Gabriela Gavrailova

// Produktmarketing für Entwickler

Auch wenn sich die technischen Sicherheitsmaßnahmen ständig verbessern, bleibt das Phishing auch weiterhin eine der billigsten und einfachsten Möglichkeiten für Cyberkriminelle, an sensible Informationen zu gelangen.

Einfach nur durch das Anklicken eines Links auf einer Webseite oder in einer E-Mail können Opfer von Phishing-Angriffen ungewollt private Informationen an Dritte weitergeben und sich dem Risiko eines Identitätsdiebstahls aussetzen.

Um zu wissen, wie Sie sich am besten schützen können, müssen Sie verstehen, was ein Phishing-Angriff ist, welche Arten es davon gibt und wie Sie diese erkennen können, wenn sie in Ihrem Posteingang angezeigt werden.

Lesen Sie weiter und wir werden Sie dabei unterstützen, Sicherheitsprobleme durch Phishing zu vermeiden.

 

Was ist ein Phishing-Angriff?

Beim Phishing handelt es sich um einen Online-Betrug, bei dem sich Kriminelle als legitime Personen ausgeben, um die Opfer zum Austausch vertraulicher Informationen oder zur Installation von Malware zu verleiten.

Der Begriff „Phishing“ bezeichnet ein Wortspiel mit dem Wort „Fischen“, da in beiden Fällen jemand einen Köder auswirft und darauf wartet, dass Benutzer oder Fische „anbeißen“.

In den meisten Fällen tun Hacker dies über schädliche E-Mails, die von vertrauenswürdigen Absendern zu sein scheinen, und einen Link enthalten, der vermeintlich zur Webseite des Unternehmens führt.

Sobald Sie Ihre Daten eingegeben haben, können diese sensiblen Informationen gestohlen werden.

Cartoon: Was Phishing ist. Quelle: Liscio

 

Diese Daten können alle vertraulichen Informationen von Wert sein, wie Anmeldeinformationen (E-Mail und Passwort), Finanzdaten (Kreditkartendaten oder Anmeldeinformationen für das Online-Banking) oder sogar personenbezogene Daten (Geburtsdatum, Adresse oder Sozialversicherungsnummer).

Phishing wird als eine Art Social-Engineering-Angriff angesehen, weil es sich auf menschliches Versagen anstatt auf Hardware- oder Softwarefehler stützt.

 

Eine kurze Geschichte zum Phishing

Das erste Beispiel für Phishing stammt aus der Mitte der Neunzigerjahre, als man versuchte, AOL-Benutzernamen und -Passwörter mit Tools wie AOHell zu stehlen.

Trotz vieler Warnungen von AOL waren die Angriffe erfolgreich, da Phishing ein brandneues Konzept und bei den Benutzern praktisch unbekannt war.

Nach den ersten AOL-Angriffen zeigten sich bei vielen der frühen Phishing-Angriffe offensichtliche Anzeichen für ihre fehlende Legitimität – einschließlich seltsamer Schreibweisen und Formatierungen, pixeliger Bilder und Nachrichten, die oft wenig Sinn ergaben.

Beispiel für eine AOL Scam-E-Mail

 

Einige Phishing-Kampagnen sind nach wie vor sehr leicht zu erkennen (wir haben alle schon die E-Mail vom glücklichen Prinzen erhalten, der uns sein Vermögen überlassen möchte), andere sind jedoch so gut gemacht, dass es fast unmöglich ist, sie von echten E-Mails zu unterscheiden.

Dies liegt daran, dass sich sowohl Phisher als auch die technischen Möglichkeiten weiterentwickelt haben. Die Angriffe haben sich mittlerweile auf soziale Netzwerke, Messaging-Dienste und Apps ausgeweitet.

Wenn Sie E-Mails oder die Webseiten von sozialen Netzwerken von Ihrem Telefon aus abrufen, können Sie möglicherweise zu einem einfachen Ziel werden.

Da die E-Mail Oberfläche auf Mobiltelefonen viel kleiner ist als auf einem Computer, ist es hier schwieriger, Anzeichen von Phishing zu erkennen, z. B. die Anzeige der vollständigen URL.

Wenn Sie eine E-Mail Adresse haben, ist es so gut wie garantiert, dass Sie schon mindestens einmal eine Phishing-Nachricht in Ihrem Posteingang erhalten haben.

