Callback-Phishing-Angriffe nehmen zu. Wenn Sie jemals eine E-Mail erhalten haben, in der Sie aufgefordert werden, einen Dienst zu erneuern oder eine Rechnung für einen Dienst zu bezahlen, den Sie nie erworben haben, haben Sie Callback-Phishing aus erster Hand erlebt.
Was ist Callback-Phishing?
Ein Callback-Phishing-Angriff, manchmal auch als telefonische Angriffsübermittlung (TOAD) bezeichnet, kombiniert zwei Phishing-Methoden. Das Opfer erhält eine Phishing-E-Mail, die es auf ein Problem aufmerksam macht. Anstatt weitere Informationen über die Situation in der E-Mail bereitzustellen, fügt der Bedrohungsakteur eine Kontaktnummer hinzu und hofft auf einen Rückruf des Opfers.
Wenn der Empfänger die genannte Telefonnummer anruft, verwendet der Angreifer Social-Engineering-Techniken, um den Angreifer zu ködern Opfer dazu bringen, vertrauliche Daten zu teilen, Malware zu installieren oder andere Maßnahmen zu ergreifen, die dem Angreifer zugute kommen können.
So funktioniert Callback-Phishing
Zunächst erhält ein Opfer eine E-Mail, in der es darüber informiert wird, dass eine Zahlung für ein Abonnement eines Dienstes fällig ist. Oft liegt der Post keine Rechnung bei. Das Opfer wird dann neugierig oder wütend, wenn es die Zahlungsaufforderung für eine Dienstleistung erhält, die es gar nicht erst gekauft hat – also ruft es die in der E-Mail genannte Telefonnummer an.
Ein Bedrohungsakteur nimmt an dem Anruf teil und bringt das Opfer dazu, bestimmte Schritte zu befolgen, um die Bestellung zu stornieren. Wenn das Opfer diesen Schritten folgt, wird Malware auf seinem PC installiert oder der Angreifer erhält vertrauliche Informationen.
Der Bedrohungsakteur beendet den Anruf, sobald das Opfer die Aktion ausführt, die der Bedrohungsakteur von ihm verlangt.
Warum Hacker Callback-Phishing-Angriffe versuchen
Durch einen erfolgreichen Callback-Phishing-Angriff kann ein Angreifer:
- Stehlen Sie vertrauliche Daten, Anmeldeinformationen oder andere vertrauliche Daten.
- Installieren Sie Ransomware auf dem Computer des Opfers, um Daten zu verschlüsseln, um Lösegeld zu erhalten.
- Holen Sie sich die Kreditkarteninformationen oder Bankkontoinformationen des Opfers, um Geld zu stehlen.
- Installieren Sie Fernzugriffssoftware auf dem Computer des Opfers, um vertrauliche Dateien zu stehlen.
Bei den meisten Callback-Phishing-Kampagnen besteht der Zweck des Angriffs darin, Daten, Geld oder beides zu stehlen.
Heutzutage verwenden die meisten Einzelpersonen und Unternehmen Anti-Phishing- oder Anti-Spam-Lösungen, um eine E-Mail mit einer schädlichen Datei zu blockieren.
Callback-Phishing-E-Mails enthalten jedoch keine schädlichen Anhänge oder schädlichen Links. Diese E-Mails neigen also dazu, E-Mail-Filter zu umgehen und an die Computer der Opfer zugestellt zu werden. Außerdem haben Callback-Phishing-Angriffe niedrige Kosten pro Ziel.
Kein Wunder also, dass immer mehr Bedrohungsakteure Callback-Phishing-Versuche unternehmen.
So verhindern Sie Callback-Phishing-Angriffe
Eine erfolgreiche Callback-Phishing-Kampagne kann einer Person oder einem Unternehmen irreparablen Schaden zufügen.
Hier sind einige Möglichkeiten, sich vor Callback-Phishing-Angriffen zu schützen.
Implementieren Sie die E-Mail-Sicherheitslösung
Obwohl einige sorgfältig gestaltete Callback-Phishing-E-Mails durch E-Mail-Sicherheitslösungen schlüpfen können, Die Implementierung einer renommierten E-Mail-Sicherheitslösung wie eines E-Mail-Gateways kann dazu beitragen, die Ihres Unternehmens zu verbessern Sicherheitslage.
Bedenken Sie, wie ein BEC-Angriff (Business Email Compromise) Sie enorme Geldbeträge und Reputationsverluste kosten kann. Die Implementierung einer robusten E-Mail-Sicherheitslösung kann das Risiko von geschäftlichen E-Mail-Kompromittierungsangriffen minimieren. In den meisten Fällen erkennt und blockiert eine E-Mail-Sicherheitslösung E-Mail-Spoofing, Phishing und Betrug. Eine solche Lösung kann auch dazu beitragen, die Installation von Malware auf Ihrem PC zu verhindern.
Darüber hinaus kann eine gute E-Mail-Sicherheitslösung Sie bei verdächtigem Benutzerverhalten warnen. Stellen Sie also sicher, dass Sie eines davon haben Top-E-Mail-Suiten für die sichere Konfiguration des Posteingangs.
