Phishing in Online-Shops – wie können Sie sich davor schützen?

Jeder, der einen Online-Shop betreiben möchte, muss wissen, dass es nicht ausreicht, nur eine Shop-Seite einzurichten und Produkte mit Beschreibungen und Bildern einzufügen. Die Entwicklung eines Shops ist ein zeitaufwändiger und schwieriger Prozess. Sie müssen bedenken, dass der Betrieb eines Shops mit vielen Risiken verbunden ist – es geht nicht nur um negative Rückmeldungen von verärgerten Kunden, die andere vom Einkaufen abhalten können. Eine sehr ernste Bedrohung ist das so genannte Phishing. Ein Shop kann zum Ziel von Angriffen und Phishing von Kundendaten werden. Was genau ist Phishing und wie können Sie sich davor schützen?

Was ist Phishing?

Phishing ist eine immer häufiger auftretende Angriffsmethode, bei der Menschen, die das Internet nutzen, zu Opfern werden, ganz gleich, ob sie ein Unternehmen betreiben oder Produkte oder Dienstleistungen bestellen. Betrüger geben sich geschickt als bekannte Marken aus, darunter auch Online-Shops. Sie können sich als jede beliebte Website oder wichtige Institution wie z.B. eine Bank ausgeben. Sie verwenden gefälschte Websites und E-Mails, die sich praktisch nicht von den Originalen des betreffenden Unternehmens unterscheiden. Sogar die Domänen der gefälschten Websites sehen den Domänen der echten Unternehmen oft täuschend ähnlich. Ziel ist es, an die Anmeldedaten des Inhabers des Geschäfts oder der Website zu gelangen. Dieser gibt sie selbst an, in dem Glauben, dass sie vom Inhaber der Website oder der Institution (deren Dienste er seit langem nutzt) angefordert werden.

Warum werden Online-Shops immer häufiger zum Opfer von Phishing?

Die Angriffe auf Online-Shops nehmen aus mehreren Gründen zu. In erster Linie verkauft das Geschäft Produkte an Kunden, sein Geschäft basiert also auf der ständigen Interaktion mit ihnen. Kunden hingegen, die etwas kaufen möchten, müssen auf der Website des Geschäfts ein Konto anlegen und, selbst wenn sie als Gast einkaufen, ihre persönlichen Daten, ihre Adresse und ihre Kontaktdaten angeben, damit der Kauf ausgeliefert werden kann und Benachrichtigungen darüber verschickt werden können. Geschäfte verfügen daher oft über riesige Datenbanken mit Kundendaten, die sie verarbeiten.

Außerdem kann kein Online-Händler zulassen, dass sein Shop aus irgendeinem Grund in einem öffentlichen Forum kompromittiert wird, da dies einen Vertrauensverlust der Kunden und das Ende seines Geschäfts bedeuten würde, da niemand mehr etwas kaufen möchte. Der wichtigste Grund, neben der Masse an persönlichen Daten, ist jedoch, dass die Shops Geld verdienen, und oft nicht viel davon. Die Betrüger wissen daher, dass die Ladenbesitzer das Geld haben, um das Lösegeld zu bezahlen, das sie fordern, um den Laden und sein Image zu schützen. Es ist nicht ungewöhnlich, dass die Betrüger in solchen Situationen ein Lösegeld fordern, indem sie damit drohen, die erbeuteten Daten an die Öffentlichkeit zu geben, wenn das Opfer nicht zahlt, und das können sich die Ladenbesitzer nicht leisten.

Nach Angaben von Kaspersky Labs gab es in den ersten 10 Monaten des vergangenen Jahres über 40 Millionen Phishing-Angriffe auf Online-Shops und virtuelle Banken, die die Signaturprodukte von Kaspersky Labs registriert haben!

Die Auswirkungen von Phishing in Online-Shops

Ihr Online Shop kann auf zwei Arten Opfer von Phishing werden.