 

Phishing bei E-Mails

Bei einem einfachen Phishing-Angriff wird versucht, einen Benutzer zur Eingabe persönlicher Daten oder anderer vertraulicher Informationen zu verleiten.

Rund 3,7 Milliarden Menschen versenden jeden Tag 269 Milliarden E-Mails, also ein idealer Kanal für Cyberkriminelle. Stellen Sie sich vor, 1 % dieser E-Mails sind Betrug und 1 % davon funktionieren. Das sind 26,9 Millionen Versuche pro Tag!

Wir können Ihnen versichern, dass mehr als 1 % der gesendeten E-Mails ein Betrug sind, aber wir möchten Sie dabei unterstützen, dass weit weniger als 1 % dieser E-Mails erfolgreich sind.

Ein Phishing-Angriff kann ein bestimmtes Ziel haben, wie z. B. Menschen, die ein bestimmtes Produkt verwenden, oder können wahllos erfolgen und der Öffentlichkeit mit gefälschten Wettbewerben und Preisen nachjagen.

In beiden Fällen werden die Opfer aufgefordert, ihren Namen, ihre E-Mail-Adresse und in einigen Fällen auch ihre Passwörter und Bankdaten einzugeben.

 

Eine andere Möglichkeit ist die, dass die E-Mail eine bösartige Anlage enthält, die Sie herunterladen sollen. In vielen Fällen wird der bösartige Inhalt in einem Microsoft Office-Dokument versteckt sein, der aber nur dann funktioniert, wenn Makros vom Benutzer aktiviert wurden.

Wenn Sie das Dokument zu öffnen, werden Sie möglicherweise aufgefordert, Ihre Software zu aktualisieren oder bestimmte Berechtigungen bereitzustellen, damit das Dokument ordnungsgemäß angezeigt werden kann. Aber wenn Sie dem allem zustimmen, können Sie sich einer schweren Sicherheitsverletzung aussetzen.

 

Wie finden Phisher die von ihnen ins Visier genommenen E-Mail Adressen?

Es gibt viele Möglichkeiten für Phisher, Ihre E-Mail Adresse abzugreifen und sie mit einem von Ihnen verwendeten Dienst in Verbindung zu bringen.

Dies kann ohne Ihr Wissen oder das Wissen des Dienstanbieters geschehen.
Hier sind ein paar Beispiele:

Suchen Sie im Internet nach dem @-Zeichen. Spammer und Cyberkriminelle verwenden moderne Tools, um das Internet zu scannen und E-Mail Adressen zu sammeln. Wenn Sie Ihre E-Mail Adresse jemals irgendwo im Internet schon einmal gepostet haben, wird ein Spammer sie auch mühelos finden.

Cyberkriminelle verwenden Tools, um übliche Benutzernamen (unter Verwendung des ersten Buchstabens eines Vornamens und eines gemeinsamen Nachnamens) zu generieren und diese mit Domains zu kombinieren. Diese Tools ähneln denen, die zum Knacken von Passwörtern verwendet werden.

Spammer können Listen kaufen, was auf legale und illegale Weise möglich ist. Lesen Sie sich die Datenschutzrichtlinie sorgfältig durch, wenn Sie Ihre E-Mail irgendwo angeben. Auch wenn die DSGVO Sie schützt, müssen Sie sich auch selbst schützen.
Phisher können auch herausfinden, was die einzelnen Dienstanbieter von Ihnen als Kunde verlangen würden und dann eine Schwachstelle finden, um herauszufinden, ob Sie ein Kunde sind. Bei ESPs können Betrüger beispielsweise Ihre öffentlichen DNS-Einträge (SPF, CNAME, TXT) überprüfen und versuchen, Informationen zu finden, die sie mit dem von Ihnen verwendeten ESP in Verbindung bringen können.

Wir haben jetzt die Grundlagen des Phishings, dessen Geschichte und Funktionsweise kennengelernt und können jetzt einige der häufigsten Arten von Phishing erforschen.

 

Was sind die verschiedenen Arten von Phishing-Angriffen?

Wir können davon ausgehen, dass so gut wie jeder schon mal einen Phishing-Angriff per E-Mail erhalten hat oder auf einer verdächtigen Webseite gelandet ist.

