Süßer die Kassen nie klingeln

Schutz vor Cybercrime beim Weihnachtseinkauf

Cybercrime beim Weihnachtseinkauf

Zu keiner anderen Zeit des Jahres sind Verbraucher so kauffreudig wie in der Weihnachtszeit. Die wirtschaftlich lukrative Zeit zieht jedoch auch clevere Cyberbetrüger an, die mit ausgeklügelten Methoden großen finanziellen Schaden anrichten, insbesondere im Online-Handel.

Für den deutschen Einzelhandel ist die Weihnachtszeit die umsatzstärkste Zeit im Jahreskalender und daher wirtschaftlich unverzichtbar. Einige Branchen, wie der Spielwaren- und Buchhandel, verdanken dem Weihnachtsgeschäft sogar bis zu einem Viertel ihres Jahresumsatzes. Obwohl die Verbraucher in wirtschaftlich turbulenten Zeiten tendenziell weniger ausgeben, prognostiziert der Handelsverband Deutschland (HDE) für die Monate November und Dezember 2023 dennoch einen stattlichen Umsatz von 120,8 Milliarden Euro.

Anzeige

Das E-Commerce-Geschäft gewinnt in diesem Zusammenhang zunehmend an Bedeutung und erfreut sich seit der Coronavirus-Ära immer größerer Beliebtheit. Nach Prognosen des HDE wird der Anteil des E-Commerce-Geschäfts am Gesamtumsatz in Deutschland im Jahr 2023 bei rund 17,5 % liegen. Zum Vergleich: 2007 lag der Anteil noch bei 3,4 %. Kunden schätzen vor allem die flexibleren Einkaufszeiten, die Vermeidung von überfüllten Innenstädten und die größere Auswahl an Waren.

Betrüger nutzen menschliche Schwächen aus

Gleichzeitig birgt der Kauf von Waren über Online-Plattformen aber auch Risiken, derer sich sowohl Verbraucher als auch Händler bewusst sein sollten. Zu oft wähnt man sich in trügerischer Sicherheit, nicht wissend, dass Betrüger längst ausgeklügelte Methoden anwenden, die selbst für digital versierte Menschen nicht immer durchschaubar sind. Wenn Verbraucher in Eile sind, die vermeintlich harmlose E-Mail nicht richtig lesen und ohne Hintergedanken auf den angehängten Link klicken, kann es bereits zu spät sein. Mit Hilfe von künstlicher Intelligenz sind Kriminelle heute in der Lage, nicht nur immer perfidere, sondern auch weitaus effizientere Betrugsmaschen zu entwickeln.

Quishing nutzt QR-Codes als Einfallstor

Eine besonders raffinierte Methode ist das Quishing. Der Begriff setzt sich aus den Wörtern QR-Code und Phishing zusammen und beschreibt eine Methode, bei der QR-Codes mit vermeintlich vertrauenswürdigem Inhalt an Verbraucher oder Einzelhändler gesendet werden. Wenn der QR-Code gescannt wird, wird der Benutzer auf simulierte Websites umgeleitet, die dank des Einsatzes von KI der tatsächlichen Website sehr ähnlichsehen. In einigen Fällen arbeiten die Kriminellen sogar mit echten Produktbildern. Besonders perfide wird das Quishing, wenn der Angriff auf Partner in der Lieferkette oder auf Logistikunternehmen abzielt, die QR-Codes zur Beschleunigung ihrer Prozesse nutzen. Aufgrund mangelnder Aufmerksamkeit kommt es hier immer wieder zu erfolgreichen Cyberangriffen, die gezielt die menschlichen Schwächen der jeweiligen Adressaten ausnutzen.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Phishing unter häufigsten Cyberangriffen

Davon zu unterscheiden ist das klassische Phishing, also das Versenden von vermeintlich harmlosen Links oder E-Mail-Anhängen, die Schadsoftware, zum Beispiel in Form eines Trojaners, enthalten. Phishing ist eine der häufigsten Cyberattacken. Vorsicht ist vor allem dann geboten, wenn das Layout der Nachricht an seriöse Institutionen wie Banken oder Versicherungen erinnert, den Empfänger aber gleichzeitig zum sofortigen Handeln auffordert. Solche Strategien sind typisch für Phishing-E-Mails, die beim Empfänger einen emotionalen Impuls hervorrufen sollen, indem sie Dringlichkeit suggerieren. Solche Nachrichten werden in der Regel nicht von seriösen Institutionen verschickt, weshalb Verbraucher in solchen Fällen besonders wachsam sein sollten.

