Proofpoint hat festgestellt, dass noch immer knapp die Hälfte (43 Prozent) der größten Online-Händler in Deutschland keinen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) veröffentlicht haben. Das lässt die Möglichkeit offen, dass Kunden Opfer von potenziellem E-Mail-Betrug durch Cyberkriminelle im Namen des Unternehmens werden.
Noch bedenklicher ist, dass nur eine der untersuchten Top-30-E-Commerce-Sites in Deutschland die strengste Stufe des DMARC-
Wenn DMARC nicht oder nur teilweise umgesetzt wird, steigt das Risiko, dass Cyberkriminelle die Identität eines Unternehmens für E-Mails für Betrug, Erpressung, Phishing und andere kriminelle Aktivitäten missbrauchen und so Kunden zu Opfern dieser Hacker machen. Ein vollständiger DMARC-Eintrag sowie dessen Umsetzung als Richtlinie ist als „Reject“ bekannt und blockiert die Zustellung betrügerischer E-Mails im Namen der Händler an das beabsichtigte Ziel.
Der Black Friday ist – nicht zuletzt aufgrund der Pandemie – für viele Online-Shops einer der wichtigsten Tage in diesem Jahr. Nach den Zuwächsen, die der Online-Handel bereits erzielt hat, dürfte das Interesse der Konsumenten erneut steigen – und damit auch das der Cyberkriminellen. Wie bereits in den vergangenen Jahren werden diese den Tag nutzen und versuchen, potenzielle Käufer mit betrügerischen E-Mails zu täuschen. Dafür nutzen diese Hacker gefälschte E-Mails, die vermeintlich von einem der großen Online-Händler zu stammen, jedoch von Cyberkriminellen versandt wurden. Hierzu verwenden Cyberkriminelle oftmals sogar die legitime Domain des Online-Shops. Vollständige DMARC-Implementierungen helfen jedoch dabei, dass von Betrügern im Namen des Händlers und somit gefälschte E-Mails erst gar nicht an den Adressaten zugestellt werden.
„E-Mail ist heutzutage das beliebteste Angriffsmittel von Cyberkriminellen. Doch mit DMARC gibt es ein einfaches und sehr effektives Mittel, das Risiko für Kunden und den Online-Händler selbst Opfer von Betrug durch gefälschte E-Mails zu werden, deutlich zu senken“, erläutert Michael Heuer, Vice President DACH bei Proofpoint. „Entsprechend sehen wir hier deutlichen Nachholbedarf der Handelsplattformen, die Kunden besser vor Cyberbetrug zu schützen. Im Vorjahr hatten wir die größten 20 Online-Händler in Deutschland untersucht. Und auch damals hatte lediglich einer einen vollständigen DMARC-Eintrag. Die Situation hat sich leider nicht verbessert.“
Die wichtigsten Erkenntnisse der aktuellen Untersuchung im Überblick:
- Nur 17 (57 %) der 30 größten Online-Händler in Deutschland haben einen DMARC-Eintrag veröffentlicht und befassen sich somit mit dem Thema E-Mail-Authentifizierung mittels DMARC, auch wenn…
- …lediglich einer der Top 30 Online-Händler in Deutschland durch vollständige DMARC-Konformität verhindert, dass betrügerische E-Mails unter Verwendung der Domain des seriösen Händlers die Kunden erreichen. Somit sind 97 Prozent der Online-Shops offen für Domain Spoofing und können E-Mail Betrug, der mit ihrer legitimen Domäne begangen wird, nicht stoppen.
- Im europäischen Vergleich ist Deutschland erneut schlechter als der Durchschnitt, denn dort haben immerhin zwölf der Top 20 Online Retailer in Europa einen veröffentlichten DMARC-Eintrag. Aber auch hier sind 40 Prozent der Anbieter anfällig für den Missbrauchs des Markennamens.
- Vier dieser Top 20 Unternehmen (20 Prozent) verfügen über die empfohlene DMARC-Implementierung und damit das hierbei höchstmögliche Sicherheitslevel. Das bedeutet, dass auch hier 80 Prozent der Online-Händler ihre Kunden nicht vor betrügerischen E-Mails schützen, die ihre Domain verwenden, und sie damit einem hohen Risiko von Betrug aussetzen.
Für den diesjährigen Black Friday am 27. November nachfolgend einige Tipps für einen sicheren Online-Einkauf:
- Verwenden Sie sichere Passwörter und nie das gleiche Passwort zweimal.
- Nutzen Sie einen Passwortmanager, um Ihren Online-Einkauf zugleich angenehm und sicher zu gestalten.
- Größte Vorsicht bei offenem WLAN: Ein frei zugängliches WLAN ist nicht sicher. Cyberkriminelle können Daten abfangen, die über ungeschütztes WLAN übertragen werden, darunter Kreditkartennummern, Passwörter, Kontoinformationen, Log-In-Daten und mehr.
- Achten Sie auf Webseiten, die Webauftritte der Markenhersteller nachahmen: Cyberkriminelle erstellen sogenannte “lookalike”-Seiten, die bekannte Marken imitieren. Diese betrügerischen Websites bieten gefälschte (oder nichtexistierende) Waren an, können mit Malware infiziert sein oder versuchen, Geld beziehungsweise Zugangsdaten zu stehlen.
- Vorsicht vor Phishing- und SMSishing-Angriffen: Phishing-E-Mails haben oftmals das Ziel, ihre Opfer auf unsichere Websites, die personenbezogene Daten wie Zugangsdaten zu Online-Services und Kreditkartendaten erfassen, zu locken. Achten Sie auch auf SMS-Phishing – ‘SMSishing’ – oder Nachrichten, die über gefälschte Social Media-Profile an Sie geschickt werden.
- Klicken Sie wohl überlegt und nicht auf jeden Link: Klicken Sie nicht auf Werbung, sondern rufen Sie die Seite des beworbenen Händlers auf, indem Sie dessen Website-Adresse direkt in Ihren Browser eingeben. Geben Sie Codes für Sonderangebote an der Kasse des Shops ein – und prüfen Sie so, ob es sich um ein legitimes Angebot handelt.
- Überprüfen Sie Händler und Angebote vor dem Kauf: Betrügerische Anzeigen, gefälschte Websites und mobile Anwendungen sind oft schwer als solche zu erkennen. Wenn Sie eine neue App herunterladen oder eine unbekannte Website besuchen, nehmen Sie sich Zeit, um Online-Bewertungen und Kundenbeschwerden zu lesen.
Über DMARC:
Viele Unternehmen senken durch den Einsatz von DMARC (Domain-based Message Authentication, Reporting and Conformance) das E-Mail-Betrugsrisikos. Dabei handelt es sich um ein E-Mail-Protokoll, das weltweit als „Passkontrolle“ in der E-Mail-Sicherheitswelt eingesetzt wird. Die DMARC-Verifizierung basiert auf den etablierten Standards DKIM (DomainKeys Identified Mail) und SPF (Sender Policy Framework), um sicherzustellen, dass die E-Mail von einem Absender stammt, der im Namen dieser Domain E-Mails versenden darf bzw. um nicht korrekt authentifizierende E-Mails vor Zustellung an den Adressaten zu stoppen. Diese Authentifizierung schützt damit Mitarbeiter, Kunden und Partner vor E-Mail-Betrugsversuchen, die vertrauenswürdige Domains verwenden.
Methodik:
Um den Grad der DMARC-Akzeptanz bei Online-Händlern in Deutschland zu bewerten, analysierte Proofpoint 30 führende Online-Händler, definiert nach https://ecommercegermany.com/
www.proofpoint.com/de