Wie Betrüger arbeiten
Was mit geklauten E-Mail-Adressen passiert
Schon die letzten vier Ziffern der Kreditkartennummer könnten einem Cyberkriminellen genügen, Ihr Kennwort auf einer E-Commerce-Website zurückzusetzen, sagt Rasmussen. Einige Unternehmen nutzten die letzten vier Ziffern der Kunden-Kreditkarten als PIN. Nach dem Ändern des Passworts könnte ein Verbrecher auch weitere Angaben ändern und auf Ihre Kosten einkaufen. Wahrscheinlicher ist es laut Rasmussen allerdings, dass er diese Informationen an jemanden verkauft, der damit Angriffe anderer Art plant.
Geklaute Kreditkartendaten nutzen Verbrecher sofort
Wie schnell Cyberkriminelle sich geklaute Daten zunutze machen, hängt von der Art der Information ab. Wer eine Kreditkartennummer gestohlen hat, benutzt sie wahrscheinlich binnen kurzer Zeit. Dasselbe gelte für E-Mail-Adressen, die zum PhishingPhishing genutzt werden. Um mehr Menschen dazu zu bringen, unbemerkt Malware auf ihre Rechner zu laden, versenden Verbrecher gerne gefälschte Benachrichtigungen über Sicherheitsvorfälle. Alles zu Phishing auf CIO.de
Sie leiten die Opfer auf eigens angelegte Seiten, die aussehen wie die des betroffenen Unternehmens und fordern sie auf, dort ihr Passwort zu ändern. Das klappt natürlich nur, wenn die Nachricht der Angreifer vor der des gehackten Unternehmens bei den Kunden eintrifft, sagt Sjouwerman. Deshalb ist es von entscheidender Bedeutung für Organisationen, deren Kundendaten in falsche Hände geraten sein könnten, Betroffene zu informieren, sobald sie wissen, was passiert ist und wer betroffen war, sagt Rasmussen.
Malware aktiviert Mikrofon und Webcam
Wenn die eigene Mail-Adresse von Cyberkriminellen geklaut wurde, müssen Kunden mit mehr Spam, Phishing-Mails und Malware per E-Mail rechnen. Malware könnte Cyberkriminelle die Kontrolle über den Computer übernehmen lassen und ihnen ermöglichen, ihn zum Teil eines Botnetzes zu machen, sagt Sjouwerman. Manche Schadprogramme ermöglichen es sogar, die Webcam oder das Mikrofon am Computer zu Spionagezwecken zu aktivieren.
Mögen solche Manöver eher die Ausnahme sein, so ist die Gefahr, Phishing zum Opfer zu fallen, weitaus größer. Von zehn Personen fielen etwa vier auf eine Attacke herein, sagt Sjouwerman mit Verweis auf ein eigenes Experiment. An 100 Mitarbeiter eines Rüstungsunternehmens, das Kunde von KnowB4 ist, verschickte er eine E-Mail. Die Mail-Adressen hatte er allesamt im Internet gefunden. Sich als CEO des Rüstungsunternehmens ausgebend, forderte Sjouwerman die Angestellten auf, über eine Webseite die Daten zu ihrer betrieblichen Altersversorgung zu ändern. Die Seite hatte er gefälscht. Insgesamt 40 Prozent der Angeschriebenen fielen auf den Betrug herein.
Wessen Kreditkartennummer gestohlen wurde, der kann davon ausgehen, dass auf der nächsten Abrechnung auffällige Buchungen auftauchen. Opfer sollten unverzüglich ihr Kreditkarten-Unternehmen benachrichtigen, dass die Daten möglicherweise missbraucht werden. Nach dem Hack des Sony-Playstation-Netzwerks berichteten mehrere Nutzer von betrügerischen Transaktionen mit ihren Kreditkarten. Nur: Mit Sicherheit sagen konnte damals keiner, ob der Betrug durch den Datenklau bei Sony zustande kam oder zufällig zur selben Zeit stattfand.
Das Schlimmste ist das Gefühl, zum Opfer geworden zu sein
Selbst wenn es durch einen Datenklau nicht zu einem finanziellen Schaden kommt und Hacker nur an Namen von Personen und ihre E-Mail-Adressen gelangen, belastet das die Betroffenen, beobachtet Rasmussen. Das Schlimmste sei "das Gefühl Opfer geworden zu sein: Zu sehen, dass jemand ist ohne meine Erlaubnis im Besitz meiner Daten ist."