Es gibt viele Arten von Angriffen und die Hacker werden von Tag zu Tag kreativer.

Wir müssen uns also über einige der neuen verwendeten Methoden auf dem Laufenden halten und sie als riskant kennzeichnen, bevor es uns erwischt.

Unten haben wir einige der bekanntesten Arten von Angriffen aufgelistet, die heutzutage verwendet werden. Der Hauptunterschied zwischen diesen Angriffen ist die verwendete Methode und das Ziel. Lassen Sie uns zunächst etwas näher auf die von den Phishern angestrebten Ziele eingehen.

 

Ziele beim Phishing

1. Spray and Pray (Sprühen und Beten)

Der Ansatz „Spray and Pray“ ist die einfachste Art von Phishing-Angriff, bei dem eine Nachricht an Millionen von Benutzer verschickt wird.

Diese Nachrichten unterstreichen auf die eine oder andere Weise die Dringlichkeit ihres Inhaltes. Entweder, indem sie angeben, dass eine „wichtige“ Nachricht von Ihrer Bank oder einem bekannten Dienst vorliegt, oder dass Sie „das neueste iPhone gewonnen haben und es jetzt anfordern müssen“.

Abhängig von den technischen Fähigkeiten des Hackers sind bei Spray & Pray-Angriffen möglicherweise nicht einmal gefälschte Webseiten beteiligt – die Opfer werden oftmals lediglich aufgefordert, dem Angreifer per E-Mail vertrauliche Informationen zuzusenden.

Diese Angriffe sind größtenteils wirkungslos, können jedoch an eine enorme Anzahl von E-Mail Adressen gesendet werden. Für den Erfolg des Phishers sind nur wenige Opfer nötig.

 

2. Spear Phishing

Spear Phishing ist eine fortschrittlichere Variante. Im Gegensatz zu „Spray and Pray“, die an eine Massenliste versendet, zielt das „Spear Phishing“ auf bestimmte Gruppen mit einer eher persönlichen Nachricht ab.

Phisher richten sich beispielsweise an Benutzer einer bestimmten Marke und gestalten die E-Mail so, dass sie die Marke kopiert.

Tatsächlich können sie ein bestimmtes Unternehmen bis hin zu einer Abteilung innerhalb dieses Unternehmens oder sogar eine Einzelperson ins Visier nehmen, um so die größte Chance zu gewährleisten, dass die E-Mail geöffnet wird und mehr persönliche Informationen erfasst werden.

Die bekanntesten Cyberangriffe stammen in der Regel aus dieser Art von Ansatz.

Aufgrund der Gestaltung der Nachricht auf eine bestimmte Weise macht es den Anschein, als ob jemand vom Service Sie auffordert, aufgrund eines Problems das Passwort zu ändern. In diesem Fall scheint die Nachricht eine legitime Nachricht zu sein – sie ähnelt stark dem Original und Sie werden zu einer Seite weitergeleitet, die ebenso authentisch aussieht. Diese Angriffe sind viel effektiver, weil sie gut geplant sind.

Unterschied zwischen Spear Phishing und “normalen” Phishing. Quelle: Terranova Security

 

Phishing-Methoden

Je nach Ziel können die Methoden variieren. Für die Opfer von Spray and Pray-Angriffen ist weniger Aufwand erforderlich als beispielsweise beim Speer Phishing.

Sie müssen nicht so viel Zeit für das Auffinden einer gezielten Liste von E-Mails, das Erstellen benutzerdefinierter Angebotsseiten usw. investieren.
Da sich das Phishing im Laufe der Zeit weiterentwickelt hat, gibt es immer mehr Methoden, die sich nicht nur auf E-Mails beschränken, sondern auch Webseiten oder soziale Netzwerke umfassen.

 

1. Clone-Phishing

Clone-Phishing-E-Mails sind nahezu identisch mit einer E-Mail, die Sie zuvor erhalten haben. In diesem Fall wird die neue E-Mail von einer gefälschten Adresse gesendet, die der ursprünglichen ähnelt.
Beispiel: help@appplehelp.com anstatt von help@apple.com (beachten Sie die drei „P“).

Clone-Phishing Konzept

 

Innerhalb des Inhalts besteht der einzige Unterschied zwischen der geklonten und der ursprünglichen E-Mail darin, dass die Links und/oder Anlagen geändert wurden und Sie wahrscheinlich zu schädlichen Webseiten oder Programmen weiterleiten.

Da die E-Mail dem Original sehr nahe kommt, ist es wahrscheinlicher, dass Empfänger auf diese Art von Angriff hereinfallen.

 

2. Whaling/CEO-Fraud

Das ist ein Angriff auf eine kleinere Gruppe von Personen – hochkarätige Personen wie Vorstandsmitglieder oder Mitglieder des Finanz- oder IT-Teams eines Unternehmens.

Die E-Mail scheint von einer vertrauenswürdigen Quelle zu stammen, wie z. B. vom CEO Ihres Unternehmens.
Quelle: Quora

 

Dieser Angriff ist in der Umsetzung schwieriger, da die Hacker zunächst die exakten Ziele auskundschaften und eine Möglichkeit finden müssen, sich als CEO auszugeben.

Die Mühe kann sich aber durchaus lohnen: CEOs und andere C-Level-Führungskräfte verfügen über mehr Informationen und mehr Zugriffsrechte als Nachwuchskräfte.

Posteingänge wie GSuite können dies verhindern, indem sie den E-Mail Adressen der internen Kollegen Profilbilder zuweisen, aber auch durch Funktionen wie Adressen auf die weiße Liste zu setzen (Whitelisting).

 

3. Business Email Compromise (BEC)/E-Mail-Spoofing

BEC-Angriffe sind meist „dringende“ Anfragen einer Marke oder eines leitenden Angestellten einer Marke. Diese E-Mails sind eine Social-Engineering-Taktik, mit der andere Mitarbeiter oder Benutzer dazu gebracht werden, ihre Bankkontodaten anzugeben oder eine Spende zu tätigen.
Viele populäre Dienstleister im Softwarebereich werden Opfer solcher Angriffe. Hier ist ein Beispiel für eine Phishing-E-Mail, die von einer Person gesendet wurde, die sich als WordPress ausgibt:

Sobald Sie auf einen Link oder eine der Schaltflächen geklickt haben, werden Sie zu einer gefälschten Seite weitergeleitet, die zum Erfassen Ihrer Informationen erstellt wurde.

Phishing-Versuch bei WordPress Seiten. Quelle: 360 Total Security

 

 

Phishing bei Webseiten

Gefälschte Webseiten sollen authentisch aussehen und klingen. In den meisten Fällen werden Sie auf einer einfachen Anmeldeseite oder Zahlungsseite landen, da diese für viele Anwendungsfälle sehr einfach nachzumachen sind und beim Erfassen persönlicher Informationen sehr effektiv sein können.

Phishing Versuch bei Paypal. Quelle: KrebsonSecurity

 

 

 

1. Pharming/DNS-Cache-Poisoning

Bei dieser Methode des Phishings müsste der Hacker eine Webseite erstellen, die sich als die echte Webseite ausgibt, und durch Ausnutzen von Sicherheitslücken im Domain-Namen-System (DNS) die URL mit der dahinter stehenden IP-Adresse abgleichen.
Die Phisher könnten dann die Besucher von einer echten zu einer gefälschten Webseite umleiten. Dies ist möglicherweise die gefährlichste Art von Phishing, da DNS-Einträge nicht vom Endbenutzer kontrolliert werden und es schwieriger ist, sich gegen diesen Angriff zu verteidigen.

Funktionsweise von DNS-Spoofing. Quelle: Imperva

 

2. Typosquatting/URL-Hijacking

Diese Art von Phishing ist einfacher umzusetzen als das Pharming, weil Sie sich nicht genau als die Domain ausgeben müssen, die Sie fälschen möchten. Die URL sieht echt aus, unterscheidet sich jedoch geringfügig von der tatsächlichen URL.
Das Ziel liegt darin, Tippfehler zu nutzen, wenn Benutzer die URL eingeben. Sie könnten beispielsweise:

  1. die legitime URL falsch schreiben, indem sie Buchstaben verwenden, die auf der Tastatur nebeneinander angeordnet sind;
  2. zwei Buchstaben vertauschen;
  3. einen zusätzlichen Buchstaben hinzufügen;
  4. Buchstaben austauschen, die in manchen Fällen gleich klingen – wie z. B. „n“ und „m“.

