Es ist kein Geheimnis, dass die schnelle Digitalisierung der Gesellschaft die persönlichen und geschäftlichen Beziehungen tiefgreifend verändert hat. Studien zeigen, dass die finanziellen Verluste durch Online-Betrügereien im Jahr 2024 10,1 Milliarden R$ erreichten, was einem Anstieg von 17 % im Vergleich zum Vorjahr entspricht.
Diese Transformation hat jedoch auch die Angriffsfläche für Cyberkriminelle vergrößert, die zunehmend auf Social Engineering angewiesen sind, um ausgeklügelte Betrugsmaschen durchzuführen.
Zu den häufigsten gehören Phishing, Smishing und Vishing — Praktiken, die zwar unterschiedliche Methoden verwenden, aber dasselbe Ziel verfolgen: die Opfer zu täuschen, um sensible Informationen, insbesondere Zugangsdaten, zu stehlen. Obwohl sie traditionell mit Betrugsmaschen gegen Verbraucher in Verbindung gebracht werden, sind diese Formen der sozialen Manipulation auch im Unternehmensumfeld äußerst wirksam. Die Betrüger zielen auf Unternehmen ab, um Zugang zu internen Systemen zu erhalten, Lieferketten zu kompromittieren und groß angelegte Finanzbetrügereien durchzuführen.
Phishing, Smishing und Vishing sind die gleichen Bedrohungen?
Um die Erklärung zu beginnen, ist es wichtig zu verstehen, dass der Begriff Social Engineering eine Reihe von Techniken bezeichnet, die von Betrügern verwendet werden, um Opfer emotional und sozial zu manipulieren, sodass sie gegen ihre eigenen Interessen handeln und ihre Sicherheit gefährden.
Phishing ist die bekannteste Art dieser Betrugsmasche. E-Mail-Phishing-Kits sind im Dark Web zu finden. Für diejenigen Betrüger, die keine Experten auf dem Gebiet sind, gibt es Leute, die den Dienst für sie ausführen. Es umfasst in der Regel das Versenden von E-Mails oder Nachrichten, die sich als vertrauenswürdige Institutionen ausgeben, wie Banken, Einzelhändler oder Online-Dienste.
Das Ziel ist es, den Empfänger zu täuschen, damit er auf bösartige Links klickt, die zu gefälschten Websites führen, die den Originalen sehr ähnlich sind, um Passwörter und andere sensible Informationen wie Ausweisnummern oder Kreditkartendaten zu erfassen. Laut Daten des Serpro bleibt Phishing eine der am häufigsten vorkommenden Betrugsarten in Brasilien, und die Kriminellen verbessern ihre Strategien durch den Einsatz von künstlicher Intelligenz (KI) und Deepfakes, um noch überzeugendere und personalisierte Inhalte zu erstellen. Ein aktueller Fall war die Festnahme eines Mannes wegen Beteiligung an einer kriminellen Gruppe, die Betrügereien mit manipulierten Videos unter Verwendung von Deepfake-Technologie durchführte, mit Bild und Stimme des Moderators Marcos Mion.
Die Betrüger führen auch Betrugsmaschen wie Business Email Compromise (BEC) und den Fake-CEO-Betrug durch, bei denen E-Mails von Führungskräften vorgetäuscht werden, um Mitarbeiter dazu zu verleiten, Geld zu überweisen oder Zugangsdaten preiszugeben.
Andererseits nutzt Smishing (Kombination aus SMS und Phishing) Textnachrichten, um die Opfer zu täuschen. Mit der Verbreitung von Messaging-Apps wie WhatsApp und Telegram hat diese Methode an Bedeutung gewonnen, indem sie den Trend ausnutzt, dass Menschen schnell auf Nachrichten reagieren, die dringend oder wichtig erscheinen.
Der Vishing (Stimmenphishing) erfolgt durch Telefonanrufe, bei denen der Betrüger sich als Vertreter eines Unternehmens oder einer Institution ausgibt. Ein überzeugender Ton, kombiniert mit zuvor bei Lecks gewonnenen Daten, macht die Opfer eher dazu geneigt, vertrauliche Informationen am Telefon weiterzugeben. Diese Art von Betrug trifft immer mehr brasilianische Unternehmen, insbesondere große Konzerne.
Alte Konten sind die wertvollsten Vermögenswerte für Kriminelle
Das Wachstum dieser Betrugsfälle steht in direktem Zusammenhang mit dem Wert, den kontobasierte Ökosysteme darstellen. Ein altes und zuverlässiges Konto ist für Kriminelle wertvoller als direkter Geldraub. Denn das liegt daran, dass Konten mit einer Historie legitimer Aktivitäten weniger wahrscheinlich von herkömmlichen Betrugserkennungssystemen automatisch erkannt werden.
