältig zu prüfen, wenn Sie etwas Verdächtiges erhalten, um festzustellen, ob es echt ist. Aber da Betrüger jetzt sogar auf Regierungs-E-Mails zugreifen können, müssen Sie besonders vorsichtig sein. Dieser Phishing-Betrug scheint hauptsächlich auf große Technologieunternehmen abzuzielen. Daher liegt es an ihnen, ihre Sicherheit zu erhöhen und jede Anfrage gründlich zu überprüfen, bevor sie Benutzerinformationen weitergeben. Es liegt auch an den Regierungen weltweit, ihre digitalen Vermögenswerte vor einer Gefährdung zu schützen.
Wie stehen Sie dazu, wie Regierungen mit der Cybersicherheit umgehen? Tun sie genug, um sensible Daten zu schützen? Lassen Sie es uns wissen, indem Sie uns schreiben an Cyberguy.com/Kontakt.
KLICKEN SIE HIER, UM DIE FOX NEWS-APP ZU ERHALTEN
Für weitere technische Tipps und Sicherheitswarnungen abonnieren Sie meinen kostenlosen CyberGuy Report-Newsletter unter Cyberguy.com/Newsletter.
Stellen Sie Kurt eine Frage oder teilen Sie uns mit, welche Geschichten wir behandeln sollen.
Folgen Sie Kurt auf seinen sozialen Kanälen:
Antworten auf die am häufigsten gestellten CyberGuy-Fragen:
Neu von Kurt:
Copyright 2024 CyberGuy.com. Alle Rechte vorbehalten.
