Phishing & Co. – darum sollten Unternehmen in Punkto Sicherheit umdenken
Kreditkartenbetrug und Identitätsdiebstahl sind keine neuen Verbrechen. Durch digitale Medien haben Betrüger heutzutage jedoch ganz andere Möglichkeiten für Ihre Angriffe. In diesem Artikel beleuchten wir die gängigsten Methoden des Online-Betrugs und zeigen Ihnen, wie Sie sich davor schützen können.
Was ist Phishing?
Phishing bezeichnet verschiedene kriminelle Aktivitäten im Internet, die das Ziel haben, sensible Informationen zu stehlen und zu missbrauchen. Dabei handelt es sich meistens um Sozialversicherungs- und Kreditkartennummer, Bankdaten oder Login-Infos zu wichtigen Online-Services. Die meisten Phishing-Versuche erfolgen per E-Mail. Als neuere Form ist das so genannte Smishing entstanden, bei dem statt E-Mails Textnachrichten auf Smartphones genutzt werden. Die Betrüger täuschen eine hohe Dringlichkeit vor, damit Sie sich unter Druck fühlen und sich nicht kritisch mit dem Inhalt auseinandersetzen.
In manchen Fällen senden Ihnen die Betrüger auch zuerst eine normale E-Mail als Köder, um eine Konversation zu initiieren. Meistens versenden sie jedoch direkt eine Phishing-Mail. Diese enthält die bösartige Software oder verlinkt Sie auf eine Website, auf der Sie persönliche Informationen oder Zugangsdaten eingeben sollen. Die Betrüger kopieren dabei das Design des Services, für den sie sich ausgeben, haargenau. Auch die URL kann täuschend echt nachgebaut werden. Hierzu werden beispielsweise einzelne Zeichen des Websitenamens durch Buchstaben aus anderen Alphabeten ersetzt, die diesen ähnlichsehen.
So schützen Sie sich vor Phishing
Teilweise reicht schon alleine der Aufruf der schadhaften Website, damit die Betrüger über versteckte Skripts ihre Daten auslesen können. Deshalb ist es umso wichtiger, diese erst gar nicht aufzurufen. Hierzu haben wir die wichtigsten Punkte, mit denen Sie sich vor Phishing schützen können, für Sie zusammengefasst.
- Kennen Sie den Absender der E-Mail? Falls nicht, sollten Sie auf keinen Fall auf Links klicken oder Anhänge öffnen. Falls ja, sollten Sie dennoch vorsichtig sein und die restlichen Schritte durchgehen. Schauen Sie sich auch die Absender-Adresse genau an und nicht nur den angezeigten Namen, da dieser relativ leicht zu manipulieren ist.
- Haben Sie den Link überprüft? Fahren Sie mit dem Mauszeiger über den Button oder den Link in der Mail. Dann wird Ihnen die genaue Adresse angezeigt, auf die Sie dieser verweisen wird. Überprüfen Sie genau, ob die URL seriös erscheint und mit der üblichen URL des entsprechenden Services übereinstimmt.
- Enthält die E-Mail viele Rechtschreib- oder Grammatikfehler? Dies sind gute Indizien für die bösartigen Absichten des Absenders. Gerade große Dienstleister wie Banken werden in der Regel sprachlich absolut einwandfreie Texte verwenden. Auch merkwürdig wirkende Formulierungen oder ungebräuchliche Wörter sollten Ihre Alarmglocken schrillen lassen.
- Hat die E-Mail Dateien als Anhänge? Hier sollten Sie besonders vorsichtig sein. Öffnen Sie den Anhang nie, wenn Sie nicht explizit spezielle Daten angefordert haben. Fragen Sie auch bei vertrauenswürdigen Absendern im Zweifelsfall nach, ob die E-Mail und die Anhänge auch wirklich von der Person kommen.
- Wird in der Nachricht nach persönlichen Informationen oder Zugangsdaten gefragt? Falls ja, ist davon auszugehen, dass es sich bei dem Absender um einen Betrüger handelt. Auch hier können Sie im Zweifelsfall persönlich bei dem Absender nachfragen.
- Werden Sie mit Ihrem Namen angesprochen? Unternehmen, bei denen Sie Kunde sind, werden vor allem bei dringenden Anliegen immer personalisierte E-Mails verwenden. Dass beispielsweise Ihr Berater bei der Bank plötzlich Ihren Namen vergisst, ist unwahrscheinlich. Dies ist meistens ein klares Indiz, dass der Absender nicht der ist, für den er sich ausgeben möchte.
Was ist Pharming?
Pharming bezeichnet die bösartige Manipulation von Computern oder Servern durch Programme oder schädlichen Code. Dieser leitet dann beispielsweise alle Klicks, die Sie auf einer bestimmten Website tätigen an eine Website des Betrügers weiter. Hierdurch kann Ihr gesamtes Browserverhalten aufgezeichnet und alle eingegebenen Informationen wie Zugangsdaten oder Adressen abgegriffen werden.
Achten Sie darauf, dass Websites per https-Protokoll geschützt sind und Ihr Browser das grüne Schloss links neben der URL anzeigt. Auch wenn Webseiten plötzlich anders aussehen als bei Ihrem letzten Aufruf, ist Vorsicht geboten.
So schützen Sie sich vor Pharming
Der effektivste Schutz vor Pharming ist, gar nicht erst zuzulassen, dass Betrüger Schadsoftware auf Ihren Geräten installieren. Dies wiederum passiert hauptsächlich über ein vorangegangenes Phishing. Auch fremde Datenträger wie USB-Sticks können schadhafte Software beinhalten und diese unter Umständen automatisch auf Ihrem Gerät installieren. Verbinden Sie deshalb nur Datenträger mit Ihrem Computer, bei denen Sie wissen, dass diese sicher sind.
Was ist Vishing?
Im Zeitalter der mobilen Endgeräte ist Ihr E-Mail-Postfach nicht der einzige Weg, über den sich Betrüger Zugang zu Ihren Daten verschaffen wollen. Unter Vishing versteht man solche Angriffe, die auf Ihr Handy bzw. Smartphone abzielen.
Über das sogenannte Social Engineering versuchen Betrüger, Sie dazu zu bringen, persönliche Informationen preiszugeben. Mit diesen wollen sie sich Zugang zu Ihren Accounts verschaffen. Beispielsweise geben diese sich als alte Bekannte aus und stellen harmlos wirkende Fragen, wie die nach Ihrem ersten Haustier. Dabei wird jedoch ganz klar auf die Sicherheitsfragen abgezielt, die in vielen Diensten hinterlegt werden können, um vergessene Passwörter zurückzusetzen.
So schützen Sie sich vor Vishing
In anderen Fällen wollen Betrüger sich keinen Zugang zu bestehenden Accounts verschaffen, sondern mit Ihren Daten neue Accounts auf Ihren Namen eröffnen. Um sich gegen diese moderne Form des Identitätsdiebstahls abzusichern, empfehlen wir die folgenden zwei Punkte zu beachten:
- Wenn Sie eine Nachricht erhalten, in der Sie gebeten werden, eine bestimmte Nummer anzurufen, tun Sie dies nicht. Prüfen Sie stattdessen zuerst, ob es sich um eine echte Nummer des Unternehmens handelt. Im Zweifelsfall rufen Sie besser die offizielle Hotline des Kundendienstes an und fragen Sie dort nach. Oder leiten Sie die zweifelhafte Nachricht dorthin weiter.
- Geben Sie keine persönlichen Informationen preis, wenn Sie sich nicht absolut sicher sind, wer Ihr Gesprächspartner ist. Auch scheinbar belanglose Daten können von Betrügern genutzt werden, um sich Ihre Identität anzueignen.
Sichern Sie Ihr Unternehmen vollständig vor Online-Betrug und Cyber-Crime ab.