 

3. Clickjacking/Iframe-Overlay

Diese Art von Angriff bedeutet, dass Hacker anklickbaren Inhalt über legitimen Schaltflächen platzieren. Zum Beispiel könnte ein Online-Käufer denken, dass er auf eine Schaltfläche klickt, um einen Kauf zu tätigen, und stattdessen Malware herunterlädt.

iframe-Overlay. Quelle: Netsparker

 

Phishing auf Soziale Netzwerke

Heutzutage spielt sich alles in den sozialen Netzwerken ab, einschließlich Phishing-Angriffen. Stellen Sie sich vor, Sie erhalten eine Facebook-Nachricht mit dem Link „Deine Stimme für mich“ oder „Erinnerst du dich an deine Zeit in Paris?”, mit dem Sie zur Facebook-Anmeldung weitergeleitet werden, wenn Sie diesen anklicken.

Merkwürdig, oder nicht? Aber viele Menschen sind nicht aufmerksam oder denken, dass es sich lediglich um einen Fehler handelt, und geben Benutzername und Passwort ein.
Aber bei dieser neuen Seite handelt es sich nicht wirklich um Facebook und die Betrüger haben sich so Ihre Kontodaten ergaunert …

Einige Angriffe sind leichter zu erkennen, beispielsweise ein Facebook- oder Twitter-Bot, der Ihnen eine private Nachricht mit einer verkürzten URL sendet. Diese URL führt wahrscheinlich zu einer leeren Seite oder zu einer Seite mit verdächtigem Inhalt.

Phishing-Versuch bei Facebook. Quelle: Kaspersky

 

Angriffe über soziale Netzwerke treten immer wieder auf und einige davon sind langfristig geplant. Zum Beispiel könnten sie im Internet vorgeben, jemand anderes zu sein, was mit so vielen öffentlichen Bildern nicht so schwer ist.
Mit der Zeit senden Ihnen diese gefälschten Profile augenscheinlich legitime Nachrichten zusammen mit Phishing-Nachrichten zu, um weitere Informationen über Sie zu erfassen.

 

SMS-/Mobile-Phishing

Heute, da fast jeder ein Smartphone in der Tasche hat, ist der größte Teil der Welt noch anfälliger für Phishing-Angriffe über SMS oder andere Messaging-Apps. Ein SMS Phishing-Angriff funktioniert im Wesentlichen wie ein E-Mail Angriff, bei dem einem Opfer Inhalte als Anreiz für das Klicken auf eine bösartige URL angezeigt werden.

Die SMS sind kurz und wahrscheinlich für Ihr Leben relevant, um so die Aufmerksamkeit des Empfängers auf sich zu ziehen, und ihn zu veranlassen, schnell zu handeln, ohne nachzudenken. Aufgrund der Klartextnatur von SMS und dem unkomplizierten Fälschen von Telefonnummern ist es hier schwieriger, den Betrug zu erkennen. Nachdem Sie auf den Link in der SMS geklickt haben, funktioniert der Angriff genauso wie bei E-Mail Angriffen.

Phishing-Angriff auf dem Smartphone: Quelle: Knowbe4

 

Eine andere Art von Phishing auf Mobilgeräten erfolgt über verdächtige Apps, die von nicht autorisierten Webseiten heruntergeladen werden.

Die App enthält möglicherweise Skripte, die nach dem Öffnen auf Ihrem Gerät auf alle Ihre Daten zugreifen können. Auf alle Ihre Passwörter kann dann zugegriffen werden. Wenn Sie Ihre Bank- oder Kreditkartendaten gespeichert haben, werden diese ebenfalls angezeigt.

 

Wie erkennt man einen Phishing-Angriff?

Sie müssen ein paar Dinge beachten, wenn Ihnen eine E-Mail oder eine Webseite verdächtig erscheint. Auch wenn einige Phishing-Kampagnen so angelegt sind, dass sie authentisch erscheinen, gibt es immer einige wichtige Hinweise, wie sie leicht erkannt werden können.

Betrachten wir nun einige Dinge, die Ihnen möglicherweise Hinweise dazu liefern, ob Sie Opfer eines Phishing-Angriffs sind.