Die Betrüger verwenden Phishing und seine Variationen gemeinsam, um Zugriff auf diese Konten zu erhalten, die jahrelange Beziehungen und Transaktionen haben, die ihre Reputation bestätigen. Einmal drinnen, kann der Kriminelle die Kaufhistorie, Verhaltensmuster studieren und in einigen Fällen sogar mit dem Kundenservice interagieren, indem er sich als rechtmäßiger Kontoinhaber ausgibt.
Wie in einem Bericht von Nethone angegeben, bauen einige Betrüger sogar Beziehungen zu Support-Mitarbeitern auf, um sie zu täuschen und Änderungen am Konto vorzunehmen, die die Durchführung des Betrugs erleichtern — ein Prozess, der als Account Takeover (Kontenübernahme) bekannt ist. Diese Art von Angriff verursacht nicht nur direkte finanzielle Verluste, sondern beeinträchtigt auch das Vertrauen in digitale Plattformen und Dienste.
Die Auswirkungen von künstlicher Intelligenz und Automatisierung auf Betrugsfälle
Historisch gesehen erforderten Social-Engineering-Kampagnen Planung, Zeit und ein gewisses Maß an manueller Personalisierung. Doch die großflächige Einführung generativer Sprachmodelle (LLMs) hat dieses Szenario völlig verändert.
Heute können Kriminelle mit automatisierten, auf generativer KI basierenden Werkzeugen in wenigen Minuten Phishing-Kampagnen erstellen und starten. Gut geschriebene Texte, die früher fließende Sprachkenntnisse oder Zeit zur Erstellung erforderten, werden jetzt automatisch mit hohem Grad an Raffinesse erzeugt. Infolgedessen haben sich das Volumen und die Häufigkeit dieser Angriffe alarmierend erhöht.
Dieses Wachstum spiegelt nicht nur die größere Reichweite der betrügerischen Kampagnen wider, sondern auch die Effizienz der neuen auf KI und Automatisierung basierenden Techniken.
Wer denkt, dass Phishing, Smishing und Vishing ausschließlich Risiken für einzelne Verbraucher sind, liegt falsch. Unternehmen sind ebenfalls häufig Opfer dieser Betrügereien, insbesondere wenn Unternehmensanmeldeinformationen im Dark Web offengelegt werden. Laut einer Analyse von Nethone können Betrüger durch den Erwerb gestohlener Daten von Mitarbeitern privilegierten Zugriff auf interne Systeme und sensible Datenbanken erlangen.
Ab dann tätigen sie subtile Bewegungen: Sie studieren das Kauf- oder Betriebsverhalten des Unternehmens, erstellen Interaktionen mit dem technischen oder kommerziellen Support und manipulieren allmählich interne Prozesse, um betrügerische Transaktionen durchzuführen, ohne sofort Verdacht zu erregen. Diese Praxis gefährdet nicht nur die Sicherheit der Organisation, sondern auch das Vertrauensverhältnis zu Kunden und Partnern.
Wie kann man sich vor diesen Bedrohungen schützen?
Der Schutz vor Phishing, Smishing und Vishing umfasst eine Kombination aus Technologie, Prozessen und Bewusstseinsbildung.
Bildung und Bewusstseinsbildung:Die erste Verteidigungslinie ist immer die Person. Sowohl Unternehmen als auch Nutzer müssen geschult werden, um häufige Anzeichen dieser Betrugsmaschen zu erkennen, wie Rechtschreibfehler, übermäßige Dringlichkeit in Nachrichten, Anfragen nach sensiblen Informationen und ungewöhnliche Kommunikationskanäle.
Mehrfaktor-Authentifizierung (MFA):Auch wenn die Anmeldeinformationen kompromittiert sind, erschweren mehrere Authentifizierungsschichten den unbefugten Zugriff.
Überwachung von Zugangsdaten:Tools, die die Exposition von Zugangsdaten im Dark Web überwachen, sind unerlässlich, damit Unternehmen und Einzelpersonen schnell vor Datenlecks gewarnt werden.
KI-basierte Betrugserkennungssysteme:Genauso wie Kriminelle müssen Unternehmen auf künstliche Intelligenz zurückgreifen, um anomale Verhaltensmuster zu erkennen, die auf mögliche Eindringversuche oder Betrugsversuche hinweisen.
In Zeiten, in denen Vertrauen eine wertvolle Währung ist, ist es unerlässlich, Zugangsdaten zu schützen und eine vigilante Haltung einzunehmen, um die digitale Integrität von Einzelpersonen und Unternehmen zu bewahren.
