Jeden Tag werden Milliarden von Gigabytes an Informationen erzeugt. Statistiken zufolge wurden im Jahr 2020 täglich 44 Zettabytes an Daten in digitaler Form erzeugt. Inmitten der Informationsflut müssen die Menschen natürlich vorsichtiger sein, welche Informationen sie konsumieren.
306 Milliarden E-Mails werden täglich verschickt!
Das Einzige, was wir in einer Welt voller Daten beherrschen müssen, ist natürlich, diese riesige Menge an Informationen jeden Tag zu filtern, um nicht das Wichtigste zu verpassen. Manchmal können wir nicht genug filtern und haben nicht genug Zeit, um alles zu analysieren. Genau hier liegt das Problem, und unsere Unwissenheit kann eine große Chance für Spoofing- und Phishing-Angriffe sein. Daher werden E-Mail-Schutz und -Sicherheit in unserer Realität immer aktueller, und hier kommt DMARC ins Spiel – Domain-based Message Authentication, Reporting & Conformance. Was ist DMARC? Es wurde speziell entwickelt, um Ihnen bei der Bewältigung dieses Problems zu helfen.
Aber zurück zum Thema. Heute möchte ich Ihnen eine Geschichte erzählen, wie ich an meinem früheren Arbeitsplatz kurz davor stand, Opfer eines Betrugs zu werden. Damals wussten wir noch nicht, was DMARC ist und wie man die Authentizität einer E-Mail sicherstellt.
- Wie hat der Spoofer versucht, mich ins Visier zu nehmen?
- Was ist eigentlich passiert?
- Fazit
- Tipps für Startups zur Verhinderung von Spoofing-Angriffen
Wie hat der Spoofer versucht, mich ins Visier zu nehmen?
Unser Team hatte gerade unser Startup im Jahr 2019 gestartet. Nachdem wir auf dem lokalen Markt Erfolge erzielt hatten, stellten wir die Weichen für einen globalen Start. Wir begannen, die Anwendung in verschiedenen Projekten und digitalen Plattformen zu implementieren. Zu dieser Zeit explodierte die Mailbox unseres Unternehmens förmlich vor lauter E-Mails. Eines Tages erhielten wir eine E-Mail von einem der Venture-Capital-Unternehmen (zumindest dachten wir das damals). Ein sehr fleißiger Typ mit einer ziemlich guten Rede kontaktierte uns und teilte uns mit, dass „xyz“ VC an unserem Startup interessiert sei und über die Gust-Plattform von uns erfahren habe. Wir wurden dieser Plattform vorgestellt und alles schien normal zu sein. Insbesondere baten sie uns, ein Pitch Deck zu schicken. Natürlich schickten wir ihnen unser Pitch Deck und begannen, mehr über dieses Unternehmen zu erfahren. Was haben wir getan?
Schauen wir uns an, was passiert ist, Schritt für Schritt:
- Zuerst haben wir uns, wie alle anderen auch, die Absenderadresse „[email protected]“ angesehen.
- Dies gab uns die Information, dass die Hauptdomain example.com ist: das erste positive Ergebnis. Wir riefen die Website auf und fanden heraus, dass es sich um ein VC-Unternehmen mit einem ziemlich guten Portfolio handelt.
- Wir suchten nach den personenbezogenen Daten des Absenders, um herauszufinden, wer uns von diesem Unternehmen kontaktiert hat: das zweite Ergebnis – positiv. Die Kontaktperson war der Leiter der Finanzabteilung.
- Dann versuchten wir herauszufinden, ob dieses Unternehmen auf der Gust-Plattform vertreten war? Das tatsächliche Ergebnis: Ja, das war sie.
Im Allgemeinen schien alles in Ordnung zu sein, und das Unternehmen, das uns kontaktiert hatte, existierte wirklich. Also setzten wir die Verhandlungen fort. Nach einigen E-Mails teilten sie uns mit, dass sie bereit seien, in unser Unternehmen zu investieren. Sie schickten uns eine Reihe von Dokumenten, die für die weitere Zusammenarbeit unterzeichnet werden mussten. Glücklicherweise wurden alle Papiere von unseren Anwälten sorgfältig geprüft, und es wurden tatsächlich keine gefährlichen Zeilen gefunden. Nachdem wir alle Dokumente unterschrieben hatten, teilte man uns mit, dass wir die Investition versichern müssten. Die Investitionsversicherung „kostete“ ein paar Tausend Dollar.
Da einer unserer Mitbegründer ein Versicherungsspezialist war, ließ er den Vertrag komplett fallen, da er sagte, dass wir die Investitionsversicherung nicht bezahlen könnten, da es diese Art von Versicherung gar nicht gäbe. Da wurde uns klar, dass wir es in Wirklichkeit mit einem Spoofer zu tun haben.
Was ist eigentlich passiert?
Unser Unternehmen erhielt eine E-Mail von der Domain eines Venture-Capital-Unternehmens. Wir haben die Absenderadresse überprüft.
Wenn das Unternehmen seine E-Mails sichern und SPF DKIM DMARC verwenden würde, wäre die Wahrscheinlichkeit, dass wir auf dieses Problem stoßen, geringer. Hier finden Sie eine ultimative Anleitung für die Implementierung von DMARC mit EasyDMARC.
Tatsächlich sind auch Startups das Ziel von Spoofern. Dennoch gibt es einen wichtigen Punkt in dieser Geschichte, den wir beachten sollten.
Fazit
Statistischen Angaben zufolge werden jährlich 305 Millionen Start-ups gegründet. Die meisten von ihnen suchen aktiv nach Investitionen, und es handelt sich um kleine Teams ohne rechtliche oder finanzielle Unterstützung. In den oben erwähnten Fällen ist es also wahrscheinlicher, dass sie leicht von Betrügern angegriffen werden können. Daher müssen Start-ups vorsichtig sein, wenn sie mit „verlockenden Angeboten“ konfrontiert werden.
Tipps für Startups zur Verhinderung von Spoofing-Angriffen
Daher möchten wir Ihnen einige Tipps geben, wenn Sie kurz davor stehen, eine Entscheidung zu treffen, um Spoofing-Angriffe zu verhindern.
- Lesen Sie sorgfältig die Absenderadresse.
- Überprüfen Sie, ob die Domain existiert.
- Überprüfen Sie den Inhalt der Website.
- Prüfen Sie, ob die Domain über SPF, DKIM und DMARC verfügt. Falls nicht, ist sie verdächtig.
Andererseits müssen sich Investmentunternehmen um die Sicherheit und den Schutz ihrer E-Mails kümmern, denn sie können nicht nur ihrem Ruf schaden, sondern auch einer Reihe von Start-ups. Hier finden Sie schrittweise Anleitungen zur Einrichtung von DMARC, zur Überprüfung von SPF-Einträgen und zur Einrichtung und Überprüfung von DKIM-Einträgen.
Kontaktieren Sie uns noch heute und lassen Sie uns für Ihre Online-Sicherheit sorgen!
Schützen Sie sich und bleiben Sie sicher!