Interview mit Ingo Schubert von RSA

Kriminelle nutzen COVID-19 – und kämpfen selbst damit

19. August 2020, 07:00 Uhr   |  Wilhelm Greiner

Kriminelle nutzen COVID-19 – und kämpfen selbst damit
© RSA

Im ersten Quartal dieses Jahres spielte das Thema Corona-Pandemie für Online-Betrüger bereits eine große Rolle, so ein aktueller Report von RSA – und man darf spekulieren, dass das bis auf Weiteres so bleiben wird. Jenseits der naheliegenden COVID-19-Thematik enthält RSAs Fraud Report auch noch einige überraschende Zahlen.

„Betrüger sind immer bestrebt, die Schwachstellen der Verbraucher auszunutzen, und sie haben sich die Angst und Unsicherheit im Zusammenhang mit COVID-19 schnell zunutze gemacht“, heißt es in RSAs „Quarterly Fraud Report Q1 2020“: „Von Phishing-E-Mails, die Menschen dazu verleiten, sich für Informationen zur Gesundheitssicherheit durchzuklicken, bis hin zu Anzeigen in sozialen Medien, die in Zeiten finanzieller Unsicherheit kostenlose Waren oder Dienstleistungen versprachen, mangelte es nicht an Betrügereien, die auf Sorgen bezüglich COVID-19 abzielen.“

„Covid-19 war ein Geschenk für die Scammer“, erklärte auch Ingo Schubert, Principal Consultant bei Dells Security-Tochter RSA, gegenüber LANline. Er verwies auf ein RSA-Papier, das die vielfältigen Effekte der Pandemie auf die Online-Kriminalität beschreibt. Diese reichen von Darknet-Verkäufern, die betonen, ihr Marijuana sei steril und damit Corona-sicher verpackt, bis zu Darknet-Lieferhinweisen, aufgrund der Pandemie könne es zu Verzögerung bei der Lieferung von Geldautomaten-Skimmern kommen. Auch der gemeine Cyberkriminelle hat’s eben nicht leicht, wenn sich plötzlich alle alles per Kurier schicken lassen.

In den dunklen Ecken des Internets finden sich laut RSA-Erkenntnissen „Special Coronavirus Deals“ und natürlich Angebote, COVID-19-bezogene Spam-Kampagnen zu erstellen (siehe Bild oben). Derlei Kampagnen gibt es in zahlreichen Varianten, etwa als Phishing mittels angeblicher WHO-Informationen, als Smishing (Short Message Phishing), in dem der britische NHS (National Health Service) vorgeblich Rückerstattungen offeriert, oder auch als schädliche Android-App, die sich als Corona-Tracker tarnt oder mit einer Landkarte zur Verbreitung des Coronavirus lockt. Allein seit Januar, so RSA, habe man schon über 50.000 neu registrierte Domains mit „Corona“ oder „Covid“ im Namen verzeichnet – viele davon sicher zu Betrugszwecken registriert.

Smishing-Nachricht, vorgeblich vom britischen NHS.
© RSA

Smishing-Nachricht, vorgeblich vom britischen NHS.

Dabei ist es für RSA allerdings offenbar schwierig, das Ausmaß der Coronavirus-bezogenen Betrugslandschaft genau zu benennen. Dies ist kein Wunder, überwacht doch der Security-Spezialist den Online- und Kreditkartenverkehr unter anderem für die Finanzindustrie – und ist ein Betrugsversuch einmal als solcher erkennt, dann ist es den Erkennungsalgorithmen egal, ob ein Corona-Bezug vorlag oder nicht. „Dass es mehr COVID-19-Scams gibt, steht für uns fest, aber für eine aussagekräftige Zahl wie ,X Prozent der Phising-E-Mails verwenden das COVID-19-Thema’ fehlt uns die Datenbasis“, so Ingo Schubert angenehm offen gegenüber LANline.

