Phishing-Kampagne nimmt Capital-One-Kundschaft ins Visier

Von Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4

Aktuell warnt das IT-Sicherheitsunternehmen KnowBe4 vor einer neuen, raffiniert umgesetzten Phishing-Kampagne, die es gezielt auf Kundinnen und Kunden der US-Bank Capital One abgesehen hat.

Die Angreifer setzen auf täuschend echt gestaltete E-Mails und manipulierte Webseiten, um an vertrauliche Zugangsdaten zu gelangen. Hinter den Angriffen steckt ausgeklügeltes Social Engineering – also der Versuch, Menschen psychologisch zu beeinflussen und zu überlisten, um an sensible Informationen zu kommen.

„Diese Art von Angriff zeigt einmal mehr, wie professionell Cyberkriminelle inzwischen vorgehen“, sagt Dr. Martin Krämer von KnowBe4. „Gerade weil solche Phishing-Versuche oft sehr echt wirken, ist es wichtig, dass sowohl Privatpersonen als auch Unternehmen besonders aufmerksam bleiben.“

So funktioniert die Masche

Die betrügerischen E-Mails sehen auf den ersten Blick aus wie offizielle Nachrichten von Capital One. Sie sind grafisch überzeugend gestaltet und nutzen eine alarmierende Sprache: Die Rede ist etwa von verdächtigen Aktivitäten auf dem Konto oder dringenden Sicherheitsproblemen. Die Empfänger werden dann aufgefordert, über einen Link ihr Konto zu „verifizieren“ oder zu „sichern“. Doch dieser Link führt nicht zur echten Webseite der Bank – sondern zu einer sehr gut nachgebauten Fälschung. Wer dort seine Zugangsdaten eingibt, spielt sie direkt in die Hände der Betrüger. Die möglichen Folgen: unautorisierter Zugriff auf das Konto, Identitätsdiebstahl oder erheblicher finanzieller Schaden.

Teil eines größeren Trends

Wie die Sicherheitsexperten von KnowBe4 betonen, handelt es sich bei dieser Kampagne nicht um einen Einzelfall. Banken und andere Finanzinstitute gehören immer wieder zu den bevorzugten Zielen von Cyberangriffen – einfach deshalb, weil gestohlene Zugangsdaten im Darknet einen hohen Preis erzielen oder als Ausgangspunkt für weitere Attacken genutzt werden können. Diese Form des Datendiebstahls wird auch „Credential Harvesting“ genannt – also das massenhafte Abgreifen von Nutzernamen und Passwörtern.

Was Sie tun können

Um sich vor solchen Angriffen zu schützen, helfen schon einige grundlegende Vorsichtsmaßnahmen:

• Misstrauen Sie E-Mails, die Sie unerwartet erhalten und die zum schnellen Handeln auffordern – besonders wenn es um Ihr Konto, Passwörter oder persönliche Daten geht.
• Überprüfen Sie Links, bevor Sie sie anklicken – zum Beispiel, indem Sie mit der Maus darüberfahren, ohne zu klicken.
• Zwei-Faktor-Authentifizierung aktivieren – sie bietet eine zusätzliche Schutzebene, selbst wenn ein Passwort in falsche Hände gerät.
• Einzigartige, starke Passwörter für jedes Konto verwenden – und am besten einen Passwortmanager nutzen, der Ihnen das Merken erleichtert.
• Regelmäßige Schulungen zum Thema IT-Sicherheit helfen, typische Maschen besser zu erkennen und richtig zu reagieren.

Denn der wirksamste Schutz besteht aus zwei Komponenten: guter technischer Absicherung – und Menschen, die wissen, worauf sie achten müssen.