Wie Ihre Marke ohne Ihr Wissen ausgenutzt werden kann
Unternehmen sind sich möglicherweise nicht aller Möglichkeiten bewusst, wie sich bösartige Akteure online als ihre Marke ausgeben, obwohl diese Online-Angriffe die Kunden eines Unternehmens betrügen und seine Marke beschädigen können.
Wichtige Punkte
- Cyberkriminelle können Marken auf vielfältige Weise online ausnutzen, und diese Angriffe sind oft schwer zu erkennen und zu neutralisieren.
- Unternehmen müssen über den eigenen Tellerrand hinausschauen, um herauszufinden, wie Kriminelle ihre Marken im Internet imitieren.
- Eine mehrschichtige Online-Markenschutzstrategie kann Unternehmen dabei helfen, Angriffe auf ihre Marke schnell zu erkennen und abzuwehren.
Bereits 2004 sagte Daryl Plummer von Gartner voraus, dass "käufliche Fälschungen der Realität die Norm sein werden". [1] Die weite Verbreitung von Online-Markenausbeutung ist ein Beweis dafür, dass Plummers Vorhersage eingetreten ist. Heutzutage ist die Ausbeutung von Marken ein weitaus größeres Problem als der Verkauf von gefälschten Waren. Böswillige Akteure geben sich online ständig als Marken aus und konstruieren gefälschte E-Fragmente der Realität, die ahnungslose Benutzer dazu verleiten, auf Phishing-Versuche und andere Cyberangriffe hereinzufallen.
Laut der Studie State of Email Security 2020 von Mimecast meldeten Unternehmen im letzten Jahr durchschnittlich neun Website- oder E-Mail-Spoofing-Angriffe und 84 % der Befragten befürchten in den nächsten 12 Monaten weitere Angriffe auf E-Mail-Domänen, Web Domain-Spoofing , Markenausbeutung oder Website-Spoofing. [2]
Diese Statistiken sind beunruhigend, aber sie geben nicht das ganze Bild wieder, weil viele Angriffe unter dem Radar fliegen. Das Internet ist riesig, bösartige Akteure sind schwer zu fassen, und es gibt viele Möglichkeiten, wie Marken im Internet ohne ihr Wissen ausgenutzt werden können. Dazu gehören Link-Manipulation, Website-Spoofing, E-Mail-Spoofing, Vishing und SMShing, Social Media-Imitation und Suchmaschinen-Phishing.
Die Bedrohungen sind so vielfältig und zahlreich, dass es in der Regel nicht möglich ist, all diese bösartigen Imitationsversuche allein mit manuellen Methoden schnell zu erkennen. Marken können versuchen, das Internet manuell nach verdächtigen Aktivitäten zu durchsuchen, aber wenn eine Bedrohung entdeckt wird, ist sie bereits aktiv und richtet wahrscheinlich Schaden an. Eine solche Verzögerung reicht nicht aus, wenn die Sicherheit von Kunden und Mitarbeitern auf dem Spiel steht - ganz zu schweigen von der Reputation einer Marke -. Marken können ihre Fähigkeit, solche Angriffe zu erkennen, mit automatisierten Online-Markenschutzlösungen beschleunigen und ausweiten, die das Internet durchsuchen, um Versuche, sich als Marke auszugeben, zu erkennen und zunichte zu machen, bevor das Schlimmste passiert.
1. Link Manipulation
Linkmanipulation ist der Kern vieler Versuche, die Marke auszunutzen. Böswillige Akteure manipulieren Links leicht, um Nutzer auf gefälschte Websites zu leiten. Sie können Domains mit Namen registrieren, die echten Markennamen sehr ähnlich sind, und dann bösartige Websites unter diesen Domains hosten. Die Angreifer verwenden verschiedene Taktiken, darunter:
- Falsch geschriebene URLs. Diese auch als Typosquatting oder URL-Hijacking bekannte Methode der Markenausbeutung beruht auf der Wahrscheinlichkeit, dass Nutzer bei der Eingabe einer URL in ihren Webbrowser einen Tippfehler oder einen anderen ähnlichen Fehler machen. Anstelle von "example.com" könnte ein Nutzer auf die ähnliche Domain "exampil.com" geleitet werden.