Insgesamt hat RSA im ersten Quartal weltweit über 50.000 Online-Betrugsversuche verzeichnet. Phishing war dabei nach wie vor der Hauptangriffsvektor: 54 Prozent der Betrugsversuche gingen so vor. Auf Platz zwei lag „Brand Abuse“, also die missbräuchliche Nutzung eines Markennamens wie im obigen Fall etwa der WHO oder des NHS.

Eine interessante Erkenntnis: Das durchschnittliche Transaktionsvolumen von Betrügereien lag in der EU deutlich höher als das für echte Transaktionen, während die beiden Volumina sich in Amerika stark ähneln. Schubert vermutet, dass die Kriminellen in Europa möglichst schnell „Kasse machen“ wollen, da sie mit einer baldigen Aufdeckung rechnen. In Amerika hingegen versuche man offenbar eher, betrügerische Abbuchungen zwischen legitimen Transaktionen zu verstecken. Die Diskrepanz zwischen beiden Zahlen deute damit auf ein höheres Sicherheitsniveau europäischer Banken gegenüber etwa den USA. Denn dort, so Schubert, könne ein Krimineller eine gestohlene Karte länger missbrauchen als in der EU.

Das durchschnittliche Transaktionsvolumen von Betrügereien lag in der EU deutlich höher als das für echte Transaktionen. In den USA hingegen liegen die beiden Werte beinahe gleichauf.
© RSA

Das durchschnittliche Transaktionsvolumen von Betrügereien lag in der EU deutlich höher als das für echte Transaktionen. In Amerika hingegen liegen die beiden Werte beinahe gleichauf.

Eine ganz erstaunliche Zahl aus dem Q1-Report: Stolze 66 Prozent des Phishings beobachtete RSA in... *Trommelwirbel* ... Kanada! Dieser Wert „hat uns selbst gewundert“, wie Schubert einräumt. In Kanada habe man zwar einen Kunden, der ein beliebtes Angriffsziel für Betrüger sei, dennoch seien 66 Prozent „unverhältnismäßig viel“. Seine Vermutung: Auch in Untergrundforen gebe es das Phänomen einer „selbstverstärkenden Wirkung“, wie etwa im Aktienhandel. Betrugsversuche in Kanada waren im ersten Quartal also offenbar unter Cyberkriminellen „en vogue“.

Deutschland hingegen taucht in diesem RSA-Report nur an einer Stelle auf, nämlich auf Platz drei der Top-Länder für das Hosting von Phishing-Kampagnen – nach den USA und China, aber noch vor Indien und Russland. In dieser Liste finden sich laut Schubert Länder, die eine sehr gute Internet-Infrastruktur und viele Rechenzentren haben, ebenso wie solche, bei denen man es mit der Strafverfolgung nicht ganz so eng nimmt. Laut dem Security-Experten ist es für IT-Sicherheitsteams wichtig zu wissen, dass Angriffe wie Phishing-Kampagnen eben auch aus der Nachbarschaft kommen können – und nicht nur aus dem fernen Russland oder dem noch ferneren China.

Zur Frage der LANline, inwieweit denn die Cybercrime-Szene heute schon auf künstliche Intelligenz und Machine Learning (KI/ML) setzt, urteile der Fachmann, es habe einen Hype auf beiden Seiten im Cybercrime gegeben, dieser flaue aber nun ein wenig ab. Zwar nutze auch das Online-Verbrechen KI, etwa in der Form automatischer Übersetzung von Phishing-Anschreiben mittels Google Translate & Co., aber ein „KI-basiertes automatisiertes Spear-Phishing“, wie es manche befürchten, habe man bislang noch nicht beobachtet. Derlei könne „vielleicht irgendwann mal“ kommen, aber derzeit seien beide Seiten im digitalen Kampf noch weit davon entfernt, alles durchgängig automatisieren zu können.

RSAs Fraud Report für das erste Quartal gibt es gegen Angabe personenbezogener Informationen hier: https://www.rsa.com/en-us/offers/rsa-fraud-report-q1-2020.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

DELL GmbH

RSA

Dell Technologies