Haben Sie schon einmal eine E-Mail von einer Bank erhalten, dass ihr Konto gesperrt wurde und sie nun umgehend ihre Kontaktdaten eingeben sollen? Haben Sie sich auch gewundert, da Sie gar nicht Kunde dieser Bank sind? Dass es sich dabei nicht um eine glaubwürdige Nachricht, sondern um Phishing handelte, haben Sie hoffentlich früh genug erkannt.
Doch was ist eigentlich Phishing?
Phishing ist ein Kunstwort. Es setzt sich aus den englischen Wörtern password harvesting und fishing zusammen, also Passwortsammeln und Fischen.
Mit dem Begriff wird eine Methode beschrieben bei der Zugänge und sensibel Daten erschlichen werden.
Erreicht wird dies mithilfe von gefälschten Webseiten, E-Mail Nachrichten oder SMS von zunächst vertrauenswürdig klingenden Absendern. Dies sind zum Beispiel Banken, Online-Bezahlsysteme, Versand- und Aktionshäuser oder inzwischen aber auch vermeintlich von Geschäftspartnern oder Kollegen. Die Inhalte suggerieren, dass Konten gesperrt sind oder man einen interessanten Link zum Anschauen hinterlegt hat. Ziel dabei ist, das Opfer zum Anklicken des Links zu bringen und gegebenen Falls weitere Informationen anzugeben oder Schadsoftware wie Trojaner unbemerkt zu installieren.
Welche Absicht hat Phishing?
Täter haben es im Falle von Phishing oft auf Daten wie Benutzernamen, Passwörter und TANs abgesehen, um Zugang auf Bankkonten oder ähnliches zu erhalten. Anschließend werden die Konten geplündert und teilweise nicht unerhebliche Geldbeträge gestohlen. Die Erhöhung von Sicherheitsstandards durch Zwei-Faktor-Authentifizierung hat aber auch die Absicht von Phishing verschoben. Inzwischen geht es oft um Identitätsdiebstahl. Wobei der Urheber der Phishing-Attacke mit gestohlenen Zugangsdaten die Identität seines Opfers übernimmt und in dessen Namen Handlungen ausführen. Dies kann zum Beispiel der Handel mit gestohlener Ware bei Online-Aktionen sein.
Somit können also auch Rufschädigungen oder Schäden durch Aufwendungen für Aufklärung und Wiedergutmachung entstehen.
Woran erkennt man Phishing?
Phishing Nachrichten wirken auf den ersten Blick meist vertrauenswürdig, schaut man genaue hin entdeckt man jedoch schnell einige Merkwürdigkeiten.
- Es fehlt oft die persönliche Anrede mit Namen. Es heißt dann: „Sehr geehrter Kunde, lieber Kollege…“
- Die Inhalte sind oft sehr knapp gehalten oder beziehen sich auf Sicherheitsrisiken. Zum Beispiel: „Hi, anbei meine aktuelle Präsentation. Link.“ oder „Sehr geehrter Kunde, aufgrund ungewoehnlicher Aktivitäten wurde Ihr Konto bei der ABC Bank mit Wirkung sofortig gesperrt. Bitte folgen Sie diesem Link und überprüfen dort ihrer Kontaktdaten um Konto wieder freischalten. LINK“
- Die Nachricht ist sprachlich ungewöhnlich, etwa durch die Mischung von Sprachen, seltsamer Grammatik und schlechter Rechtschreibung
- Die Kontaktaufnahme folgt nicht dem üblichen Weg oder Sie erhalten Nachrichten, obwohl Sie einem Newsletter o. ä. nie zugestimmt haben.
- Es ist keine Signatur, Impressum (es gibt eine Impressumspflicht bei Newslettern) oder eindeutig erkennbarer Absender zu finden
- Es werden ungewöhnliche URLs angezeigt.
- Die Kodierung von Umlauten ist nicht korrekt. So zum Beispiel æ statt ä.
Mangelhafte Grammatik und Orthografie sind zwar kein sicheres Kennzeichen für Phishing, aber auf jeden Fall höchst verdächtig.
Wie kann man sich schützen?
Skeptisch sein, Ignorieren, Löschen, Blockieren, Informieren und Updaten. Unter diesen Schlagwörtern lassen sich die wichtigsten Maßnahmen über den Umgang mit Phishing Nachrichten zusammenfassen.
Skeptisch sein: Schauen Sie sich erhaltene Nachrichten genau an, ob diese echt sind.
Ignorieren: Klicken Sie niemals auf Links in einer Nachricht, bei der Sie nicht zu 100 % von der Echtheit überzeugt sind. Geben Sie außerdem niemals sensible Daten per E-Mail heraus.
Löschen: Löschen Sie dubiose Nachrichten.
Blockieren: Blockieren Sie den Absender einer dubiosen Nachricht. Dies ist in gängigen E-Mail-Programmen wie Outlook, Mail usw. in der Regel per Rechtsklick mit der Maus auf die Nachricht im Posteingang möglich.
Informieren: Sind Sie sich unsicher, ob eine Nachricht echt ist kontaktieren Sie den vermeintlichen Absender auf dem gewohnten Weg, also zum Beispiel per Telefon oder loggen Sie sich über den für Sie üblichen Weg ein. Nutzen Sie hierzu niemals die Angaben in der verdächtig wirkenden Nachricht! Oft finden sich bereits auf der Startseite Informationen über aktuelle Phishing-Attacken. Informieren Sie gegebenen Falls den vermeintlichen Absender über den Erhalt solcher Nachrichten. Schicken Sie bitte niemals die Nachricht selbst weiter!
Updaten: Halten Sie Ihre Schutzsysteme wie Antivirus-Software und Firewall auf dem neusten Stand und führen Sie regelmäßig Updates durch. Ihr IT-Systemhaus unterstützt Sie hier gerne.
Sind Sie fit um Phishing Angriffe zu erkennen?
Testen Sie es doch einmal. Mit Awareness PLUS bieten wir ein Training für Sie und Ihre Mitarbeiter, um sie fit gegen Cyberattacken zu machen. 12 Monate Training per Online-Plattform mit regelmäßigen Schulungen und Praxistests. Unter anderem mit realistisch simulierten Angriffen, um das Bewusstsein bei allen Mitarbeitern zu schärfen.
Die ersten 15 Buchungen über uns erhalten den ersten Monat gratis. Also sofort bei uns melden und buchen!
Brauchen Sie Unterstützung bei Ihrer IT-Sicherheit?
Ihr IT-Systemhaus hilft Ihnen gerne als kompetenter Partner weiter.