- Internationalisierte Domänennamen (IDNs) können Benutzer dazu verleiten, auf Links zu klicken, die echt aussehen, aber internationale Zeichen anstelle englischer Zeichen verwenden. Ein böser Akteur könnte zum Beispiel das lateinische Zeichen "ɱ" verwenden, um die Domäne "exaɱple.com" zu erstellen.
- Versteckte URLs verbergen die eigentliche, bösartige URL unter einfachem Text, der z. B. "Klicken Sie hier" heißt.
- Missbrauch von Domänen oberster Stufe und Ländercodes nimmt einen legitimen Domänennamen und fügt eine falsche Domäne oberster Stufe hinzu. Eine nachgemachte Top-Level-Domain von "example.com" könnte "example.ca" lauten.
Linkmanipulation wird oft in Verbindung mit anderen Methoden der Markenausbeutung eingesetzt (siehe unten).
2. Website-Spoofing
Bösewichte können gefälschte Websites erstellen, die legitim aussehen und die Nutzer über manipulierte Links zu ihnen leiten. Sie können Codes, Farben und Bilder von der Website einer echten Marke kopieren, um ahnungslose Nutzer zu täuschen. Diese Websites können zum Herunterladen von Malware oder zum Stehlen von Anmeldedaten verwendet werden. Wenn Sie auf einen Link auf einer gefälschten Website klicken, kann Malware auf das System des Benutzers gelangen, oder die Website kann so gestaltet sein, dass sie persönliche Informationen sammelt, die dann verkauft werden können.
3. E-Mail-Spoofing
Bei E-Mail-Spoofing-Angriffen sendet ein Angreifer eine E-Mail, die scheinbar von einer seriösen Marke stammt. In der E-Mail wird der Empfänger möglicherweise aufgefordert, auf einen Link zu klicken, der zu einer gefälschten Website führt oder Malware herunterlädt. Indem er Ihre Marke als Köder benutzt, gibt der ahnungslose Empfänger möglicherweise seine persönlichen Daten - oder die seines Arbeitgebers - an Kriminelle preis.
4. Vishing und SMShing
Phishing-Angriffe, die Sprach- und Textnachrichten (Vishing bzw. SMShing) verwenden, sind eine weitere gängige Methode zur Ausnutzung von Marken. Vishing-Nachrichten können den Anschein erwecken, von einer offiziellen Quelle zu stammen. So erhielt beispielsweise der Vorstandsvorsitzende eines britischen Energieunternehmens einen Anruf, der scheinbar vom Vorstandsvorsitzenden der Muttergesellschaft des Unternehmens stammte und ihn aufforderte, 220.000 Euro an einen ungarischen Lieferanten zu zahlen. [3] In Wirklichkeit imitierten die Täter die Stimme des Vorstandsvorsitzenden mithilfe von KI, und das Geld wurde an Kriminelle weitergeleitet.
SMShing-Versuche nutzen Textnachrichten, um sich als Marken auszugeben. Der Empfänger erhält möglicherweise eine SMS von einem böswilligen Akteur, der sich als seriöse Bank oder ein anderes Unternehmen ausgibt. Der Text kann einen Link enthalten, der den Benutzer zu einer gefälschten Anmeldeseite führt, um die Anmeldedaten der Person zu stehlen.
