(Quelle)
Die oben gezeigten Zahlen stammen aus FBI-Berichten und zeigen die durch Einzelpersonen und Unternehmen im Jahr 2019 erlittenen Verluste. Wie wir wissen, ist diese Zahl im Jahr 2020 stark angestiegen: „Es war ein Jahr voller Fake News und Betrügereien. Die Corona-Pandemie wurde genutzt, um Benutzer schamlos auszunutzen“, so Luis Corrons, Security Evangelist bei AVG.
Unter E-Mail-Betrug versteht man im Allgemeinen E-Mails, die darauf abzielen, einer Person oder einem Unternehmen Schaden zuzufügen. Die Opfer werden um große Summen betrogen oder es werden ihnen auf heimtückische Weise wichtige Zugangsdaten wie Bank-E-Mails und Passwörter gestohlen. Natürlich kann es ein Cyberkrimineller auch auf andere Daten abgesehen haben, z. B. auf E-Mail-Listen, Sozialversicherungsnummern oder sogar auf personenbezogene Informationen wie Privatadressen und Telefonnummern.
Oft verwenden die Betrüger Tricks, um die Person zu verunsichern, oder sie machen ihr ein unwiderstehliches Angebot – z. B. das Angebot einer lukrativen Investition oder eines luxuriösen Produkts zu einem Tiefstpreis.
Woran erkennt man betrügerische E-Mails?
E-Mails, die Bestandteil eines ausgeklügelten Betrugs sind, als solche zu erkennen, ist für viele Benutzer schwer. Zumal viele Annahmen in Bezug auf die Vorgangsweise von Cyberkriminellen eher auf Spekulation als Gewissheit beruhen.
Was allerdings nicht in die Kategorie „Spekulation“ fällt, sind die E-Mail-Adresse, die Formulierungen und die Grammatik. Konkret:
.png?width=1426&height=646&name=pasted%20image%200%20(1).png)
(Quelle)
Dies ist keine legitime E-Mail-Adresse, d, h., diese E-Mail ist höchstwahrscheinlich nicht legitim. Eine gute Faustregel für diesen Fall ist es, sich zu überlegen, welche Absicht zum Versand dieser E-Mail geführt haben könnte.
Cyberkriminelle haben es im Allgemeinen auf schnelles Geld abgesehen. Sie sind selten an längerfristigen Vorhaben interessiert. Aus diesem Grund denken sie in den meisten Fällen nicht an Aspekte wie die Personalisierung.
Feingefühl und behutsame Formulierungen sind ebenfalls nicht ihre Stärke. Im Gegenteil: Sie setzen auf aggressive Begriffe wie „DRINGEND“, „EXKLUSIV“ usw.
Dringlichkeit vorzutäuschen, ist ein häufiger Hinweis auf betrügerische E-Mail-Kampagnen. Zwar enthalten auch die meisten E-Mail-Marketing-Tools Elemente wie Countdown-Timer u.ä., um Schwung in E-Mail-Marketingkampagnen zu bringen.
Aber es gibt Unterschiede zwischen diesem Fall:
.png?width=450&height=434&name=pasted%20image%200%20(2).png)
(Quelle)
Und diesem:
.png?width=450&height=307&name=pasted%20image%200%20(3).png)
(Quelle)
Formulierungen wie „Sie müssen gleich etwas unternehmen“ oder „Ihr Konto wird gesperrt“ verursachen Unbehagen oder sogar Panik beim Empfänger. Das sind die typischen sprachlichen Mittel der Cyberkriminellen. Außerdem sind die E-Mails unpersönlich und sehr allgemein gehalten.
Marketingspezialisten verwenden im Gegensatz dazu Formulierungen, die Misstrauen abbauen – sogar gänzlich ausräumen – sollen. Sie wollen die Leser überzeugen, dass sie mit einer echten Marke kommunizieren: mit durch Trigger ausgelösten E-Mails und seriösen Inhalten, die speziell auf sie zugeschnitten sind.
Die verschiedenen Arten von E-Mail-Betrug
Bevor wir uns mit den verschiedenen Arten von E-Mail-Betrug befassen und erklären, wie Sie diese erkennen und Ihr Konto schützen können, wollen wir klarstellen, was zu betrügerischem Verhalten gehört.
Die Betrüger:
-
versuchen, den Empfängern wichtige Informationen und Passwörter zu entlocken, indem sie vorgeben, dass ein dringendes – und gravierendes – Problem besteht
-
geben vor, zu einer bekannten Marke zu gehören oder Partner eines vertrauenswürdigen Ansprechpartners zu sein
-
schreiben mit fehlerhafter Grammatik
-
behaupten, komplexere und aufwendigere Verfahren zu benötigen, als bei einer bekannten Marke nötig wären (z. B. eine bestimmte Telefonnummer anzurufen oder eingescannte Dokumente zu senden)
Aber gehen wir ein wenig ins Detail.
Was ist E-Mail-Phishing?
Die häufigste digitale Betrugsmethode ist E-Mail-Phishing.
Phishing-E-Mails wollen den Empfänger in eine Falle locken und sie dazu verleiten, finanzielle Daten, Passwörter für geschützte Webseiten oder andere sensible Informationen preiszugeben.
Phishing ist deshalb so erfolgreich, weil es dem menschlichen Verhalten nachempfunden ist. Die Betrüger setzen Verfahren ein, die das Denken einer Person manipulieren und sie glauben lassen, dass eine dringende Situation vorliegt, die schnelles Handeln erfordert.
Dieses Gefühl einer unmittelbar drohenden Gefahr bewegt die Benutzer dazu, Online-Zahlungen zu tätigen oder wichtige Daten preiszugeben.
Was ist Spam?
Spam-E-Mails sind nicht per se gefährlich, aber sie haben das Potenzial dafür. Sie sind für eine große Zahl von Empfängern bestimmt, vor allem zu kommerziellen Zwecken, und meistens fehlt es ihnen an Personalisierung und Segmentierung.
Sie könnten deshalb Gefahren bergen, weil die Marke oder die Person, die den Empfänger anschreibt, ihre E-Mail-Liste nicht auf organische Weise aufgebaut hat. Im Gegenteil: Ihre Daten könnten sehr wohl durch Data-Mining gewonnen oder zu einem hohen Preis verkauft worden sein, ähnlich wie der Inhalt der E-Mail-Liste insgesamt.
Was sind betrügerische E-Mails?
Mit betrügerischen E-Mails wollen die Cyberkriminellen die Empfänger dazu verleiten, Informationen preiszugeben, die ihnen in vielerlei Hinsicht Schaden zufügen.
Von körperlichen und seelischen Verletzungen bis hin zum Identitätsdiebstahl oder falschen Behauptungen über illegale Aktivitäten: Betrügerische E-Mails können eine verheerende Wirkung auf das Wohlbefinden der Empfänger haben.
Was ist Spoofing?
Spoofing-Betrüger verwenden E-Mail-Adressen, die denjenigen bekannter Marken, mit denen die Empfänger wahrscheinlich interagieren würden, täuschend ähnlich sehen, sowie E-Mail-Inhalte, die die Unternehmenslogos und -farben der besagten Marke enthalten. Diese Adressen sehen also auf den ersten Blick durchaus legitim aus, etwa „@venrno.com“ anstelle von „Venmo“ usw.
In der Regel enthalten solche E-Mails einen Link, über den der Empfänger womöglich Malware herunterlädt oder persönliche Informationen preisgibt, was im schlimmsten Fall zu großen finanziellen Verlusten führt.
Was ist Malware?
Malware ist Software, die den Cyberkriminellen den Zugang zu einem Computer verschafft – und damit zu Passwörtern. So können sie dann sensible Daten überwachen, verändern und letztlich stehlen.
Die Opfer erhalten normalerweise eine E-Mail von einer fragwürdigen Absenderadresse, die verdächtige Links oder Anhänge enthält. Die E-Mail fordert dazu auf, einen Anhang herunterzuladen oder auf einen Link zu klicken. Diese Maßnahmen seien Teil eines Standardverfahrens, um eine drohende Gefahr abzuwenden.
Wie Sie sich bei jedem Schritt schützen können
Das wirksamste Verfahren, um sich gegen Angriffe durch betrügerische E-Mails zu schützen, besteht darin, sich zu informieren und zu wissen, was zu einem solchen Betrug gehört.
Verwenden Sie die folgenden Maßnahmen, um sich gegen Angriffe mittels betrügerischer E-Mails zu schützen:
Backups und Zwei-Faktor-Authentifizierung verwenden
Mit Backups und Zwei-Faktor-Authentifizierung können Sie Benutzerdaten sichern und zugleich die Benutzer darüber aufklären, was zu erwarten ist.
Backup-Software kann Informationen sichern, damit der Benutzer auch bei starker Beschädigung seines Computers nicht plötzlich feststellen muss, dass sämtliche Daten auf seinem Computer gelöscht wurden.
Die Zwei-Faktor-Authentifizierung hingegen sendet eine Meldung an den Benutzer, wenn verdächtige Login-Aktivitäten oder Passwortänderungen entdeckt werden. Bei der Zwei-Faktor-Authentifizierung wird der Benutzer aufgefordert, die Aktion zu prüfen und zu authentifizieren. Dies stellt sicher, dass die Aktion wirklich vom Benutzer ausgeht.
Betriebssystem und Antivirusprogramm auf dem neuesten Stand halten
Das Betriebssystem (BS) eines Computers muss immer auf dem neuesten Stand sein. Manche Betrugsmethoden können die Sicherheitsvorkehrungen älterer Versionen Ihres Betriebssystems außer Kraft setzen. Dies gilt insbesondere, wenn man bedenkt, dass das Betriebssystem häufig Ziel von Angriffen ist, vor allem bei älteren Versionen von Internet-Browsern und mittels betrügerischer E-Mails.
Auch für Antivirus-Software gilt: Sie muss stets auf dem neuesten Stand sein. Aktuelle Antivirus-Software kann Computer gegen neuere Versionen von Malware schützen.
Wie man E-Mail-Betrug erkennt
Wie bereits erwähnt, besteht die erste und wichtigste Schutzmaßnahme darin, zu verstehen, was E-Mail-Betrug ist und welche Symptome es dafür gibt.
Die Benutzer sollten die E-Mail-Adresse des Absenders überprüfen und auf Unstimmigkeiten zwischen Adressen und Domänennamen achten und darüber hinaus beachten, dass Spam-E-Mails meist kleinere Fehler enthalten.
Dies sind in erster Linie Rechtschreibe-, Syntax- und Grammatikfehler. Dies ist unterschiedlich stark ausgeprägt – je nachdem, wie raffiniert die Cyberkriminellen bei ihrem Betrugsversuch vorgehen.
.png?width=991&height=613&name=pasted%20image%200%20(4).png)
(Quelle)
Diese betrügerische E-Mail ist recht raffiniert und auf den ersten Blick könnte ein Benutzer leicht darauf hereinfallen. Die Adresse des Absenders ist jedoch einer der verräterischen Punkte.
Dasselbe gilt für die Anrede. Im Zeitalter der Personalisierung und des ausgefeilten Lead-Nurturing ist die Anrede „Hallo Nutzer“ eher ungewohnt – und deshalb verdächtig. In dieser E-Mail wird der Empfänger zwar nicht aufgefordert, ein wichtiges Passwort preiszugeben; stattdessen soll er einem verdächtigen Link folgen.
Unerwünschte E-Mails mit merkwürdig aussehenden Links und Anhängen sollten immer als verdächtig betrachtet werden, sofern der Empfänger die Adresse des Absenders nicht kennt – und in manchen Fällen selbst dann.
Andere Arten von Angriffen, auf die Sie achten sollten
Manchmal sind E-Mail-Betrügereien nur das Tüpfelchen auf dem i eines gut durchdachten, umfassenden Betrugs mit mehreren Komponenten. Aus diesem Grund müssen Benutzer sich über die verschiedenen Arten von Online-Angriffe auf dem Laufenden halten.
HTTPS-Phishing-Angriffe
Benutzer gehen oft davon aus, dass HTTPS-Websites und -Links sicher und seriös sind. Das trifft jedoch nicht zu, da Cyberkriminelle dieses Protokoll in den Links von Phishing-E-Mails verwenden, um glaubwürdig zu erscheinen.
Vergewissern Sie sich, dass der Link, auf den Sie klicken sollen, nicht verkürzt ist, sondern dass es sich tatsächlich um den Originallink der Website handelt, auf die Sie zugreifen sollen. Achten Sie außerdem darauf, ob Hypertext vorhanden ist: Die „harmlose“ URL in der E-Mail könnte sehr wohl einfacher Text sein, der mit einer betrügerischen Webseite verknüpft ist.
SMS- und Social-Media-Phishing:
Beim SMS-Phishing (Smishing) wird Malware installiert und dann versucht, potenzielle Opfer über SMS-Nachrichten dazu zu verleiten, sensible Daten wie z. B. Kreditkartendaten preiszugeben. Die SMS-Nachrichten scheinen von einer bekannten Marke oder einer bestimmten Person zu kommen und enthalten in der Regel einen Link, der zu einer Seite führt, auf der der Empfänger aufgefordert wird, persönliche Daten offenzulegen.
Social-Media-Phishing ist eine weitere Methode, mit der Betrüger versuchen, an vertrauliche Informationen zu gelangen, mit denen sie die Benutzer dann auf andere Weise weiter betrügen können. Manchmal verwenden Cyberkriminelle Social-Engineering-Techniken, wie z. B. die Vorspiegelung einer Zusammenarbeit mit Instagram-Influencern, die den Social Proof stärken und es den Empfängern leichter machen, ihnen zu vertrauen.
Vishing (Voice-Phishing)
Vishing ist ein Verfahren, per Telefon an Daten zu kommen. In der Regel haben es die Betrüger auf die Kreditkartendaten des Opfers abgesehen, in manchen Fällen kann aber auch Identitätsdiebstahl beabsichtigt sein.
In den meisten Fällen generiert ein Dialer eine Nummer nach dem Zufallsprinzip, und die Betrüger „ködern“ den Anrufer, indem sie vorgeben, dass es ein Problem mit der Kreditkarte oder gar mit einem Familienmitglied des potenziellen Opfers gibt. Dies vermittelt dem Opfer das Gefühl, sofort handeln zu müssen.
Unsere Erkenntnisse
Benutzer befinden sich oft in einer schwierigen Lage, da sie nicht sicher sind, ob sie einer E-Mail-Adresse vertrauen sollen oder nicht, wenn sie zu einer dringenden Handlung aufgefordert werden.
Im Zeitalter ausgeklügelter digitaler Kampagnen ist es wichtig, daran zu denken, dass nicht alles so ist, wie es scheint, und dass E-Mails, die nicht auf ein bestimmtes Benutzerverhalten zurückgehen, aber zu bestimmten Handlungen auffordern, bei denen personenbezogene Daten übermittelt werden müssen, sehr wohl Betrug sein können.
Das kann Ihren Computer und sein Betriebssystem beschädigen, und zwar sowohl Windows als auch macOS, denn entgegen der weitverbreiteten Ansicht ist auch dieses Betriebssystem anfällig für Viren.
Die oben genannten Fakten unterstreichen die Notwendigkeit des Einsatzes von E-Mail-Marketing, Marketing-Automatisierung und aktualisierten Antivirus-Tools, die wirklich effektiv sind.
