Zoom-Call-Betrug

Nicht erst während der Corona-Pandemie hat sich Zoom als eines der wichtigsten Tools zur Durchführung digitaler Meetings und Video-Calls etabliert, sowohl im beruflichen als auch privaten Umfeld. Mit der wachsenden Beliebtheit haben jedoch auch die Betrugsversuche rund um Zoom-Calls deutlich zugenommen. Cyberkriminelle nutzen verschiedenste Methoden, um über dieses Tool beispielsweise an sensible persönliche Daten zu gelangen, Identitäten zu stehlen oder teils hohe Geldbeträge zu ergaunern.

Auch im B2B-Kontext nehmen die Betrügereien via Zoom an Brisanz zu, vor allem, da die Angriffe gezielt auf Unternehmen, deren Führungskräfte, sensible Geschäftsprozesse und -Systeme abzielen. Die Folgen reichen von finanziellen Verlusten über Reputationsschäden bis hin zum vollständigen Ausfall aller Geschäftsprozesse.

Vor diesem Hintergrund erscheint es umso wichtiger, dass Unternehmen effiziente Know-Your-Employee- (KYE) und Know-Your-Customer-Prozesse (KYC) implementieren und hierbei ein besonderes Augenmerk auf die Lösungen zur Identitätsverifikation richten.

Die häufigsten Betrugsmaschen rund um Zoom

Die Betrugsmaschen, bei denen Kriminelle Zoom nutzen, sind mehr oder weniger identisch mit anderen Social-Engineering-Methoden, wie im Folgenden beispielhaft aufgezeigt wird.

Gefälschte Zoom-Einladungen und Phishing

Mitarbeitende, insbesondere Entscheidungsträgerinnen und Entscheidungsträger, werden per E-Mail zu einem vermeintlich internen Zoom-Meeting eingeladen. Die Nachricht scheint von Kolleginnen, Kollegen oder Vorgesetzten zu kommen, oftmals mit gefälschten Vanity-URLs, die einer offiziellen Unternehmensdomain zum Verwechseln ähneln.

Die Links führen in diesen Fällen zu gefälschten Zoom-Login-Seiten, auf denen die Anmeldedaten der Angeschriebenen abgegriffen werden können. Alternativ wird mit solchen Einladungen Schadsoftware eingeschleust, sobald ein mitgesendeter Anhang oder ein Link geöffnet wird.

Die möglichen Folgen:

Die über diesen Weg gestohlenen Zugangsdaten ermöglichen es den Cyberkriminellen beispielsweise, auf interne Systeme, E-Mail-Konten und sensible Unternehmensdaten zuzugreifen. Im schlimmsten Fall haben die Kriminellen die Übernahme des E-Mail-Systems im Visier, um hierüber beispielsweise gefakte Rechnungen im großen Stile an Kundinnen und Kunden des gehackten Unternehmens zu versenden.

CEO-Fraud via Zoom

Angreifer geben sich als Vorgesetzte, Geschäftspartner oder Geschäftspartnerinnen aus und nutzen die Vertrautheit mit Zoom-Meetings, um Mitarbeitende zu täuschen.

Über manipulierte Teilnahmelinks oder gefälschte Einladungen werden Mitarbeitende von ihren vermeintlichen Vorgesetzten beispielsweise dazu gebracht, vertrauliche Informationen preiszugeben oder Überweisungen im Namen des Unternehmens zu veranlassen.

In der Finanzbranche wurden bereits Millionenverluste durch gefälschte Zoom-Calls dokumentiert, bei denen vermeintliche Kolleginnen, Kollegen oder Partnerunternehmen die Überweisung hoher Geldbeträge gefordert haben.

Infiltration durch Malware und Ransomware

Besonders groß können die Folgen einer gefälschten Einladung zu einem Zoom-Call ausfallen, wenn über eine – natürlich in solch einem Fall ebenfalls gefälschte – Zoom-Website Malware wie Vidar Stealer verteilt wird, die auf Bankdaten, Passwörter und Krypto-Wallets abzielt. Selbst in Unternehmen, deren Mitarbeitende regelmäßig an Zoom-Meetings teilnehmen, ist das Risiko hoch, dass sie, wenn auch unwissentlich, Malware in die Unternehmenssysteme einschleusen.

Die möglichen Folgen:

Ist die Schadsoftware erstmal installiert, können sich Kriminelle Zugang auf sensible Unternehmensdaten verschaffen und/oder diese für Erpressung oder Weiterverkauf missbrauchen.

Besonderheiten im Unternehmenskontext

Wie bereits erwähnt, nutzen Kriminelle häufig Vanity URLs, also firmenspezifisch manipulierte Zoom-URLs, um Mitarbeitende zu täuschen. Und sie nutzen den hohen Meeting-Takt aus, der in vielen Unternehmen an der Tagesordnung ist. Mitarbeitende sind es gewohnt, zahlreiche Einladungen zu erhalten, was die Chancen erhöht, mit einer Zoom-Call-Einladung erfolgreich in die Unternehmensprozesse oder Systeme einzudringen.

Im Unternehmens- oder B2B-Kontext können die finanziellen Schäden besonders hoch ausfallen, da die Kriminellen oftmals ganz gezielt auf Zahlungsprozesse oder das Treasury-Management abzielen.

So können sich Unternehmen vor Zoom-Call-Betrug schützen

Zu den als Standard zu bezeichnenden Maßnahmen zum Schutz vor den verschiedenen Varianten des Zoom-Call-Betrugs gehören sicherlich die folgenden:

• Regelmäßige Awareness-Trainings zu Phishing und Social Engineering
• Zweistufige Freigabeprozesse sowie persönliche Rückfragen bei ungewöhnlichen Transaktionsanweisungen
• Technische Maßnahmen wie der Einsatz von Multi-Faktor-Authentifizierungen, regelmäßige Updates sowie die Nutzung von Virenscannern und Webfiltern
• Klare Prozesse für den Fall eines Sicherheitsvorfalls.

Digitale Ident-Verfahren helfen dabei, Zoom-Call-Betrug zu vermeiden

Angesichts der wachsenden Gefahr durch Deepfake-Technologien und Social Engineering sind traditionelle Sicherheitsmaßnahmen wie sichere Passwörter oder Zwei-Faktor-Authentifizierungen jedoch oft nicht mehr ausreichend.

Ausgereifte digitale Ident-Verfahren, wie sie etwa von WebID angeboten werden, spielen darum inzwischen eine zentrale Rolle bei der Bekämpfung von Zoom Call Betrug im B2B-Bereich:

• Verhinderung von Identitätsdiebstahl:
  Lösungen zur digitalen Identitätsprüfung ermöglichen es Unternehmen, die Identität der eingeladenen Personen in sensiblen unternehmensinternen Meetings zu verifizieren, bevor diese Zugang zu einem Zoom-Call erhalten.
• Schutz vor Deepfakes:
  Kriminelle, die Unternehmen im B2B-Umfeld im Visier haben, nutzen inzwischen häufig Deepfakes, um Mitarbeitende zu täuschen. Digitale Wallets mit verifizierten und kryptographisch gesicherten Credentials können sicherstellen, dass nur autorisierte Personen Zugang zu Zoom-Meetings und somit sensiblen Unternehmensinformationen bekommen.
• Realtime-Verifikation:
  Moderne digitale Ident-Verfahren ermöglichen die Überprüfung der Identität in Echtzeit, etwa durch Scannen eines QR-Codes mit einer digitalen Wallet.