Phishing und betrügerische Nachrichten

Wusstest du, dass nach Daten zu fischen ein Business ist? Nicht nur auf hoher See wird gefischt, auch online werden Köder ausgeworfen, um Menschen in eine Falle zu locken und an persönliche, oft sensible Daten zu gelangen.

Eine Figur mit Fischkopf ist vor einem Laptop und wird von einer verdächtigen Person hinter dem Bildschirm gefischt. Die Person hinter dem Bildschirm hält eine Angel mit einem Wurm vor einem verschlossenen E-Mail.

In diesem Kapitel erfährst du, wie Online-Betrug funktioniert. Welche Tricks wenden Betrüger:innen besonders häufig an? Wie kannst du Gefahren rechtzeitig erkennen und dich schützen?

Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "- None -"

Inhaltsverzeichnis

Achtung, Scam!

Was bietet einen guten Schutz vor Angriffen?

Spacer Block: Spacer Size Unit = "10", Spacer Size Unit Medium = "16"

Achtung, Scam!


Betrugsversuche und betrügerische Nachrichten gab es schon lange bevor ein Großteil der Kommunikation über das Internet stattfand. Und viele dieser Versuche werden bis heute angewendet. Werfen wir einen Blick zurück.

Vorgestern

Verständigung per Post: Guten Tag, wir dürfen Sie darüber informieren, dass Sie glücklicher Gewinner eines Neu-Wagens* sind! Um zu Ihrem Gewinn zu kommen, nehmen Sie bitte Kontakt mit der Firma Dr. Raffzahn und Söhne KG auf.  Sie erreichen uns Montags bis Freitags von 08:00 bis 17:00 Uhr unter der Nummer 0900/174576 (Tarif/Minute: max. öS 3,99.-).

 

*Dr. Raffzahn und Söhne KG behält sich vor, eine Bearbeitungsgebühr in Höhe von öS 300.- von Ihrem Konto abzubuchen.
comic in 3 Sequenzen. 1. Betrüger am Schreibtisch schreibt einen Brief. 2. Zustellerin stellt den Brief einem Mann zu. 3. Mann liest den Brief in dem steht das er einen Neuwagen gewonnen hat.
Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "12"

Gestern

Telefonanruf: „Guten Tag, spreche ich mit Frau Leopoldine Hackl? Frau Hackl, ich darf Ihnen gratulieren! Sie wurden ausgewählt, um an unserem Gewinnspiel um den Hauptpreis teilzunehmen! Der Hauptpreis: Eine Reise nach Florenz. Eine Woche für 2 Personen in einer exklusiven Unterkunft. Eine Woche Ruhe! Eine Woche Erholung pur! Das wäre doch was für Sie, Frau Hackl, hab ich recht? Ich sehe Sie schon vor mir...Was Sie tun können, um Ihre Gewinnchancen zu erhöhen? Es ist ganz einfach: Sie entrichten eine einmalige Teilnahmegebühr von heute nur € 39,99 und erhalten so die einmalige Chance, als bevorzugte Teilnehmerin beim Gewinnspiel mitzumachen.

Comic in zwei Sequenzen. 1. Frau telefoniert und sagt: "Glückwunsch! Sie haben gewonnen!". 2. Sequenz: Mann an Schreibtisch hält einen Telefonhörer in der Hand.
Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "14"

Heute

Message (SMS/E-Mail): „Hi, kannst du mir bitte schnell das Passwort für den Zugriff auf Server X schicken? Habs vergessen. Tel. geht nicht, bin ständig in Meetings. Muss aber DRINGEND etwas erledigen. Danke dir, LG Jörg.“

Illustration einer Frau an einem Schreibtisch mit vielen technischen Geräten. Sie wirkt abgelenkt während sie die Nachricht von ihrem Handy liest: "Hi, kannst du mir bitte schnell das Passwort schicken?!"
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "16"

Phishing


Phishing (vom englischen Wort fishing, deutsch: Angeln), das Fischen nach persönlichen Daten ist die wohl häufigste Form des Betrugs im Internet. Es kann jeden und jede treffen. Über gefälschte Websites, E-Mails oder Nachrichten wird versucht, z. B. an die Bankdaten einer Person zu gelangen oder sie zu einer Aktion zu bewegen, die sich negativ auf sie selbst, ihre Kolleg:innen oder das gesamte Unternehmen, in dem sie arbeitet, auswirkt.  So wie Fischer:innen ihre Netze auswerfen und den Fang im Anschluss begutachten, so fischen Schurken im Netz nach persönlichen Informationen. Ihre Köder sind Falschmeldungen und psychologische Tricks. Sie versuchen sehr gezielt, das Verhalten von Menschen zu beeinflussen. Das nennt man "social engineering".

Beispiel

Ich liebe dich! – „Kindly check the attached LOVELETTER coming from me“ (deutsch: „Sieh dir den LIEBESBRIEF, den du von mir erhalten hast, an“).

 

Weltweit öffneten am 4. Mai 2000 Millionen von Büroangestellten den Anhang des erhaltenen E-Mails mit dem vermeintlichen Liebesbrief. Was sie nicht wussten: Es handelte sich dabei um Computerviren, die mit dem „Lovebug“ verbreitet wurden. Viren, die sich per E-Mail verbreiteten, hatte es auch zuvor schon gegeben. Doch hier wurde zum ersten Mal in der Geschichte social engineering (der angebliche Liebesbrief) mit raffinierter Technik, die sich im E-Mail Adressbuch neue Kontakte suchte, um sich so weiterzuverbreiten, kombiniert. Und bislang hatte kein Angriff so großen Schaden angerichtet: Ca. 50 Millionen Computer waren innerhalb kurzer Zeit befallen.

Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "10"
Merke
Illustration Rufzeichen im Seitenprofil eines Kopfes als Symbol für einen Merksatz

Manipulation

Die Methoden, um Menschen hinters Licht zu führen, haben sich mittlerweile weitenentwickelt und verändert. Was aber seit damals gleich geblieben ist: Angreifer:innen geht es darum, Menschen gezielt zu manipulieren.

Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "10"

Phishing kann jede:n treffen

Sieh dir dieses kurze Video an. Darin erklärt der Experte Linus Neumann, dass Phishing alle treffen kann.

Video file
Video: CC-BY-Linus Neumann: Es kann jeden treffen!
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "16"

Betrügerische Nachrichten können dich über unterschiedliche Wege erreichen

E-Mails

Viele Organisationen kommunizieren häufig über E-Mail und auch privat wird E-Mail oft und gerne genutzt. Daher sind E-Mails eine beliebte Variante, um Phishing zu betreiben, d.h. um an persönliche Daten und/oder Firmengeheimnisse zu kommen.

Nachrichten im Messenger bzw. in sozialen Netzwerken

 Phishing Angriffe können auch über Messenger-Dienste wie WhatsApp oder Social Media stattfinden. Bei Social Media Attacken geht es häufig darum, die Online-Aktivitäten von Personen auszuspionieren. Im schlimmsten Fall übernehmen die Betrüger:innen den Account und geben sich als jemand anderes aus.

SMS

Diese Form des Phishings nennt man Smishing (eine Zusammensetzung aus den Worten SMS und Phishing). Smishing zielt darauf ab, Zugang zu persönlichen Informationen, wie z.B. Passwörtern, zu erhalten. Das kann z.B. durch die Installation von Schadsoftware auf dem Handy passieren oder indem man einen Link erhält, der auf eine gefälschte Seite führt.

Telefonisch

Diese Betrugs-Variante wird Vishing genannt. Vishing ist eine Methode, bei der mit einem Anruf versucht wird, