Cyberangriffe auf Autos
Abgreifen von Schlüsseldaten mit „Scanner-Boxen“:
Keyless-Go-Systeme – wie sie heute schon in vielen Autos verbaut werden, sind ein lohnendes Ziel für Hacker. Befindet sich der Kriminelle mit seiner Scanner-Box in der Nähe des elektronischen Originalschlüssels – selbst wenn dieser in der Wohnung liegt und das Auto vor der Türe steht – kann er die Daten kopieren und ganz einfach per Knopfdruck das Auto öffnen und starten. Um in einem solchen Fall mobil zu bleiben, lohnt sich ein Schutzbrief oder eine Mobilitätsgarantie.
Erpressung der Besitzer mit „Ransomware“:
Noch Zukunftsmusik – aber absolut denkbar. Hacker und Cyberkriminelle können durch die Verbreitung von sogenannter „Ransomware“ Datensätze des Fahrzeugs verschlüsseln und erst gegen Zahlung eines „Lösegelds“ wieder freigeben. Damit könnten Autos vollständig lahmgelegt werden, bis man sie wieder freikauft.
Datenklau und Identitätsdiebstahl:
Cyberkriminelle haben es nicht nur auf die Autos an sich, sondern auch auf die persönlichen Daten der Besitzer abgesehen. Aktuelle Fahrzeuge sammeln persönliche Daten. Bewegungsprofile, Telefonbucheinträge bis hin zu Kreditkarten-Informationen und Login-Daten für Online-Accounts können gehackt und missbraucht werden.
Car Cloning:
Damit können Diebe geklauten Autos Identitäten anderer Autos verleihen. D.h. dass sie die Fahrzeuge unbemerkt und nicht nachvollziehbar exportieren und mit der gefälschten Identität – Fahrzeugbriefe oder andere Fahrzeugdokumente – gewinnbringend weiterverkaufen.
Remote Hacking:
Wie bereits am Beispiel des Jeep Cherokee beschrieben, können damit gewisse Funktionen von Fahrzeugen über drahtlose Telekommunikationsnetzwerke verändert, aktiviert oder deaktiviert werden.
5 Arten der Online‑Erpressung
Die Tricks der Cyberkriminellen sind endlos, wenn es darum geht Menschen online das Geld aus der Tasche zu ziehen. Die Online-Erpressung gehört zu den häufiger verwendeten Maschen. Laut dem jüngsten Internet Crime Report des FBI (PDF, engl.) beklagen alleine die US-Opfer von Erpressung im vergangenen Jahr einen Schaden von rund 107,5 Millionen US-Dollar.
Doch oft halten sich die Erpresser nicht nur an einen Trick, sondern versuchen ihre Opfer auf verschiedene Arten auszunehmen oder zur Ausführung von Aufgaben zu zwingen.
Ransomware
Ransomware ist bei weitem das bekannteste Beispiel für Online-Erpressung durch Hacker und findet auf der ganzen Welt statt. Die Ziele reichen von Unternehmen und Organisationen, über Regierungen bis hin zu Einzelpersonen. Die Grundvoraussetzung ist, dass Geräte, mithilfe verschiedener Hacking-Taktiken, von Ransomware befallen werden. Das geschieht beispielsweise durch das Anklicken eines bösartigen Links aus einer E-Mail, den sozialen Medien oder einer Messenger-Nachricht.
Nachdem die Malware in Ihr Gerät eingedrungen ist, verschlüsselt sie entweder Ihre Dateien und lässt Sie nicht darauf zugreifen, oder Sie schließt sie vollständig von Ihrem Computer aus, bis Sie das Lösegeld bezahlen.
Eine neue Masche einiger Ransomware-Gruppen ist eine Form des Doxing. Dabei durchsuchen die Kriminellen Ihre Dateien nach vertraulichen Informationen und drohen ihren Opfern mit der Veröffentlichung, wenn diese keine zusätzliche Gebühr zahlen. Es ist eine doppelte Erpressung.
Wichtig für Opfer eines Ransomware-Angriffs: Bevor Sie sich fragen, ob Sie den Erpressern nachgeben sollen (engl.) oder nicht, sollten Sie überprüfen, ob es schon ein Entschlüsselungstool für den Ransomware-Stamm gibt, der Ihr Gerät befallen hat. Im Übrigen lautet die Antwort: Zahlen Sie nicht! Weitere Hinweise zum Schutz vor Ransomware-Angriffen finden Sie in unserem ausgezeichneten, ausführlichen Artikel Expertenrat zum Umgang mit Ransomware.
Hacken und erpressen
Die Überschrift erklärt diese Form der Erpressung schon sehr gut. Nach der Infiltration ihres Computers oder ihrer Online-Konten durchsuchen die Erpresser ihre Daten nach sensiblen oder wertvollen Informationen und stehlen diese. Obwohl dieser Angriff einer Ransomware-Attacke ähnelt, ist er doch anders. Die Cyberkriminellen gehen dabei manuell beziehungsweise gezielt vor und müssen viel mehr Zeit und Ressourcen dafür investieren. Es sei denn vielleicht, dass sie Ihr Passwort war aus einem großen Datenleak erhalten haben. Dann sinkt der Aufwand erheblich. Das Opfer des Hacks erhält letztlich ein Drohschreiben per E-Mail, indem den Opfern mit der Offenlegung von Daten und weiteren Maßnahmen gedroht wird, falls Sie nicht bezahlen.
Um sich zu schützen, sollten Sie die Verschlüsselung Ihrer Daten in Betracht ziehen, alle Ihre Konten mit einer starken Passphrase sichern sowie, überall wo es möglich ist, die Zwei-Faktor-Authentifizierung aktivieren.
Sextortion – Erpressung mit Sexbildern
Der englische Begriff Sextortion ist eine Kombination aus den englischen Worten Sex und Erpressung. Bei dieser Form der Erpressung wird mit der Enthüllung von Sexbildern des Opfers gedroht. Die Erpresser gehen auf unterschiedliche Art und Weise vor. Zum Beispiel nutzen sie Dating-Plattformen, um eine vorgetäuschte romantische Beziehung mit dem Opfer zu beginnen und deren Vertrauen zu erschleichen. Später versucht man die Kommunikation von der Plattform auf gewöhnliche Messaging-Dienste zu verlagern. Dies geschieht, um zu vermeiden, dass die Sicherheitsmechanismen der Dating-Apps potenzielle Betrüger erkennen. Sobald man die Plattform verlassen hat, wird versucht das Opfer dazu zu überreden, schlüpfrige oder intime Fotos oder sogar Videos von sich zu teilen. Sie werden zur Erpressung des Opfers verwendet.
Oder die Hacker versuchen den Computer eines Opfers beziehungsweise deren Webcam zu hacken, um so heimlich Schnappschüsse oder voyeuristische Videos aufzunehmen. Das amerikanische Model und ehemalige Miss Teen USA Cassidy Wolf fiel solchen Erpressern zum Opfer (engl.).
Sie sollten es unbedingt vermeiden schlüpfrige Bilder an andere Personen zu senden. Dies gilt auch für Personen, denen Sie vertrauen, da Sie nicht ausschließen können, dass deren Geräte oder Konten kompromittiert werden und die vertraulichen Fotos entdeckt werden. Außerdem lässt sich oft nicht sicher ausschließen, dass sich die Beziehung zu der empfangenden Person ändert und man es dann bereut. Um die Wahrscheinlichkeit eines Hacks zu verringern, sollten Sie Ihre Geräte und Software regelmäßig updaten und durch eine seriöse Sicherheitslösung schützen.
Sextortion-Betrug
Dieser Betrug ist weniger eine Erpressung mit Sexbildern, sondern ein Bluff, bei dem die Angst vor einer vermeintlichen Veröffentlichung von vermeintlich existierenden Bildern ausgenutzt wird, um die Opfer zu einer Zahlung zu bewegen. Der Betrug ist nicht sehr raffiniert und besteht aus einer E-Mail, in der Sie beschuldigt werden, eine pornografische Website besucht zu haben. Die Betrüger behaupten, dass sie sowohl eine Bildschirmaufzeichnung des von Ihnen angesehenen Materials als auch eine Webcam-Aufzeichnung von Ihnen während des Betrachtens haben. Wenn Sie nicht möchten, dass sie das Material freigeben, müssen Sie bezahlen.
Ein aktiver und leistungsfähiger Spamfilter schützt sie vor solchen Spam- und Betrugs-E-Mails und erlaubt es sie in kürzester Zeit zu bearbeiten. Der ESET-Sicherheitsforscher Bruce P. Burrell hat dem Thema eine Reihe von Artikeln gewidmet und einige nützliche Ratschläge zu solchen Betrugsmaschen.
DDoS-Erpressung
Verteilte Denial-of-Service-Angriffe (DDoS) gegen Unternehmen sind keine Seltenheit. Sie werden häufig von Cyberkriminellen eingesetzt, um die Dienste von Unternehmen zu sabotieren und unerreichbar zu machen. Nicht selten vermieten die Hintermänner dieser Attacken ihre schadenbringende Infrastruktur über DDoS-Marktplätze. Für die Angriffe setzen die Kriminellen meist eine große Anzahl von Maschinen ein, die als sogenanntes Botnetz organisiert sind, um ein Angriffsziel mit Anfragen zu überfluten, sodass die Systeme unter dem Ansturm zusammenbrechen und damit effektiv offline sind. Die Angreifer können dies tagelang durchhalten, wodurch Unternehmen Umsatzverluste von Hunderttausenden von Euro entstehen können. Kürzlich bedrohte eine Gruppe von Cyberkriminellen, die sich als berüchtigte Hackergruppen ausgaben, verschiedenen Organisationen und Unternehmen mit DDoS-Angriffen. Nur bei einer Lösegeldzahlung in Höhe von 57.000 bis 227.000 US-Dollar in Bitcoin wollten sie davon absehen.
Das Einrichten einer Firewall zur Blockierung des Zugriffs auf alle nicht autorisierten IP-Adressen und die Nutzung von Diensten gegen DDoS-Attacken sind nur einige der Schritte, die Unternehmen zum Schutz vor DDoS-Erpressungen gehen können.
Fazit
Es gibt einige Maßnahmen, mit denen Sie das Risiko von Cybererpressung verringern können. Beginnen Sie damit sowohl im Berufs- als auch im Privatleben Cybersicherheitsregeln zu befolgen. Dazu gehören starke Passwörter, die Nutzung von Zwei-Faktor-Authentifizierung und das regelmäßige Updaten ihrer Geräte und Software. Vermeiden Sie außerdem das Recycling von Passwörtern (engl.), da dies zu vielen Konto-Kompromittierungen führt.
Cyberkriminalität: Betrugsmaschen und wie Sie sich schützen
Internetbetrug als Gefahrenquelle: geläufige Arten von Cyberkriminalität
Der Kampf gegen Cyberkriminalität findet für Unternehmen auf zwei Ebenen statt: Einerseits gilt es, direkten Schaden vom eigenen Unternehmen abzuwenden, andererseits müssen Sie die Daten Ihrer Kunden schützen. Wir erklären Ihnen die geläufigsten Bedrohungen in Kurzform.
Scamming
Bei dieser Betrugsmasche fordern Cyberkriminelle direkt dazu auf, dass das Opfer Geld für eine angeblich erbrachte Leistung überweisen soll. Bei Unternehmen geben sich die Betrüger beispielsweise als Lieferantenbetrieb aus und bitten um die Begleichung einer offenen Rechnung.
Pagejacking
Beim Pagejacking versuchen Cyberkriminelle mithilfe von schadhaften Webseiten Nutzerdaten zu stehlen, wobei das Abfangen dieser Daten als Phishing bezeichnet wird. Das Opfer wird beim Pagejacking auf Webpräsenzen verlinkt, die vertrauenswürdige Seiten imitieren. Häufig werden hierbei Anmeldeseiten von bekannten Onlineshops oder Zahlungsinstituten nachgeahmt, bei denen sich die Nutzer einloggen sollen.
Ransomware
Eine besonders dreiste Form von Internetbetrug ist die Verwendung von Ransomware. Cyberkriminelle schleusen hier schadhafte Programme – vielen auch als Trojaner bekannt – in Unternehmen ein, die dort bestimmte Daten verschlüsseln. Im Anschluss gibt der Betrüger die verschlüsselten Daten erst wieder frei, wenn das Unternehmen einen gewissen Geldbetrag zahlt.
Identitätsdiebstahl
Diese Form von Internetbetrug betrifft speziell den E-Commerce und nimmt statistisch gesehen am deutlichsten zu. Cyberkriminelle erschleichen sich beispielsweise durch Phishing Konto- oder Kreditkarteninformationen von Nutzern und kaufen anschließend damit in Onlineshops ein. In unserem Artikel „So bleibt Ihr Unternehmen sicher vor Kartenmissbrauch“ können Sie nachlesen, wie Sie sich gegen Kreditkartenbetrug absichern.
7 Tipps für Ihren Schutz gegen Cyberkriminelle
Laut einer aktuellen Studie des Marktforschungsinstituts Forsa verfügen KMUs häufig nicht über ausreichende Schutzmechanismen und sind daher zunehmend das Ziel von Cyberkriminalität[2]. Mit den folgenden Tipps beugen Sie Gefahren vor.
1. Schwachstellen ermitteln
Machen Sie zunächst eine Bestandsaufnahme, wie es um Ihre IT-Sicherheit bestellt ist: Ist Ihre Software auf dem neuesten Stand? Ist Ihre Firewall richtig konfiguriert? Verwenden Sie einen Virenscanner mit den neuesten Updates? Die Beantwortung dieser Fragen kann Ihnen dabei helfen, mögliche Angriffsflächen zu identifizieren und Sicherheitslücken zu schließen.
2. Mitarbeitende schulen
Eine optimale IT-Sicherheit erreichen Sie, wenn Sie Ihre Mitarbeitenden auf das Thema sensibilisieren. Führen Sie intern Schulungen durch und weisen Sie Ihre Belegschaft darauf hin, worauf im Umgang mit E-Mails oder bei der Sicherheit von Konten zu achten ist. Die Gefahr von Phishing-Mails lässt sich beispielsweise schon dadurch entschärfen, dass Mitarbeitende nicht achtlos Mail-Anhänge öffnen oder sensible Daten auf Webseiten eingeben.
Internetbetrug ist vielfältig und die Maschen der Cyberkriminellen werden immer ausgefeilter.
3. HTTPS-Verschlüsselung Ihrer Website
Generell sollte Ihre Website über eine HTTPS-Verschlüsselung verfügen. Hierbei sorgt ein sogenanntes SSL-Zertifikat dafür, dass Ihr Websitetraffic sicher ist und Daten Ihres Unternehmens oder Onlineshops nicht von Cyberkriminellen abgefangen werden können.
4. Passwortrichtlinie etablieren
Schwache Passwörter sind ein großer Risikofaktor sowohl für Sie als auch für Ihre Kunden. Legen Sie daher verbindliche Regeln fest, wie Passwörter für Konten der Kunden und Belegschaft beschaffen sein müssen. Auch die Verwendung von Tools zur Passwortgenerierung kann Ihnen gute Dienste leisten.
5. Zwei-Faktor-Authentifizierung
Als Betreiber einer Unternehmenswebsite sind Sie rechtlich verpflichtet, auch Ihre Kunden vor Betrugsversuchen durch Dritte zu schützen. Daher sollten Sie von einer Zwei-Faktor-Authentifizierung Gebrauch machen. Diese sieht vor, dass Kunden beim Einloggen auf Ihrer Website oder in Ihrem Onlineshop nicht nur ein Passwort eingeben müssen, sondern die Authentifizierung noch durch einen zusätzlichen Faktor stattfindet. Hier kann zum Beispiel die Eingabe eines Sicherheitscodes verlangt werden, der auf das Smartphone oder per Mail an den Kunden gesendet wird. Bei American Express übernimmt übrigens die Sicherheitslösung SafeKey® die Funktion der Zwei-Faktor-Authentifizierung und schützt Sie vor Betrugsversuchen.
6. CAPTCHAs verwenden
Hilfreich ist in diesem Kontext auch der Einsatz von CAPTCHAs, wodurch sichergestellt wird, dass sich Menschen auf Ihrer Webpräsenz einloggen und nicht schadhafte Software oder Bots Zugang zu Ihrem System erhalten. CAPTCHAs können im Verlauf eines Anmelde- oder Zahlungsvorgangs integriert werden und verhindern, dass während dieser Prozesse Nutzerdaten abgefangen werden.
7. Sicherheit in Onlineshops
Um Identitätsdiebstahl und Kreditkartenbetrug vorzubeugen, sollten Sie grundsätzlich nur mit Zahlungsanbietern zusammenarbeiten, die die Payment Card Industry-Standards (PCI) einhalten. Die PCI-Richtlinien regeln den Schutz von Zahlungs- und Nutzerdaten, wodurch Sie effektiv gegen Internetbetrug bei Bezahlungsprozessen abgesichert sind. Umfassende Tipps, wie Sie speziell beim E-Commerce gegen Missbrauch vorsorgen, erhalten Sie in unserem Artikel „Onlineshops vor Betrügern schützen“.
Internetbetrug nicht unterschätzen: Achtsamkeit und Prävention sind gefragt
Die steigende Tendenz von Cyberkriminalität gegenüber KMUs zeigt auf, dass der IT-Sicherheit zukünftig noch mehr Aufmerksamkeit gewidmet werden muss. Die Kenntnis über aktuelle Maschen kann Ihrem Unternehmen dabei helfen, mögliche Betrugsversuche frühzeitig zu erkennen und sich mit unseren Tipps gezielt zur Wehr zu setzen. Das Wichtigste zum Thema „Internetbetrug als Bedrohung für Ihr Unternehmen“ haben wir hier noch einmal für Sie zusammengefasst:
Cyberkriminalität nimmt zu und vor allem KMUs sind im Hinblick auf Betrugsversuche unzureichend geschützt.
und vor allem KMUs sind im Hinblick auf Betrugsversuche unzureichend geschützt. Internetbetrug findet auf verschiedenen Ebenen statt und fokussiert sich vor allem auf Unternehmens- und Nutzerdaten .
. Technische Vorkehrungen und eine geschulte Belegschaft helfen dabei, die Risiken von Cyberkriminalität zu reduzieren.
[1] Deutschland sicher im Netz: DsiN-Praxisreport 2020. Mittelstand@Sicherheit (2020).
[2] forsa GmbH: Cyberrisiken im Mittelstand (2020).
