Was wirklich hinter den Betrugsversuchen steckt und wie ihr euch davor schützen könnt, erfährt ihr nun hier von uns.
Phishing-Kits bringen euch dazu, vertrauliche Daten offen zu legen, indem sie vertrauenswürdige Webseiten duplizieren. Diesen Betrug zu erkennen ist mit freien Auge meist nicht möglich, allerdings haben wir zwei erfolgreiche Möglichkeiten um euch hiervor zu schützen.
Was bedeutet eigentlich Phishing?
Unter dem Begriff „Phishing“ versteht man einen „sozialen Angriff“ vorrangig getarnt anhand von E-Mails. Damit versuchen die Cyber-Verbrecher Zugang zu persönlichen Accounts oder Daten zu bekommen. Entweder wird hier mit Standartvorlagen gearbeitet oder die Phishing-Angriffe werden speziell auf das Ziel bzw. Unternehmen angefertigt. In diesem Fall werden meist E-Mails mit richtiger Ansprache von Namen und Titel, sowie zugelassene Projekte verwendet, die einen legitimen Anschein auf den Empfänger machen. Eine andere Variante ist Namen von führenden Positionen zu benützen, um seine Opfer in eine Falle zu locken. Ein Angriff dieser Art wird „Spear Phishing“ genannt.
Eine etwas andere Methode ist das „Vishing“. Hier wird von dem Angreifer keine E-Mail versendet, sondern ein Anruf getätigt. Ziel ist hier allerdings das gleiche – persönliche Informationen oder Geld zu ergattern. Häufig geben sich die Anrufer beim Vishing als Mitarbeiter von Finanzbüro´s oder als IT-Support aus.
Ganz egal auf welchem Weg der Phishing-Angriff gestartet wird, der Fokus liegt immer auf sensiblen Daten, wie zum Beispiel Benutzernamen und Passwörter oder persönliche Dokumente.
Und das heißt jetzt was?
Das Vorgehen der Cyber-Verbrecher ist sehr unterschiedlich. In manchen Fällen üben sie so viel Druck auf ihr Opfer aus, wodurch aus möglicher Angst vor Konsequenzen, Daten preisgegen werden. Alternativ betonen sie oftmals die Dringlichkeit des Vorhabens oder hoffen auf die Hilfsbereitschaft ihrer Opfer. Die menschliche Neugierde ist der häufigste Türöffner für die Angreifer, da dies meistens der Grund ist eine E-Mail überhaupt zu öffnen.
Im Normalfall, wenn Erkennungssoftware und Sicherheitsmaßnahmen vorhanden sind, können Phishing-Angriffe schnell erkannt und blockiert werden. Jedoch werden pro Tag an die tausend neuen Domains angelegt und wir einen daraufhin als schädlich herausgefiltert, nimmt vielleicht die nächste schon ihren Platz ein. Ebenso verfügen die Angreifer schon über grundlegendes Wissen wie die Software sie entdecken könnte und schreiben ihre Scripts so, dass ihre Kits nichts so schnell auffliegen. Manche Kits schaffen es mittlerweile sogar ganze IP-Bereiche zu blockieren.
Wie funktioniert Phishing?
Einfach gesagt – wie ganz normale Webseiten. Sie sehen das Login-Feld der vertrauten Seite, danach eventuell ein Formular, das nach weiteren Informationen fragt, die „Vielen Dank“-Nachricht. In manchen Fällen wird man direkt danach auf die Originalwebseite sogar weitergeleitet.
Die sehr beliebten Phishing-Mails mit der verpassten Sendung oder bei Lieferprobleme informieren sind allseits bekannt, aber immer noch effektiv. Von diesen Mails werden täglich an die tausend versendet, und auch wenn nur ein Prozent tatsächlich darauf reinfallen, hat es sich für den Angreifer gelohnt.
Was nun dagegen tun?
Zur Sicherheit verwendet man am besten eine Zwei-Faktor-Authentifizierung (2FA). Ebenfalls ist es wichtig die E-Mails im Posteingang zu hinterfragen und nicht einfach kopflos diese zu öffnen. Findet sich zum Beispiel im Posteingang eine alarmierende Nachricht von der eigenen Bank, am besten zum Telefonhörer greifen und direkt in der eigenen Bankfiliale zuerst nachfragen und dann gegeben falls die E-Mail öffnen. Hier ist es aber wichtig nicht die Telefonnummer aus dem E-Mail zu verwenden, sondern diese selbst im Internet zu suchen.
Anfänglich wirkt es vielleicht noch seltsam, jedem Absender zu misstrauen, aber es erhöht die Chancen nicht auf einen Betrugsversuch rein zu fallen. Darüber hinaus kann es durchaus sehr nützlich sein, sich ominöse Nachrichten erst bestätigen zu lassen, besonders dann, wenn es sensible Daten oder finanzielle Anliegen betrifft.
Also merkt euch – nicht dem Absender antworten, sondern zum Hörer greifen oder persönlich die Bestätigung einholen. Dann kann so gut wie nichts mehr schief gehen!