• Es kann sein, dass Sie von einem Betrüger angegriffen werden, der sich als Mitarbeiter einer Institution oder einer Website ausgibt. Es kann aber auch sein, dass sich ein Betrüger als Ihr Geschäft ausgibt und Ihre Kunden angreift. Im ersten Fall könnte ein Betrüger die Daten Ihrer Kunden stehlen und ein Lösegeld dafür verlangen, dass sie nicht veröffentlicht werden.
• Im zweiten Fall kann das Problem sogar noch ernster sein. Ein Betrüger kann leicht eine Shop-Seite fälschen, um sie wie die echte aussehen zu lassen. Er kann die gleichen schädlichen Aktionen mit E-Mails oder Nachrichten an Kunden in den sozialen Medien durchführen. Nach einem solchen Angriff werden Ihre Kunden Ihr Geschäft als Fälschung wahrnehmen und Sie für einen Betrüger halten. Es wird schwierig sein, ihr Vertrauen wiederzugewinnen und kann sogar vor Gericht enden. Es könnte so aussehen: Ein Kunde wird von einem besonderen Schnäppchen in einem Geschäft angelockt, über das er eine E-Mail von einem Betrüger erhalten hat, die der Ihren zum Verwechseln ähnlich ist. Ein Link in der E-Mail führt ihn zu einer fast identischen Seite wie die Ihres Shops. Der Kunde gibt eine Bestellung auf und bezahlt natürlich. Dann wartet er auf die Lieferung, die er nicht erhält, und hier beginnen Ihre Probleme, denn Sie sind derjenige, der die Nachrichten mit Beschwerden und Reklamationen erhält und keine Ahnung hat, was passiert ist. Sie können nichts tun, was bedeutet, dass der verärgerte Kunde am Ende vielleicht sogar die Polizei ruft.

Der Beginn von Problemen ist zum Beispiel eine Software, die auf dem Server installiert wird und vorgibt, eine andere Website zu sein. Dann kann das Hosting-Unternehmen reagieren und Ihr Konto sperren, wenn eine gefälschte Website unter Ihrer Domain eröffnet wird. Außerdem müssen Sie mit einem Besuch der Polizei rechnen, da Sie der Eigentümer der Domain und des Servers sind. Sie sind es also, der erklären muss, was passiert ist und warum eine gefälschte Seite unter Ihrer Domain erschienen ist. Wenn Sie beweisen können, dass Sie ein Opfer von Betrügern sind, ist das in Ordnung. Wenn nicht, können Sie sich von dem Shop verabschieden und müssen trotzdem die vom Gericht verhängte Strafe bezahlen.

Können Sie sich vor Phishing schützen?

Phishing ist ein weit verbreitetes Phänomen, gegen das man sich nur schwer schützen kann. Es gibt jedoch einige Schritte, die Sie unternehmen können, um die Wahrscheinlichkeit eines solchen Angriffs zu verringern. Wie können Betrüger überlistet werden? Hier sind ein paar Möglichkeiten:

• Bei der Registrierung eines Domänennamens sollten Sie daran denken, dass der Name keine Buchstaben enthalten sollte, die fast identisch sind mit Zeichen aus fremden Alphabeten, z.B. kyrillisch;
• Sicherstellen, dass die SSL-Zertifikate auf EV-Ebene sind, da dies die Möglichkeit bietet, die Kommunikation zwischen dem Client und dem verwendeten Browser zu verschlüsseln;
• Zwei-Faktor-Verifizierung – die doppelte Sicherheit ist eine ausgezeichnete Lösung, die das Risiko, dass sich ein Betrüger einloggt, auf Null reduziert. Der zweite Faktor kann z.B. die Eingabe eines per E-Mail oder SMS erhaltenen Codes oder die Beantwortung einer Frage sein. Es ist auch ratsam, ein Captcha zu verwenden, damit sich keine Software oder ein Bot anmelden kann, denn nur ein Mensch kann den Befehl dieses Tools ausführen;
• Phrasen oder Bilder zur Kundenverifizierung – kundenindividuelle Phrasen oder Bilder, die nur dem Kontoinhaber bekannt sind und die beim Einloggen angegeben werden müssen, sind ebenfalls ein gutes Schutzinstrument;
• Strenge Regeln für das Festlegen von Passwörtern und das Einloggen mit unvollständigen Passwörtern – es lohnt sich, neue, sich registrierende Kunden daran zu erinnern, dass Passwörter ausreichend lang und komplex sein sollten. Es ist eine gute Idee, Regeln aufzustellen, dass es nicht kürzer als z.B. 8 Zeichen sein darf und Großbuchstaben, Zahlen und Sonderzeichen enthalten muss. Darüber hinaus ist es eine gute Idee, sich mit einem unvollständigen Passwort anzumelden. Dies wird häufig von Banken verwendet. Es werden nur einige Zeichen des Passworts hervorgehoben, die Sie anstelle des gesamten Passworts eingeben müssen. Dies ist auch ein gutes Patent für Betrüger;
• die neuesten Softwareversionen – es ist sehr wichtig, die Software auf dem neuesten Stand zu halten, da neue Versionen Verbesserungen und Korrekturen enthalten, die Schlupflöcher schließen, die Betrüger in älteren Versionen leicht ausnutzen können, um einzubrechen und die Kontrolle über eine Domain und einen Server zu übernehmen;

Was passiert, wenn ein Geschäft Opfer von Phishing wird?

