Phishing-Attacken – etwa in Form einer Mail vom nigerianischen Prinzen – gibt es nicht erst seit gestern. Viele Internetnutzer sind daher mittlerweile in der Lage zu erkennen, dass es sich um Betrug handelt. Allerdings werden die Angriffe immer ausgefeilter.
Phishing und seine Varianten Smishing (SMS) und Vishing (Sprachanrufe) nehmen rasant zu. Vor allem die Verlagerung der Arbeit ins Homeoffice im letzten Jahr und die Tatsache, dass die Menschen mehr Zeit online verbringen, hat Cyber-Kriminellen neue Türen geöffnet. Denn die Sicherheit ist zu Hause oft nicht im selben Maße gewährleistet wie im Unternehmen vor Ort. Dadurch erhalten Hacker leichter Zugang zu sensiblen Daten.
Zum „Cyber Security Awareness Monat“ gibt LastPass folgende Tipps, wie sich Anwender sowohl bei der Arbeit als auch im Privaten schützen können.
Nachrichten auf allen Kanälen sorgfältig prüfen
Phishing per E-Mail ist zwar die häufigste Betrugsart. Es kommen aber auch andere Methoden des Social Engineering zunehmend zum Einsatz – neben Phishing-Links etwa Webseiten zum Abfangen von Anmeldedaten sowie SMS, Nachrichten auf sozialen Medien oder Anrufe auf der privaten oder geschäftlichen Nummer. Daher ist auch auf diesen Plattformen die gleiche Vorsicht geboten.
Absender-Adressen doppelt checken
Hacker können eine E-Mail-Adresse so gestalten, dass sie auf den ersten Blick fast identisch mit dem vermeintlichen Absender aussieht. Deshalb muss unbedingt der vollständige Domainname – also der Text nach dem @ – kontrolliert werden. Hinter dem Bankberater mit [email protected], kann in Wirklichkeit [email protected] stehen.
Wenn es sich beim Absender einer verdächtigen SMS um eine Nummer mit wenigen Ziffern handelt, ist das oft ein Zeichen dafür, dass die Nachricht automatisiert gesendet wurde. Auch hier ist Vorsicht geboten, denn die Links können das Mobilgerät infizieren.
Scams erkennen und abwehren
Cyber-Kriminelle suchen nach Möglichkeiten, das Vertrauen zu seriösen Unternehmen, Freunden, Familienmitgliedern und Arbeitskollegen auszunutzen. Auch bei einer Nachricht, deren Absender bekannt ist, kann es sich um einen sogenannten Scam handeln. Denn es kann bedeuten, dass das Konto der vertrauten Person gehackt wurde und der Hacker die Anmeldedaten zum Versenden von Nachrichten missbraucht.
Eine genauere Überprüfung kann über einen anderen Kommunikationskanal erfolgen – beispielsweise einen Anruf. Ist das Firmenkonto eines Mitarbeiters betroffen, sollte direkt das IT-Team kontaktiert werden.
Der Intuition vertrauen
Nachrichten mit böser Absicht haben ihren ganz eigenen Charakter. Schnelle Gewinnaussichten durch Anklicken eines Links, eine „dringende Anfrage“ oder ein ungewöhnlicher Schreibstil sind Indizien dafür, dass etwas nicht stimmt. Deshalb ist das Vertrauen auf die eigene Intuition meist richtig. Wer ein mulmiges Gefühl hat, sollte es unbedingt ernst nehmen.
Auch ein Passwort-Manager kann hier unterstützen. Normalerweise dienen solche Lösungen dem Erstellen und Speichern von Passörtern. Sie können aber auch Phishing-Webseiten erkennen. Wenn der Anwender nach dem Klick auf einen Phishing-Link zur Eingabe der Anmeldedaten aufgefordert wird, werden die Daten nicht wie sonst automatisch vorgeschlagen, da der Passwort-Manager den Link nicht kennt. Und dies ist ein Indiz dafür, dass es sich um eine betrügerische Seite handelt.
Es ist also besonders wichtig, aufmerksam auf Details zu achten. Dadurch lässt sich oft vermeiden, dass einem Hacker die Zugangsdaten serviert werden.
Vorsichtig bei der Multi-Faktor-Authentifizierung
Bei der Multi-Faktor-Authentifizierung (MFA) gibt es eine zweite Sicherheitsebene, die eine zusätzliche Verifizierung erfordert. Neben der Eingabe von Username und Passwort wird der Nutzer aufgefordert, sich über einen Code zu identifizieren, der ihm per SMS zugeschickt wird. Weitere Möglichkeiten sind biometrische Merkmale oder die Authentifizierung über eine spezielle App.
Wenn ein solcher Code oder die Aufforderung zur Nutzung einer App erscheint, obwohl sich der Nutzer nicht bei der entsprechenden Webseite anmelden wollte, sollte er die Anfrage ignorieren beziehungsweise verweigern. Zudem sollte schnellstmöglich das Passwort geändert werden, um weitere Betrugsversuche zu verhindern.
www.lastpass.com/de