 

1. Die Absenderadresse

Überprüfen Sie, ob Sie jemals etwas vom selben Absender erhalten haben. Wenn der Phisher intelligent genug war, hat er die Absenderadresse gut maskiert und oft liegt der Unterschied bei nur einem Buchstaben, sodass Sie den Unterschied möglicherweise nicht einmal feststellen werden, wenn Sie nicht genau hinsehen.

 

2. Falsch geschriebene Domainnamen

Wenn Sie eine Nachricht von einem offiziellen Unternehmenskonto erhalten haben, (wie z. B. „support@mailjet-com.com“), müssen Sie unbedingt prüfen, dass es sich wirklich um die E-Mail Domain des Unternehmens handelt.
Selbst wenn die Nachricht mit der richtigen Rechtschreibung und Grammatik, der richtigen Formatierung und dem richtigen Firmenlogo legitim aussieht, kann es sich dennoch um ein betrügerisches Konto handeln.

Was unbedingt überprüft werden sollte: Enthält die Domain etwas anderes als gewöhnlich (z. B. das Hinzufügen eines Suffix zu einem Domainnamen).

Noch wichtiger ist jedoch, dass die meisten seriösen Marken Sie niemals auffordern werden, persönliche Informationen per E-Mail zu übermitteln.

 

3. Schlechte Grammatik und Rechtschreibung

Viele Phishing-Angriffe sind nicht sehr gut geplant, insbesondere „Spray and Pray“-Angriffe, und die Nachrichten können Rechtschreib- und Grammatikfehler enthalten.

Offizielle Nachrichten von größeren Unternehmen enthalten nur sehr selten Rechtschreib- oder Grammatikfehler.

Nachrichten mit Fehlern oder schlechtem Stil sollten daher als sofortiger Hinweis darauf dienen, dass die Nachricht möglicherweise nicht legitim ist.

 

4. Verdächtige Anlagen/Links

Bei E-Mail Phishing-Nachrichten wird der Benutzer häufig aufgefordert, auf einen Link zu einer gefälschten Webseite zu klicken, die für böswillige Zwecke erstellt wurde. Die URL sieht legitim aus, es gibt jedoch kleine Fehler wie fehlende oder vertauschte Buchstaben.

Wenn die Nachricht seltsam erscheint, ist es immer ratsam, sich eine Sekunde Zeit zu nehmen, um den Link genauer zu prüfen, indem Sie mit dem Mauszeiger darüberfahren und so festzustellen, ob sich die Webadresse von der tatsächlichen unterscheidet.

Sie können die Marke jederzeit über ihre öffentliche E-Mail Adresse oder Telefonnummer kontaktieren und zur Sicherheit nachfragen, bevor Sie etwas Verdächtiges anklicken.

 

5. Gefühl von Dringlichkeit

Viele Phishing-Angriffe enthalten Nachrichten, die vor Problemen mit Ihrem Konto oder mit Ihrer Zahlung warnen. Der Phisher versucht so, Sie zum Handeln zu bewegen, ohne zu groß darüber nachzudenken.

In diesen Fällen ist es noch wichtiger, die Links in der Nachricht und die Absenderadresse zu überprüfen.

 

6. Die Botschaft ist zu gut, um wahr zu sein

Es tut uns leid, Ihre Blase zum Platzen zu bringen, aber bei jeder Nachricht, die angibt, dass Sie einen Gutschein oder Preis gewonnen haben, handelt es sich höchstwahrscheinlich um einen Phishing-Angriff.

Wir sind uns sicher, dass es wesentlich mehr Arbeit erfordert, als nur Ihre persönlichen Daten in eine Webseite einzugeben. Sie müssen also sehr vorsichtig sein und alle wichtigen Give-aways überprüfen.
Aber hey, wenn Sie tatsächlich einen Preis gewonnen haben, herzlichen Glückwunsch!

 

Was tun, wenn Sie Opfer eines Phishing-Angriffs werden?

Wenn Sie Opfer eines Phishing-Angriffs geworden sind, müssen Sie zuerst unbedingt sofort alle Ihre Passwörter ändern.
Es empfiehlt sich, nicht nur das Passwort für den Dienst zu ändern, dessen Identität der Phisher möglicherweise annimmt, sondern alle Passwörter. Es ist erschreckend, was ein Phisher mit den Anmeldeinformationen nur eines Dienstes alles anstellen kann.

