Tag der Computersicherheit: Fünf Phishing-Methoden, die man auf dem Radar haben sollte
Tag der Computersicherheit: Fünf Phishing-Methoden, die man auf dem Radar haben sollte
Der 30. November ist der internationale Tag der Computersicherheit. Kaum zu glauben, dass dieser bereits im Jahr 1988 von amerikanischen IT-Experten ins Leben gerufen wurde – knappe zehn Jahre, bevor das Internet begann, unsere Welt zu erobern. Der internationale Tag der Computersicherheit ist ein guter Anlass, sich mit einer der ältesten Praktiken aus der Trickkiste der Cyberkriminellen zu beschäftigen: Phishing. Bereits 1995 haben Kriminelle damit begonnen, sich mithilfe gefälschter E-Mails und Websites Zugriff auf die Daten von Internetnutzern zu verschaffen.
Anfangs gingen sie dabei noch recht rudimentär vor und oft waren Betrugsversuche beispielsweise an Tippfehlern oder offensichtlichen Scam-Links erkennbar. Doch im Laufe der Zeit wurde die Vorgehensweise beim Phishing immer weiter verfeinert, so dass man mittlerweile auf eine Vielzahl perfider Methoden gefasst sein muss, mit denen Kriminelle versuchen, etwa an E-Mail-Accounts oder Kreditkartenummern zu kommen.
Auch wenn Phishing bereits auf eine relativ lange Geschichte zurückblicken kann, ist das Thema nach wie vor brandaktuell: So hat McAfee erst letzten Monat eine gefährliche Phishing-Kampagne, die über Office 365 lief, aufdecken können. Umso wichtiger ist es, über gängige Phishing-Methoden Bescheid zu wissen. Auf die folgenden fünf Betrugsversuchen sollten Internetnutzer heute jederzeit gefasst sein.
- Suspekte E-Mails
Auch wenn Phishing-Mails heute in vielen Fällen automatisch im Spam-Ordner landen, findet die ein oder andere immer wieder den Weg in unser reguläres Postfach. Wird man in einer E-Mail dazu aufgefordert, aufgrund einer vermeintlich wichtigen Angelegenheit sensible Informationen an seine Bank oder andere Institutionen zu übermitteln, besteht Anlass zur Skepsis. In diesen Fällen sollte man genau prüfen, um wen es sich beim Absender handelt.
- Fake-Links
Ähnlich wie mit Phishing-E-Mails verhält es sich auch mit Phishing-Links. Cyberkriminelle verschicken dabei Links zu einer Website-Attrappe, die oft den Websites großer Einzelhändler nachempfunden sind. Dort sollen dann für eine Account-Verifikation oder Ähnliches Login-Daten eingetragen werden, die im Anschluss auf direktem Weg in die Hände eines Cyberkriminellen gelangen. Auch in diesem Fall sollte man beim geringsten Zweifel den vermeintlichen Absender der E-Mail kontaktieren, um herauszufinden, was es damit auf sich hat – oder die Mail direkt in den Mülleimer verschieben.
- Der Walfang
Beim sogenannten Whaling stehen Top-Manager im Fokus der Kriminellen, die mithilfe personalisierter Kontaktaufnahmen beispielsweise den Klick auf einen Schadlink erwirken wollen, um an Daten zu gelangen. Hier geht es vor allem darum, mittels Identitätsdiebstahl an viel Geld oder an Unternehmensgeheimnisse zu kommen. Während Unternehmen ihre Entscheider zunehmend für das Thema Whaling sensibilisieren, hat die Masche in der Vergangenheit bereits zu zahlreichen Datenpannen geführt hat.
- Spear-phishing
Das Spear-phishing ist gewissermaßen mit dem Whaling verwandt, richtet sich jedoch an Personen, die in der Unternehmenshierarchie weiter unten stehen. Das Ziel ist jedoch das gleiche: Es geht um geistiges Eigentum, Login-Daten für unternehmensinterne Accounts und Kundendaten. Diese Art von Phishing ist weitaus lukrativer, als massenhaft verschickte E-Mails an anonyme Empfänger. Daher nehmen die Kriminellen sich hier, wie auch beim Whaling, viel Zeit, um Informationen über die Zielperson zu beschaffen. Auf diesem Weg wirken beispielsweise Anfragen per E-Mail oft täuschend echt. Auch in diesem Fall müssen Unternehmen dafür sorgen, ihre Mitarbeiter entsprechend zu schulen.
- Suchmaschinen-Phishing
Wer etwas mithilfe einer Suchmaschine sucht, geht davon aus, dass die verlinkten Ergebnisse seriös sind. Dem ist jedoch nicht immer so. Manchmal gelingt es Kriminellen, ihre Links in den Ergebnislisten zu platzieren. Oft geht es dabei um attraktive Rabatte für Produkte oder Dienstleistungen, die Internetnutzer dazu verführen sollen, eine Bestellung zu tätigen und damit ihre Daten preiszugeben.
Man sieht: Die Spielarten des Phishings sind zahlreich. Die aufgeführten Methoden kratzen nur an der Oberfläche und grundsätzlich gilt, dass man im digitalen Raum immer darauf gefasst sein sollte, von Betrügern hinters Licht geführt zu werden. Der beste Weg, sich zu schützen, besteht darin, sich fortlaufend über aktuelle Phishing-Methoden zu informieren und in eine entsprechende Sicherheitslösung zu investieren.