5. Nachahmungen in den sozialen Medien
Soziale Medien sind ein fruchtbarer Boden für die Ausbeutung von Marken. Ein böswilliger Akteur kann beispielsweise ein gefälschtes Social-Media-Konto im Namen eines Unternehmens erstellen und es durch das Posten oder Kommentieren von Nachrichten legitim erscheinen lassen und sogar Links zu einer gefälschten Website einfügen. Oder die Nachahmer versuchen einfach nur, die Marke in Verlegenheit zu bringen oder ihren Ruf zu schädigen. Nach der BP Deepwater Horizon-Ölpest im Jahr 2010 zum Beispiel persiflierte ein Twitter-Konto, das die Öffentlichkeitsarbeit von BP imitierte, die PR-Bemühungen des Unternehmens nach der Ölpest. Der gefälschte Account hatte doppelt so viele Follower wie der echte Account des Unternehmens. [4]
6. Suchmaschine Phishing
Anstatt E-Mails oder Textnachrichten zu verschicken, um Benutzer dazu zu verleiten, auf bösartige Links zu klicken, erstellen einige bösartige Akteure bösartige Webseiten, die in den Ergebnissen von Suchmaschinen erscheinen sollen. Diese gefälschten Websites verwenden oft Domain-Spoofing, um sich als echte Marken auszugeben. Um Benutzer zum Klicken zu bewegen, kann die Suchmaschinenanzeige oder der Link kostenlose oder ermäßigte Waren oder sogar Stellenangebote anbieten. [5]
Prävention der Markenausbeutung muss vielschichtig sein
Das Letzte, was die meisten Unternehmen wollen, ist, von ihren eigenen Kunden auf einen Betrug aufmerksam gemacht zu werden. Es kann jedoch eine Herausforderung sein, dem Problem einen Schritt voraus zu sein, wenn es so viele Möglichkeiten gibt, wie bösartige Akteure Marken im Internet ausnutzen. Die Lösung? Ein vielschichtiger Ansatz, der Folgendes umfasst:
DMARC-E-Mail-Authentifizierung : DMARC kann Marken dabei helfen, sicherzustellen, dass ihre Domäne in Phishing-E-Mails nicht nachgeahmt wird. DMARC ermöglicht es E-Mail-Systemen, gefälschte E-Mails, die scheinbar von legitimen Domänen stammen, zu erkennen und zurückzuweisen, bevor die E-Mails den Posteingang der Empfänger erreichen. DMARC kann jedoch keine Angriffe verhindern, die Domänennamen verwenden, die der Domäne einer Marke ähnlich, aber nicht identisch sind.
Schulungen zum Sicherheitsbewusstsein : Der Mensch ist oft das schwächste Glied, wenn es darum geht, Opfer von Cyberangriffen zu werden. Regelmäßige Schulungen zum Sicherheitsbewusstsein können dazu beitragen, dass die Menschen über die neuesten Versuche der Markenausbeutung und andere Cyberangriffe auf dem Laufenden bleiben. Wer ein gutes Auge hat, kann lernen, verdächtige Links, ähnlich aussehende E-Mails und Websites, gefälschte Konten in sozialen Medien und vieles mehr zu erkennen.
KI-basierte Lösungen für den Online-Markenschutz : Marken können versuchen, das Internet manuell auf verdächtige Aktivitäten zu überwachen, aber es kann Wochen oder Monate dauern, bis Angriffe auf Marken erkannt werden, und weitere zwei Wochen oder mehr, um diese Angriffe zu beseitigen. [6] Automatisierte Lösungen für den Markenschutz können Angriffe auf Marken oft innerhalb von Stunden oder in einigen Fällen sogar schneller erkennen und beseitigen.
Die Quintessenz
Viele Angriffe auf Marken sind schwer zu erkennen, da das Internet fast unendlich groß ist und böswilligen Akteuren mehrere Angriffsmethoden zur Verfügung stehen. Um diese Angriffe zu erkennen und zu stoppen, müssen Marken einen mehrschichtigen Ansatz zum Online-Markenschutz verfolgen, der DMARC, Schulungen zum Sicherheitsbewusstsein und KI-basierte Markenschutzlösungen umfasst. Andernfalls kann es passieren, dass der Ruf von Marken durch Angriffe beschädigt wird, die sie nicht einmal auf dem Radar hatten.
[1] " Verteidigen Sie Ihre Marke in der Ära der Fake News ," Gartner
[2] Der Stand der E-Mail-Sicherheit 2020 , Mimecast
[3] " Betrüger benutzen KI, um die Stimme des CEO in einem ungewöhnlichen Fall von Cyberkriminalität nachzuahmen ," The Wall Street Journal
[4] " Gefälschter BP-Twitter-Account zieht Follower mit Ölpest-Satire an ," The Wall Street Journal
[5] " Search Engine Phishing ," Legal Match
[6] Die Sicherheitsherausforderung jenseits Ihres Perimeters , Frost & Sullivan
Abonnieren Sie Cyber Resilience Insights für weitere Artikel wie diesen
Erhalten Sie die neuesten Nachrichten und Analysen aus der Cybersicherheitsbranche direkt in Ihren Posteingang
Anmeldung erfolgreich
Vielen Dank, dass Sie sich für den Erhalt von Updates aus unserem Blog angemeldet haben
Wir bleiben in Kontakt!