Social Media-Fraud in Unternehmen
Mit der zunehmenden Relevanz von Social Media als Kommunikationskanal gehen für Unternehmen nicht nur Chancen, sondern auch interne sowie externe Sicherheitsrisiken einher. Vor allem der Social Media-Betrug stellt eine neuartige Herausforderung dar, die zeitgemäßer Herangehensweisen bedarf. Denn noch nie zuvor hat es vergleichbare Plattformen gegeben, auf der Kund:innen, Mitarbeiter:innen, Unternehmen, Medienvertreter:innen und eben auch feindliche Akteur:innen unmittelbar miteinander interagieren können. Durch die Zentralität der sozialen Kommunikationsmedien ist darüber hinaus der Eingriff in die Interaktionen Dritter möglich. Wo früher ein Zugang zu sensiblen Daten und vertraulichen Informationen nur über komplizierte Hacks, Lücken in der Cybersicherheit, dem Datenschutz möglich war, reicht heute in vielen Fällen eine gut geplante Konversation via Privatnachricht aus.
Eine Auseinandersetzung mit Social Media-Betrug ist dennoch unumgehbar. Denn die gezielte Kund:innenansprache sowie die langfristige Sicherung der Zukunftsfähigkeit sind mittlerweile ohne digitale Medien nahezu unmöglich. Umso wichtiger ist es, dass Kommunikationsverantwortliche und Community-Manager:innen die Methoden von Social Media-Fraud kennen und wissen, auf welche Faktoren sie in ihrer täglichen Arbeit zu achten haben. Deshalb haben wir im Nachfolgenden eine Übersicht über die gängigsten Methoden von Social Media-Betrug erstellt, die sich gegen Unternehmen richten.
Social Media-Phishing
Die Angreifer:innen erstellen Fake Accounts von Unternehmen, mit welchen sie reale Kund:innen anschreiben, die bereits zuvor mit dem echten Unternehmen interagiert haben. Der Social Media-Betrug funktioniert, indem z.B. als vermeintlich vertrauenswürdiger Kund:innenservice der Zugang zu persönliche Daten der Opfern erfragt wird.
Impersonation
Durch die Vortäuschung einer falschen Identität verschaffen sich die Täter:innen Informationen oder Zugänge. So geben sie sich beispielsweise als CEO aus, schreiben Verantwortliche mit Kontovollmacht an und bitten diese zeitnah eine Überweisung zu tätigen (mit Hinweis auf Dringlichkeit und Geheimhaltung). Allein die Schäden dieser Form von Social Media-Fraud belaufen sich weltweit laut FBI auf über 2,8 Milliarden Euro.
Account Hacking und Defacement
Die Täter:innen greifen auf einen Social Media Account eines Unternehmens zu, beispielsweise über den Diebstahl von Devices oder die Ausnutzung von zu schwachen Passwörtern. Der Social Media-Betrug beginnt, indem mit den gehackten Accounts schadhafte Inhalte gepostet werden. Die Nutzer:innen vertrauen auf die Seriösität der Quelle und klicken die auf die gefährlichen Links.
Rufmord Content
Content mit negativer Wirkung auf die Reputation ist die wohl einfachste Methode von Social Media-Betrug. Hierzu posten die Täter:innen einfach Links, Spam-Inhalte, Hate Speech sowie Fake News in den Kommentarfeldern unter die Beiträge eines Unternehmens oder seiner Mitarbeitenden. Dabei nutzen Sie die Reichweite der Verfasser:innen aus.
Service Fakes
Die Täter:innen erstellen falsche Service-Accounts mit Logo und Design des sozialen Netzwerkes. Über diese schreiben sie Unternehmensseiten an und behaupten ein Sicherheitsproblem gefunden zu haben. Bei diesem Social Media-Fraud verweisen die Angreifer:innen auf einen Formular für die weitere Bearbeitung und Behebung des Problems, in welchem die Netzwerk- sowie E-Mail-Daten des Accounts (inkl. Passwörter) anzugeben sind.
Malware Köder
Die Angreifer:innen senden einen Link mit vermeintlich interessanten Videoinhalten an eine Unternehmensseite. Öffnen die Mitarbeitenden nun das Video, so werden sie nach einem Update des Videoplayers gefragt. Sobald die Aktualisierung bestätigt wird, lädt sich ein Virus herunter.
Dupe Accounts
Fake Accounts von Unternehmensseiten werden auch für den Social Media-Betrug durch den Vertrieb von Produktreplika genutzt. Sie verlinken dabei auf eine gefälschte Unternehmenswebseite oder einen gefälschten Webshop, der entweder gar keine, oder gefälschte Waren verkauft.
Vor Social Media-Fraud schützen
Keine Angst, Sie sind den Methoden des Social Media-Betruges nicht schutzlos ausgeliefert. Sensibilisieren Sie Ihre Mitarbeitenden für das Thema und klären Sie über den richtigen Umgang mit digitalen Risiken auf, beispielsweise im Zuge von Trainings.
Auch verbesserte Strukturen und Prozesse helfen, die potentiellen Angriffsflächen für Social Media-Betrug zu minimieren. Dafür empfehlen wir eine Risikoanalyse: Welche Akteur:innen kommen für Social Media-Fraud infrage, wo würden sie am ehesten angreifen können und welche Methoden sind denkbar? Zu erwartbaren Szenarien empfiehlt sich dabei sogar eine konkrete Ausarbeitung einer Krisenmanagementstrategie, z.B. über die Vorformulierung von Statements, die Kreation von Darksites und die Erstellung von Kontaktlisten für Hilfe im Ernstfall.
Zudem können Angriffe intern geprobt werden, beispielsweise im Zuge einer Shitstorm-Simulation oder einer größer angelegten Krisensimulation. Dies legt mögliche Schwachstellen in den bestehenden Arbeitspraxen offen, welche in einem nachfolgenden Schritt ausgebessert werden können und macht die Belegschaft mit den Abläufen im Krisenfall vertraut. Kommt es nun zu Social Media-Fraud, so kann schnell und besonnen gegengelenkt werden.
Better safe than sorry!
