Google hat Betrügern, die es auf Unternehmen abgesehen haben, den Kampf angesagt [1]. Cyberkriminelle gaben sich als der Tech-Gigant aus und brachten kleine Unternehmen dazu, für die Erstellung eines Geschäftsprofils auf Google zu bezahlen, das eigentlich kostenlos ist.

Die Experten von Kaspersky unterstützen die Bemühungen von Google und stellen dafür gängige Social-Engineering-Methoden vor, mit denen Cyberkriminelle kleine und mittelständische Unternehmen (KMU) derzeit in die Falle locken, und bieten Tipps, wie sich KMU schützen können.

Gängige Social-Engineering-Methoden

• Cyberkriminelle geben sich als Lieferanten aus: Große Unternehmen haben strenge Verfahren, um (potenzielle) Zulieferer zu überprüfen, diese Ressourcen fehlen kleinen Unternehmen allerdings. Das nutzen Cyberkriminelle aus und locken mit lukrativen Angeboten, flexiblen Konditionen und Webseiten, die denen legitimer Anbieter täuschend ähnlich sind. Nach der Bezahlung erhalten Unternehmen jedoch keine Gegenleistung.
• Fake Events: Branchenevents sind für Unternehmen von entscheidender Bedeutung. Betrüger verschicken daher Einladungen mit relevanten und ansprechenden Inhalten für Fake-Veranstaltungen, um Tickets über legitim aussehende Landing Pages zu verkaufen und so Gewinn zu erzielen.
• Erpressung mittels schlechter Bewertungen: Betrüger schreiben negative Bewertungen über Hotels, Restaurants und andere Unternehmen und senden diesen eine E-Mail, in der sie anbieten, die Bewertungen gegen eine Geldsumme von Google, TripAdvisor oder einer anderen Webseite, die Bewertungsmöglichkeiten bietet, zu löschen.
• Spear-Phishing: Beim Spear-Phishing senden Betrüger E-Mails an eine Person, die für das Budget des Unternehmens zuständig ist, wie beispielsweise an den Eigentümer oder den Buchhalter der Organisation. Sie geben sich als Bank, Partner oder Kollegen aus und bitten dringend um eine Zahlung oder Informationen über die Mitarbeiter oder Konten des Unternehmens.

Kirill Kulakov, Technischer Berater bei Kaspersky Fraud Prevention, dazu: „Mittelständische Unternehmen sind für Cyberkriminelle von Interesse. Im Gegensatz zu solchen, die sich auf Privatanwender fokussieren, setzen B2B-Betrüger noch einmal stärker auf individuell zugeschnittene und effiziente Social-Engineering-Methoden und -Schemata. Sie investieren viel Zeit und Aufwand in die Entwicklung und Umsetzung von Methoden, die für eine bestimmte Branche oder ein bestimmtes Unternehmen relevant sind – und das macht sich bezahlt, viel mehr als bei einem gewöhnlichen, privaten Nutzer.“

Kaspersky-Tipps für kleine Unternehmen
• Sich nicht manipulieren oder emotional erpressen lassen. Betrüger versuchen immer, Druck auszuüben und zu verunsichern, um so ihr Opfer zu unüberlegten Handlungen zu verleiten.
• E-Mails von neuen, unbekannten Absendern auf Rechtschreibung sowie den angezeigten Text mit Hyperlinks überprüfen.
• Einführung einer klaren Passwortrichtlinie, wonach Passwörter mindestens acht Buchstaben, eine Zahl, Groß- und Kleinbuchstaben und ein Sonderzeichen enthalten müssen. Zudem sollte sichergestellt werden, dass diese Passwörter bei Verdacht auf eine Kompromittierung geändert werden. Hierfür sollte eine Sicherheitslösung mit einem umfassenden integrierten Passwort Manager [2] implementiert werden.
• Updates von Software- und Geräteherstellern installieren, sobald diese verfügbar sind.
• Eine umfassende Sicherheitslösung wie Kaspersky Endpoint Security for Business [3] einsetzen, die vor einer Vielzahl an Bedrohungen, darunter auch Ransomware, schützt.
• Mitarbeiter regelmäßig in Sachen Cybersicherheit schulen. Kaspersky Security Awareness [4] basiert auf einem Lernzyklus mit motivierenden und einfach in den Arbeitsalltag einzubindenden Micro-Lerneinheiten.
• Das von der Europäischen Kommission kofinanzierte Projekt GEIGER [5] bietet Tools zur Bewertung des Cybersicherheitsniveaus kleiner und sehr kleiner Unternehmen und stärkt deren Bewusstsein für Datenschutz und Privatsphäre mithilfe spezieller Schulungsinstrumente, wie beispielsweise zweier Gamification-Lösungen, die von Kaspersky entwickelt wurden.
• Betrugsversuche den zuständigen Strafverfolgungsbehörden melden.

[1] https://mashable.com/article/google-suing-scammers-that-prey-on-small-businesses
[2] https://www.kaspersky.de/password-manager
[3] https://www.kaspersky.de/small-to-medium-business-security
[4] https://www.kaspersky.de/enterprise-security/security-awareness
[5] https://project.cyber-geiger.eu/