Heut schon was gefischt?

Haben Sie jemals eine E-Mail erhalten, in der Ihnen ein Gewinn versprochen wird?

Glück gehabt

Dabei haben Sie bei gar keinem Gewinnspiel mitgemacht und trotzdem gewonnen.

Jetzt müssen Sie nur noch eben einen Anhang herunterladen, um ein Formular auszufüllen. Der Gewinn ist schon so nah …

Danke fürs Passwort!

Zwei Tage später ruft Sie ein Microsoft-Mitarbeiter an und teilt Ihnen mit, dass Ihr Rechner mit einem bösem Virus infiziert ist.

Sie müssten nur eben Ihr Passwort mitteilen, damit er im System den Virus löschen kann, no problem.

Sie geben dem Microsoft-Mitarbeiter artig Ihr Passwort und innerhalb von wenigen Minuten löscht er alle Viren und jetzt können Sie beruhigt schlafen gehen, denn Ihr Rechner ist ja jetzt sicher.

Konto sperren?

Nach drei Wochen schreibt Ihnen Ihre Bank, dass Sie so schnell wie möglich Ihr Passwort wechseln müssen, sonst wird das Konto gesperrt.

In der E-Mail ist ein Link enthalten.

Sie klicken darauf und ändern schnell Ihr Passwort.

Puh, zum Glück ist jetzt das Konto nicht gesperrt und Sie können wie gewohnt Ihr Internet-Banking nutzen.

Screenshot: EVV IT-Sicherheit

Da fischt doch jemand

Leider handelt es sich bei all diesen Beispielen um Phishing.

Phishing ist eine Angriffsart, mit der Cyberkriminelle versuchen, Sie durch Betrug, Täuschung oder Irreführung zur Offenlegung vertraulicher persönlicher Daten zu bewegen.

Mittlerweile ist Phishing die weit verbreitetste Angriffsart auf Ihre Daten.

Ob über E-Mail, soziale Medien, SMS oder einen anderen Kanal – alle Phishing-Angriffe verlaufen nach demselben Schema: Der Angreifer sendet eine Nachricht, um den Empfänger zum Klicken auf einen Link, zum Herunterladen eines Anhangs oder einer Software, zum Senden von Informationen oder sogar zur Überweisung eines Geldbetrags zu bewegen.

Somit erhalten Angreifer Ihre Zugangsdaten, laden eine Schadsoftware auf Ihren Rechner oder profitieren vom Geldbetrag, den Sie versendet haben.

Um Ihr Vertrauen zu erlangen, werden öfters gefälschte Kopien vertrauenswürdiger Internetseiten erstellt.

Ebenso sehen die Mails meistens täuschend echt aus.

Darüber hinaus kommt es vor, dass Angreifer durch gefälschte Profile über soziale Medien mit Ihnen Kontakt knüpfen und im Nachhinein über gängige Kommunikationskanäle Phishing-Angriffe starten.

Wie können Sie sich vor Phishing schützen?

• Seien Sie skeptisch, besonders bevor Sie auf Links klicken oder Anhänge herunterladen.
• Im Idealfall klicken Sie nicht auf den Link, sondern versuchen diese Internetseite über die Suchmaschine zu finden, ohne den mitgeteilten Link einzutippen.
• Öffnen Sie insbesondere niemals Dateien im Anhang einer verdächtigen E-Mail.
• Starten Sie niemals einen Download-Link direkt aus einer E-Mail heraus, auf deren Echtheit Sie sich nicht hundertprozentig verlassen können.
• Geben Sie keinesfalls persönliche Daten wie Passwörter oder sonstige vertrauliche Informationen weiter – egal, wie vertrauenserweckend die betreffende E-Mail oder der Anruf erscheint. Unsere IT wird niemals nach Ihrem Passwort fragen.
• Achten Sie bei Internetseiten auf die URL (z.B. elisabeth-vinzenz.de).
  Häufig werden URLs minimal verändert, um Sie zu täuschen z.B.
  • elisabethvinzenz.de (kein Schrägstrich)
  • elisabeth-vincenz.de (C anstatt Z)
  • elisabeth-vinzenz.gewinnspiel.de (die echte URL ist gewinnspiel.de)
  • elisabeth-vincenz.net (.net anstatt .de)

Solche Internetseiten könnten gefährlich sein und wir können den Inhalt solcher Seiten nicht verändern.

• Geben Sie niemals persönliche Daten auf Webseiten mit unverschlüsselter Verbindung ein. Ob eine Website verschlüsselt mit Ihrem Browser kommuniziert, erkennen Sie an der Abkürzung „https://“ in der Adresszeile sowie an dem kleinen Vorhängeschloss- Symbol neben der Adresszeile des Browsers.
  
• Wenn Sie im geschäftlichen Kontext auf Phishing stoßen, informieren Sie Ihre IT

Beitrag von Igor Sokolov, Chief Information Security Officer Elisabeth Vinzenz Verbund

Foto: Manuel Tennert