Selbst wenn Sie nicht in einem professionellen Umfeld arbeiten, kann Ihnen eine gute Antivirensoftware auf Ihrem Gerät optimalen Schutz vor Phishing-E-Mails und vielen anderen Cybersicherheitsbedrohungen bieten.
Überprüfen Sie E-Mails genau auf offensichtliche Phishing-Anzeichen
Callback-Phishing-E-Mails haben zwar keine schädlichen Anhänge oder Links, aber einige Top-Phishing-Anzeichen auf die Sie achten sollten.
Eine E-Mail ist wahrscheinlich eine Phishing-E-Mail mit einem ungewöhnlichen Absender. Beispielsweise kann die E-Mail behaupten, von einem seriösen Unternehmen zu stammen, aber keine Marken-E-Mail-Adresse haben. Stattdessen hat es eine generische E-Mail-Adresse wie google.com oder yahoo.com.
Sie können auch misstrauisch gegenüber E-Mails sein, die mit Rechtschreib- und Grammatikfehlern übersät sind. Kein seriöses Unternehmen versendet E-Mails voller Textfehler. Achten Sie auch auf Meldungen, die ein kurzes Fenster zum Ausführen einer Aufgabe angeben. Beispielsweise bietet Ihnen eine E-Mail-Adresse einige Stunden Zeit, um eine Zahlung zu leisten, um ein Abonnement aktiv zu halten.
Eine Phishing-E-Mail kann von Ihrem E-Mail-Anbieter gekennzeichnet werden. Einige E-Mail-Anbieter verfügen über eine integrierte Anti-Spam-Technologie, um Benutzer vor Phishing- und Spam-E-Mails zu warnen.
Jetzt kombinieren Bedrohungsakteure verschiedene Social-Engineering-Taktiken, um Opfer dazu zu bringen, sie anzurufen. Sie sollten also besonders vorsichtig sein, wenn Sie Maßnahmen aufgrund von E-Mails ergreifen, die Verdacht erregen.
Seien Sie misstrauisch, wenn es um Geld geht
Eine todsichere Methode, um zu vermeiden, Opfer eines Callback-Phishing-Angriffs zu werden, besteht darin, noch einmal zu überprüfen, ob es in einer Nachricht um Geld oder Anmeldedaten geht.
Wenn eine E-Mail von einem scheinbar legitimen Unternehmen ein Gefühl der Dringlichkeit erweckt und Sie auffordert, Geld zu senden, seien Sie misstrauisch.
Falls die E-Mail außer der Telefonnummer des Kundendienstmitarbeiters keine detaillierten Informationen enthält, besteht die Möglichkeit, dass sie Teil einer Callback-Phishing-Kampagne ist.
Organisieren Sie Phishing-Schulungsprogramme
Callback-Phishing, ein Teil von Social-Engineering-Angriffen, beruht eher auf menschlichem Versagen als auf Systemschwachstellen.
Daher kann die regelmäßige Durchführung von Schulungsprogrammen zur Sensibilisierung für Cybersicherheit für Mitarbeiter das Risiko von Callback-Phishing-Angriffen minimieren.
Hier sind Schlüsselbereiche, auf die Sie sich konzentrieren sollten, wann Aufbau eines Schulungsprogramms für das Sicherheitsbewusstsein. Für den Anfang sollte ein Schulungsprogramm zur Sensibilisierung für Sicherheit Schulungen zu verschiedenen Themen der Cybersicherheit anbieten Angriffe, einschließlich Callback-Phishing, Spam, Malware, Social-Engineering-Methoden, skriptbasierte Angriffe und viel mehr. Es sollte ausreichend darauf geachtet werden, wie Phishing-E-Mails, bösartige URLs, betrügerische Websites usw. erkannt werden.
Mitarbeiter sollten keine Unternehmens-E-Mail-Adresse verwenden, um legitime, vertrauenswürdige Technologie-Tools von gefälschten Websites herunterzuladen oder zufällige Online-Dienste zu abonnieren. Dies ist eine sichere Möglichkeit, Phishing- oder Spam-E-Mails einzuladen. Sie sollten sicherstellen, dass Ihre Mitarbeiter die besten Passwortsicherheitsrichtlinien befolgen. Sie sollten auch Multi-Faktor-Authentifizierungen verwenden, um ihren Konten eine Sicherheitsebene hinzuzufügen.
Ihr Schulungsprogramm sollte auch Schein-Phishing-Tests enthalten, um die Bereitschaft Ihrer Mitarbeiter zur Bekämpfung von Callback-Phishing-Kampagnen zu bewerten. Und stellen Sie sicher, dass Ihre Mitarbeiter die Best Practices befolgen Unternehmens-E-Mail-Konten schützen Betrug zu vermeiden.
Rückruf-Phishing erklärt
Jetzt wissen Sie, was Callback-Phishing ist und wie Sie es verhindern können. Bleiben Sie wachsam, um nicht Opfer eines Callback-Phishing-Angriffs zu werden. Außerdem sollten Sie mehr darüber erfahren, wie eine Spam-E-Mail aussieht, um eine solche E-Mail schnell zu erkennen.