Ein Bericht der Anti-Phishing Working Group (APWG) Anfang des Jahres zeigte, dass die Zahl an Phishing-Attacken wieder steigt. Phishing ist ein weit verbreitetes Problem, dass für Angestellte und Unternehmen ein großes Risiko birgt. Nehmen wir zum Beispiel das 1. Quartal 2016. In keinem anderen Quartal in der Geschichte gab es mehr Angriffsversuche.
Wir sollten uns alle bewusstwerden, dass diese Art von Kompromittierung nicht so schnell vergehen wird. Aber keine Angst. Dieser kleine Guide kann dabei helfen, Cyber-Kriminelle in Schach zu halten.
Doch bevor wir loslegen, verdeutlichen wir noch einmal, was Phishing bedeutet. Es beschreibt eine Möglichkeit des Identitätsdiebstahls, bei der Cyber-Kriminelle persönliche und sensible Informationen kapern wollen. Interessanterweise gibt es Phishing schon mehrere Jahre. Es ist nicht unbedingt ein Phänomen des 21. Jahrhunderts. Schon durch Telefonanrufe oder Briefe wurde versucht, Menschen wichtige Daten zu entlocken und diese dann zu missbrauchen.
Sicherheitsexperten sind sich sicher: Cyber-Kriminelle glauben, dass Phishing der erfolgreichste Weg ist, um in Unternehmen einzudringen und anspruchsvollere Angriffe zu starten. Die Angestellten im Unternehmen bergen nach wie vor das größte Sicherheitsrisiko und sind deshalb beliebte Angriffsziele für Cyber-Kriminelle, um Großkonzerne aber auch Mittelstandsunternehmen zu kompromittieren.
Wer die folgenden Tipps befolgt, hat gute Chance, besser gegen Phishing-Angriffe gewappnet zu sein.
1. Sich der Gefahr von Phishing bewusst sein
Eine signifikante Reduzierung der Gefahr auf Phishing herein zu fallen, schafft bewusstes und smartes online Surfen und E-Mail-Abrufen.
ESETs Bruce Burrell rät zum Beispiel dazu, niemals auf einen Link zu klicken, Dateien herunterzuladen oder E-Mail-Anhänge zu öffnen (auch von Facebook oder Co.) von Quellen denen man nicht vertraut.
Besonders viele bösartige E-Mails beinhalten Links, die dem Linktext nach zu urteilen zu vertrauenswürdigen Webseiten verlinken, aber in Wirklichkeit ganz anderes im Schilde führen. Bei geringsten Zweifeln, sollte die URL im Browser eingegeben werden.
Absolute Vorsicht ist bei E-Mails geboten, die nach vertraulichen Informationen, wie persönliche Details oder Banking-Informationen fragen. Immer wieder weisen seriöse Unternehmen in ihren E-Mails darauf hin, dass sie niemals danach fragen würden. Daran sollte bei verdächtigen E-Mails immer gedacht werden.
2. Vorsicht vor verkürzten Links
Besonders in sozialen Netzwerken wie Twitter werden verkürzte Links (shortened links) gerne eingesetzt, um Platz zu sparen. Cyber-Kriminelle benutzen gerne Dienste wie bit.ly oder goo.gl, um vorzutäuschen, dass es sich um einen seriösen Link handelt. Dabei wird man ohne Umwege direkte auf eine schädliche Seite geleitet.
Generell ist zu empfehlen, seinen Mauszeiger zunächst nur über einem Link zu positionieren. Bei den meisten Browsern erscheint im Fenster unten links die URL, auf die man beim Klicken tatsächlich geleitet wird.
Cyber-Kriminelle nutzen „Fake“-Seite, um eingegebene persönliche Daten zu stehlen oder fahren sogenannte Drive-by-Downloads, um Malware auf das Gerät des User zu bekommen.
3. Wenn die Mail verdächtig erscheint, nochmal lesen
Viele Phishing-Mails sind schon auf dem ersten Blick ersichtlich. Häufig enthalten diese Tippfehler, Wörter in Großbuchstaben und Ausrufezeichen. Ein klassisches Erkennungsmerkmal findet sich gleich zu Beginn. Phishing-Mails starten fast immer mit „Sehr geehrte Kundin / geehrter Kunde“ oder einer ähnlichen unpersönlichen Anrede. Darüber hinaus ist der Inhalt der Nachrichten oft fragwürdig und unglaubwürdig.
4. Vorsicht bei Bedrohungen und dringenden Deadlines
Manchmal sind seriöse Unternehmen zu einer dringenden Handlung gezwungen. So erging es zum Beispiel eBay im Jahre 2014. Nach einer Datenpanne wurden Kunden dazu aufgerufen, dringend ihr Password zu ändern.
Das Unternehme dazu auffordern ist allerdings eine Ausnahme und nur dann der Fall, wenn dringender Handlungsbedarf besteht. Normalerweise sind dringende Aufforderungen von Unternehmen eher mit Phishing verbunden. Vergewisserung kann das Erkundigen über eine Datenpanne beim Unternehmen selbst schaffen, z.B. über die Pressestelle.
5. Nur auf gesicherten Seiten surfen
Bei Banken ist es schon seit einiger Zeit absoluter Standard – SSL/TLS-gesicherte Verbindungen zum Server beim Besuchen der Seite. Man erkennt eine gesicherte Verbindung an dem HTTPS und dem Schloss davor in der Adressleiste. Auch Google und Facebook benutzen schon den gut geschützten Verbindungsaufbau zwischen Server und Client. Der Suchmaschinengigant bezieht HTTPS bald sogar als Rankingfaktor mit in seine Bewertung einer Webseite ein.
Freie WLANs in Verbindung mit ungesicherten Verbindungen sind große Schwachstellen. Auf Online-Banking oder -Shopping sollte man deswegen lieber gleich verzichten. Die bessere Alternative bietet hier das Surfen mit dem Smartphone über den Mobilfunkbetreiber. Natürlich geht das auf Kosten des monatlichen Datenvolumens – aber Komfort sollte niemals Sicherheit übertrumpfen.