Die Einführung der PSD2-Richtlinie wird von Kriminellen weiterhin dazu genutzt, gezielt Kunden von Banken und Finanzdienstleistern mit gefälschten Links anzugreifen. Seit Ende Oktober 2019 hat die deutsche Verbaucherzentrale nun auch vermehrt Phishing-Mails bei Kunden der Landesbank Berlin (LBB), Paypal und Volksbanken verzeichnet.
Kriminelle versuchen im Namen der jeweiligen Institution an personenbezogene Daten wie Name, Rechnungsadresse oder Kontodaten der Kunden zu gelangen. Zusätzlich soll der Empfänger auf einen Link klicken. Besonders perfide ist der Einsatz eines echten Links, zum Beispiel zur Landesbank Berlin, mit verfälschter Verlinkung.
Das bedeutet, das Ziel des Links führt auf eine infizierte und unsichere Website. Die Empfänger laufen Gefahr ihre Nutzerdaten durch diese Attacken an Kriminelle abzugeben. Auch könnte der Link zur Installation von Ransomware führen.
Es ist gefährlich, persönliche Daten im Internet preiszugeben, das ist allseits bekannt, dennoch wird es häufig vergessen. Doch von Anfang an sollte sich jeder genau überlegen, welche Details er im Internet über sich und sein Leben veröffentlicht. So ist davon auszugehen, dass wahrscheinlich eine Vielzahl an Menschen auf einen möglichen Betrug dieser Art reinfallen würde, weil die E-Mail stark personalisiert werden kann.
Zwar bezieht sich dieser Fall lediglich auf die Kunden der Landesbank Berlin, Volksbanken und Paypal, dennoch ist die Angriffsmethode auf weitere Banken und weitere Finanzdienstleister übertragbar. Es ist davon auszugehen, dass auch ein Mitarbeiter während der Arbeit auf eine derartige Spam-Mail hereinfallen könnte und die Firma einem Sicherheitsrisiko aussetzt.
Dabei muss es nicht um sein persönliches Konto gehen, denn viele Unternehmen sind ebenfalls Kunden der Banken oder benutzen Paypal. So ist vorstellbar, dass ein Angestellter der Buchhaltung mit hoher Wahrscheinlichkeit auf das Phishing hereinfallen könnte.
Um sich gegen diese Art von Betrug zu wappnen, sollten Unternehmen in den Aufbau einer ‚menschlichen Firewall‘ investieren. Dafür müssen alle Mitarbeiter mit einem fortgeschrittenen Security-Awareness-Training geschult werden. Es handelt sich hier um regelmäßig durchgeführte, simulierte Phishing-Tests. Die Lehrgänge unterstützen die Mitarbeiter, bösartige E-Mails und Webinhalte zu erkennen und wachsam gegenüber Betrugsversuchen zu werden.
Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickeln, erhöhen sich die Chancen für eine erfolgreiche Abwehr dieser kriminellen Attacken und Betrugsversuche.