Verwenden Sie künftig einen Passwortmanager, um das Risiko zu verringern, und stellen Sie sicher, dass Sie eine Antiviruslösung mit aktuellen Funktionen für sicheres Surfen im Internet installiert haben,

Außerdem ist es immer gut, sich an den Dienstanbieter zu wenden, der in der Phishing-Attacke nachgeahmt wurde, und dessen zusätzliche Anweisungen zu befolgen.

Reaktion auf erkannten Phishing-Versuch. Quelle: Houseofit

 

Wie Sie Phishing-Angriffe abmildern

Es gibt einige vorbeugende Maßnahmen, mit denen Sie Phishing-Angriffe vermeiden oder zumindest abmildern können. Hier ein paar Vorschläge dazu:

  • Verwenden eigener Links: Wenn Sie täglich oder auch wöchentlich auf Webseiten zugreifen, sollten Lesezeichen für diese Webseiten verwendet werden. Nur so können Sie garantieren, dass Sie auch auf der legitimen Webseite landen. Selbst wenn Sie beispielsweise eine Benachrichtigung von Ihrer Bank erhalten, ist es viel sicherer, über ein Lesezeichen auf Ihr Konto zuzugreifen, als einem Link zu folgen.
  • Browsererweiterungen verwenden: Installieren oder aktivieren Sie ein Web-Tool, das schädliche Webseiten für Sie identifiziert, um so festzustellen, dass die von Ihnen gefundene Webseite legitim ist. Beispiel: Signal Spam Plugin
  • Installieren von Antivirus-Programmen: Mit Antivirus-Programmen können Sie vor dem Öffnen prüfen, ob sich Malware in einer Datei befindet, und Ihren Computer möglicherweise beschädigen könnte.
    Seien Sie misstrauisch! Fördern Sie in Ihrem Unternehmen eine positive Sicherheitskultur: Im Internet sollte man immer misstrauisch zu sein. Natürlich sind manche Dinge schwieriger zu überprüfen und erfordern mehr technisches Wissen, aber Sie können zumindest die gängigsten Schritte ausführen.
  • Schulung Ihres Personals: Wenn Sie ein Sicherheitsexperte sind, sollten Sie unbedingt regelmäßig Sicherheitsschulungen für Ihre Mitarbeiter durchführen, damit diese einen Phishing-Angriff erkennen können, und wissen, was in einem solchen Fall zu tun ist.
  • Prüfen der Wirksamkeit der Schulung: Durch simulierte Phishing-Angriffe können Sie die Effektivität der Bewusstseinsschulung für die Mitarbeiter ermitteln und feststellen, bei welchen Mitarbeitern noch Wissenslücken bestehen. Außerdem kann ein wenig nicht böswilliges Phishing unter Freunden Spaß machen :)
  • Verwenden Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung: Wenn Kriminelle Ihre Anmeldeinformationen stehlen, können sie diese dennoch nicht ohne das zweite Authentifizierungsmittel (SMS, Authentifizierungs-App, Hardware-Token usw.) verwenden.

 

Zusammenfassung

Es gibt dieses Betrugsmethode schon seit fast 20 Jahren, aber Phishing stellt aus zwei Gründen auch weiterhin eine Bedrohung dar – es ist einfach durchzuführen und funktioniert.

Wenn Sie also auf eine Popup-Nachricht oder verdächtige E-Mails von einer unbekannten Person stoßen (vielleicht von einem verzweifelten Prinzen?) oder auf eine Marke, die Sie nicht verwenden … klicken Sie nichts an!

Sie möchten doch nicht Ihre Informationen an einen Hacker auf der anderen Seite weitergeben, oder?

Sie können nie vorsichtig genug sein, wenn es um die Nutzung des Internets geht. Treffen Sie vorbeugende Maßnahmen und stellen Sie sicher, dass Sie auf der sicheren Seite sind, wenn Sie Online-Einkäufe tätigen oder Benutzernamen und Passwörter eingeben.
Sobald Sie gelernt haben, wie Sie Phishing-Versuche identifizieren, kann es sogar unterhaltsam sein, einige der besten und schlechtesten Beispiele aufzuspüren.
Einige mögen beeindruckend realistisch sein, während andere wiederum einfach nur …