Von dem Moment an, in dem die Daten eines Kunden in die Hände eines Betrügers fallen, ist die Zeit von entscheidender Bedeutung. Jede Minute zählt. Es gibt also keinen Grund, Zeit mit unnötigen Bewegungen und Aktionen zu verschwenden, die nichts bringen.

• Zunächst müssen Sie das Ausmaß des Datenlecks diagnostizieren und abschätzen und sich das gefälschte Material – die Website, die E-Mails – ansehen, um die Details zu finden, die sie vom Original unterscheiden. Dann müssen Sie herausfinden, wie viele Kunden die gefälschten Nachrichten bereits erhalten haben und wie viele darauf hereingefallen sind.
• Der nächste Schritt besteht darin, sich mit dem Hosting-Unternehmen in Verbindung zu setzen und eine Kopie der gefälschten Website sowie eine Nachricht an die Kunden zu versenden, in der die Unterschiede erklärt und sie gewarnt werden. Dies kann nicht nur per E-Mail geschehen, sondern zum Beispiel auch in Ihrem Blog, auf Ihrer Website oder in den sozialen Medien, also überall dort, wo sich die Kunden des Shops aufhalten.
• Es ist auch eine gute Idee, die Situation dem CERT zu melden, einer polnischen Organisation, die innerhalb der NASK-Strukturen tätig ist und sich mit dem Aufspüren von und der Reaktion auf jegliche Gefahr im Internet beschäftigt.

Wie erkennen Sie eine gefälschte Website oder E-Mail?

• Im Falle einer Website sollte das Fehlen eines sichtbaren Domainnamens oder die falsche Sprache Anlass zur Sorge sein.
• Achten Sie darauf, dass ein Buchstabe nicht durch ein identisches Zeichen aus einem anderen Alphabet ersetzt wird. Die am häufigsten verwendeten Zeichen stammen aus dem kyrillischen Alphabet, von denen viele identisch mit unseren Buchstaben aussehen, obwohl sie etwas anderes bedeuten.
• Das Fehlen eines Vorhängeschlosses vor der Adresse der Website ist ebenfalls ein beunruhigendes Zeichen. Sehen Sie sich auch das Design der Website an und prüfen Sie, ob das Zertifikat eingehalten wird und ob der Name des Shops in den Details sichtbar ist. Überspringen Sie auch nicht die Überprüfung der Fußzeile.
• Im Falle einer E-Mail sind die Angaben zum Absender – der Name und die Adresse der E-Mail sowie die Domäne – besonders wichtig. Es lohnt sich zu prüfen, ob der Link nicht verdächtig aussieht und welche Seite sich unter dem Link befindet. Außerdem ist es wichtig, auf Tippfehler und Fehler zu achten – schließlich machen Sie sie nicht selbst. Es lohnt sich auch, den Preheader, d.h. die Ankündigung der Nachricht, die Betreffzeile, die mit der im Shop übereinstimmen sollte, sowie das gesamte Layout der Nachricht und den Text in der Fußzeile zu überprüfen.

Phishing – Zusammenfassung

Jeder Online-Shop kann einem Phishing-Angriff zum Opfer fallen, ebenso wie jedes Unternehmen, das irgendetwas verkauft und anbietet und dabei die Daten vieler Kunden in seinen Datenbanken sammelt. Es ist nicht einfach, einen solchen Angriff zu verhindern, aber es ist möglich, das Risiko mit bestimmten Maßnahmen zu minimieren. Wir sollten daran denken, Phishing nicht mit Hacking zu verwechseln. Hacking findet in der Regel hinter dem Rücken des Website-Besitzers statt und die Daten werden einfach gestohlen. Phishing hingegen ist eine vorsätzliche Aktion, bei der der Eigentümer der Website dazu gebracht wird, freiwillig Daten für den Zugriff auf Datenbanken bereitzustellen. Denken Sie daran, dass keine Institution oder Person dies verlangen sollte, und wenn jemand Geld als Gegenleistung für die Nichtveröffentlichung der Daten verlangt, sollte die Angelegenheit sofort der Polizei gemeldet werden.

Schutz vor Angriffen, einschließlich Phishing, können ein gut verwaltetes Unternehmensnetzwerk des Shops und eine gute Internetverbindung bieten. Bei der Wahl eines Hosting-Anbieters sollten Sie auch darauf achten, dass Sie im Falle von Problemen problemlos erreichbar sein werden. Wenn Sie die Dienste von ITH und KRU.PL in Anspruch nehmen, können Sie sich der Sicherheit und der Möglichkeit der Kontaktaufnahme zu jeder Tageszeit sicher sein. Es handelt sich um professionelle Internetdienste, so dass die Gefahr von Angriffen wirklich minimal ist. Das Angebot ist wirklich attraktiv – bei Kru.pl können Sie nur bis zum Ende des Jahres von einem speziellen Werbeangebot profitieren.