Vor wenigen Tagen hat das Better Business Bureau (BBB) eine Warnung vor einer neuen Betrugswelle ausgesprochen. Seit geraumer Zeit erhalten immer mehr Influencer und hochkarätige Mitarbeiter von Unternehmen Fake-Einladungen zu einem Auftritt als Gast in einem populären Podcast. Tatsächlich handelt es sich aber um eine abgewandelte Form des Tech Support-Betrugs. Die Angreifer versuchen, sich Zugriff auf die Social Media-Accounts und Desktops ihrer Opfer zu verschaffen, um dann deren Accounts zu infiltrieren, zu blockieren und Daten zu entwenden.

Zu Beginn des Angriffs erhalten die Opfer eine E-Mail – angeblich vom Management-Team einer beliebten Podcast-Reihe. Sie werden eingeladen, als Gast in einer Sendung aufzutreten. Häufig werden sie damit gelockt, dass auch einige bekannte Prominente oder Influencer in der Sendung zu Gast sein würden. Das Opfer, seine Geschichte, seine Erfahrungen und seine Erkenntnisse würden thematisch perfekt in die angepeilte Episode passen. Das Publikum würde sich sehr für ihre Perspektive interessieren. Man sei sogar bereit und in der Lage, sie, als teilnehmende Gäste, für den zeitlichen Aufwand finanziell zu entschädigen.

Sobald ein Opfer seine Teilnahme zusagt, wird es gebeten, im Vorfeld des Podcast, an einem virtuellen oder telefonischen Meeting teilzunehmen. Denn vor der Sendung, so das Fake-Management-Team, müssten die technischen Geräte des Gastes – Mikrofon, Kopfhörer und Kamera – ausgiebig auf Herz und Nieren geprüft werden. Während dieser Tests täuschen die Angreifer dann technische Probleme vor oder erklären, komplexere Änderungen an den Einstellungen vornehmen zu müssen. Hierzu müsste das Opfer ihnen vorübergehend Zugriff auf sein Social Media-Konto oder den Desktop gewähren – zum Beispiel über eine Fernzugriffssoftware.

Erteilen ihnen die Opfer die Zugriffsrechte, können die Kriminellen ihre Systeme infiltrieren, die Opfer aus ihren Konten aussperren, Passwörter stehlen und sogar versuchen, weitere Konten zu übernehmen.

Problematisch ist an der Betrugsmasche vor allem, dass es die Täter längst nicht nur auf Influencer abgesehen haben, sondern eben auch und gerade auf Fach- und Führungskräfte von Unternehmen. Deren Mitarbeiteraccounts bilden eine ideale Ausgangsbasis, um, unbemerkt von der IT-Sicherheit der Unternehmen, tief in deren Systeme vorzustoßen.

Das BBB rät zu folgenden präventiven Maßnahmen:

• bei Einladungen per E-Mail mit seltsamer Formatierung und Sprache Vorsicht walten zu lassen,
• stets die E-Mail-Adresse der Organisation, die eine Einladung verschickt hat, auf ihre Richtigkeit zu prüfen,
• vorsichtig zu sein, wenn eine unbekannte Person oder Organisation Geld anbietet und
• niemals einem Fremden die Kontrolle über den Computer oder Accounts zu übertragen. Dies ist der klassische Tech-Support-Betrug.

Doch Vorsicht will gelernt sein. Viele Cyberkriminelle haben ihre Social Engineering-Künste über die Jahre perfektioniert. Um hier effektiv gegenzusteuern, müssen die Cybersicherheitsverantwortlichen von Unternehmen der gesamten Belegschaft Schulungen und Trainings zur Anhebung des Cybersicherheitsbewusstseins anbieten, die mit den aktuellen Entwicklungen in den Bereichen Social Engineering und Phishing Schritt halten.

Effektiv helfen kann hier ein modernes Human Risk Management. Dessen Phishing-Trainings, -Schulungen und -Testslassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Moderne Anti-Phishing-E-Mail-Technologien kombinieren KI mit Crowdsourcing, um neueste Zero Day-Bedrohungen aufzuspüren und zu neutralisieren. Mit solchen und ähnlichen Systemen ist es möglich, über die gesamte Belegschaft hinweg die Human Risks eines Unternehmens zurückzufahren und die eigenen Mitarbeiter zur besten Verteidigungslinie im Kampf gegen Cyberbedrohungen zu machen.