Social-Engineering-Angriffe:
Gezielte Manipulation von menschlichen Bedürfnissen

Social-Engineering-Angriffe, die sich auf zwischenmenschliche Täuschung stützen, sind eine besonders emotionalisierte Form des Betrugs. So könnte ein Betrüger beispielsweise einen Kunden eines bestimmten Unternehmens anrufen und sich am Telefon als Mitarbeiter ausgeben. Wenn die betreffende Person keinen Verdacht schöpft, kann der vermeintliche Mitarbeiter dann versuchen, persönliche Informationen oder sogar Kontodaten zu erhalten. Der Betrüger könnte die Betroffenen auch dazu auffordern, Dateien mit Schadsoftware herunterzuladen. Da Social-Engineering-Angriffe psychologische Tricks anwenden, um menschliche Bedürfnisse auszunutzen, ist es besonders schwierig, sich gegen diese Form von Cyberangriffen zu schützen. Generell ist es ratsam, niemals vertrauliche Informationen am Telefon oder per E-Mail weiterzugeben. Seriöse Unternehmen fordern ihre Kunden nicht auf, auf diese Weise persönliche Daten preiszugeben. Im Zweifelsfall ist es daher besser, sich an den eigenen Bankberater oder Vertriebsmitarbeiter zu wenden, um sich zu vergewissern.

Veraltete Systeme sind besonders anfällig für Karten-Skimming

Skimming ist eine besondere Herausforderung für Unternehmen. Darunter versteht man das illegale Ausspähen von Zahlungskarten mit Hilfe von Schadsoftware, die auf Kassensystemen oder Websites installiert wird. Diese Systeme sind besonders anfällig, wenn sie nicht regelmäßig aktualisiert werden und daher veraltet sind. Ohne Sicherheitsmaßnahmen wie Verschlüsselung oder Tokenisierung sind solche digitalen Systeme ein leichtes Ziel für Betrüger, die die Schwächen der veralteten Technologie ausnutzen. Unternehmen können nicht nur finanzielle Verluste durch Skimming erleiden, sondern auch einen schweren Imageschaden durch negative Kundenerfahrungen. Es ist daher unerlässlich, die eigenen Systeme regelmäßig von internen und externen Experten überprüfen und gegebenenfalls aktualisieren zu lassen. Obwohl dies eine kostspielige Investition sein kann, kann der durch Skimming-Angriffe verursachte finanzielle Schaden wesentlich höher sein.

Denial-of-Service-Angriffe überlasten bewusst Server

Besonders gravierend für Online-Händler sind auch Denial-of-Service-Angriffe, die einen Server gezielt mit vielen Anfragen überlasten und im schlimmsten Fall sogar außer Gefecht setzen. Die Folge sind enorme Umsatzeinbußen, die gerade im Weihnachtsgeschäft kaum zu kompensieren sind. Selbst namhafte Anbieter wie Amazon sind bereits Opfer von Denial-of-Service-Angriffen geworden, die aufgrund von Verschleierungstechniken oft nur schwer zu erkennen sind. Unternehmen benötigen daher eine Sicherheitsarchitektur, die solche Überlastungsangriffe schnell erkennt und eine rasche Gegenreaktion ermöglicht.

Insgesamt lässt sich sagen, dass Kriminelle heute zahlreiche und ständig verfeinerte, zum Teil äußerst subtile Methoden entwickelt haben, um Verbraucher zu täuschen. Die Methoden beruhen oft auf gezielter psychologischer Manipulation und nutzen nicht nur ausgefeilte Technologien, sondern auch die Schwachstelle Mensch aus. Bei der Online-Suche nach Schnäppchen ist es entscheidend, sich der Risiken bewusst zu sein. Böswillige Akteure nutzen diese Zeit des Jahres, um sehr überzeugende E-Mails und gefälschte Webseiten zu erstellen, um Käufer dazu zu bringen, ihre persönlichen und finanziellen Daten preiszugeben. Verbraucher sollten deshalb niemals leichtfertig auf Links in E-Mails klicken, stets zum offiziellen Browser wechseln und besonders vorsichtig bei zeitlich begrenzten Angeboten sein, die zu gut sind, um wahr zu sein.

Was ist nach einem Online-Betrug / Cybercrime zu tun?

Falls Sie einem Online-Betrüger zum Opfer gefallen sind, notieren Sie sich den gesamten Vorfall. Versuchen Sie eine Geldüberweisung über Ihr Bankinstitut rückgängig zu machen. Erstellen Sie Screenshots oder machen Sie Fotos von den verdächtigen E-Mails und Webseiten. Zeigen Sie den Betrug an und wenden Sie sich an die Ansprechstellen Cybercrime der Polizeien.

John Hermans

John

Hermans

Head of Europe Cybersecurity & Risk Services

Wipro

John Hermans ist Mitglied des europäischen Führungsteams von Wipro sowie Teil des globalen Cybersicherheits-Führungsteams von Wipro. Zuvor war John Hermans 21 Jahre lang bei einer der Big-4 als Equity Partner tätig und für die Cybersicherheitsdienste in den Niederlanden sowie der EMA-Region verantwortlich.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.