Mit der Rabattschlacht rund um „Black Friday“ und „Cyber Monday“ startet der Handel an diesem Wochenende ins (Vor-)Weihnachtsgeschäft und damit die lukrativste Zeit des Jahres. Für 2019 rechnet der deutsche Einzelhandel erstmals mit einem Jahresendumsatz vom mehr als 102 Milliarden Euro, rund jeder siebte davon wird online ausgegeben.
Doch nicht nur bei Ladenbetreibern und Online-Shops klingeln jetzt die Kassen. Auch Cyberkriminelle machen in den Tagen bis Jahresende außergewöhnlich gute Geschäfte. Und das gleich aus zwei Gründen.
Zum einen, weil gerade Schnäppchenjäger beim Anblick vermeintlicher Supersonderangebote besonders leichtsinnig werden. Zum anderen, weil Unternehmen wie Händler oder Paketdienstleister, die in der aktuell besonders umsatzstarken Zeit Opfer von Angriffen mit Erpressungssoftware werden, eher Lösegelder zahlen, um längere Betriebsausfälle zu vermeiden.
Und so kursieren inzwischen bereits zahlreiche bösartige, vermeintlich geschäftliche E-Mails, deren Betreff sich auf aktuelle Rabattaktionen oder auf das Weihnachtsgeschäft bezieht. Tatsächlich aber enthalten sie die besonders gefährliche Schadsoftware Emotet. Die hat im laufenden Jahr in Deutschland bereits Schäden in Millionen-Euro-Höhe verursacht. Und sie dürfte auch in den kommenden Wochen für zahlreiche weitere Ausfälle sorgen.
Wer also seine elektronische Post in den kommenden Wochen nicht besonders aufmerksam durcharbeitet, riskiert teure Schäden – bis zum Stillstand seiner IT, wenn Hacker zugeschlagen haben. Gerade jetzt gilt: Nachrichten und Anhänge darin nur öffnen, wenn deren Absender und die Echtheit der Nachricht überprüft sind!
Hier gilt absolutes Klick-Verbot
Längst nicht jede vermeintliche Lieferantenrechnung, die per E-Mail in der Buchhaltung eingeht, enthält tatsächlich nur eine Zahlungsaufforderung. Selbst in PDF-Dateien können Links auf betrügerische Web-Adressen enthalten sein. Und wenn sich im Anhang der Nachricht gar eine ausführbare Datei verbirgt – erkennbar unter anderem an Dateiendungen wie .exe, .com, .msi oder .scr – gilt absolutes Klick-Verbot. Auch der Druck in den umsatzstarken Wochen darf da nicht zu Nachlässigkeit führen.
Vor allem bei Verbrauchern zeigt sich die fehlende Wachsamkeit alle Jahre wieder: Wenn die Preise purzeln und sich Rabatte und Coupons im E-Mail-Eingang stapeln, schrumpft das bei Schnäppchenjägern im Netz ohnehin schwache Bewusstsein für Cyberrisiken noch weiter. Wenn Rabatte locken, egal ob bei Markenkleidung oder Software-Downloads, wird in die E-Mails geklickt, dass es eine Freude ist – zumindest für Online-Kriminelle. Die fluten das Netz schon seit Tagen mit großen Mengen betrügerischer oder mit Schadprogrammen verseuchter E-Mails.
Günstigstenfalls wollen die Betrüger gutgläubige Käufer nur in Fake-Online-Shops lotsen, in denen gefälschte Ware überteuert verkauft wird. Vielfach aber geht es ihnen auch darum, über gefälschte Eingabeseiten fürs Onlinebanking von Banken oder für Web-Bezahldienste wie Paypal an Kunden- oder Kontodaten und Passwörter zu gelangen.
Zahl der Phishing-Seiten verdoppelt
Der IT-Sicherheitsdienstleister Check Point etwa meldete gerade erst, dass sich die Zahl der in unter anderem über betrügerische Werbe-E-Mails aufgerufenen Phishing-Webseiten mit E-Commerce-Bezug seit dem vergangenen Jahr verdoppelt habe. Mit den erbeuteten Daten gehen die Kriminellen dann selbst auf Shopping-Tour, während die getäuschten Kunden statt zu den Bezahldiensten auf simulierte Fehlerseiten im Netz geleitet werden.
Ähnlich begehrt sind Zugangsdaten für Nutzerkonten bei Amazon, Ebay & Co. Denn auch die dort vielfach hinterlegten Bank- oder Kreditkartendaten können Betrüger missbrauchen. Ganz besonders beim Online-Einkauf in diesen Tagen sollten Kunden deshalb jede Möglichkeit nutzen, ihre Konten zu sichern.
Wichtigste Schutzmaßnahme ist dabei die sogenannte Zwei-Faktor-Authentifizierung, bei der Nutzername und Passwort nicht mehr ausreichen, um sich bei Bank, Bezahldienst oder Onlineshop anzumelden. Hier steht, wie sich diese etwa für Amazon, Ebay oder Paypal aktivieren lässt. Dann nämlich braucht es für jede Anmeldung noch eine zusätzliche Information, die den Zugang freischaltet. Beispielsweise eine Einmal-PIN, die der Kunde per SMS aufs Handy geschickt bekommt. Ohne die kommen die Cyberkriminellen auch beim Online-Weihnachtseinkauf nicht weit.
Soviel Vorsorge sollte sein, auch wenn die Preise purzeln. Dann gibt’s im vorweihnachtlichen Shoppingrausch zumindest keinen Ärger mit Hackern.
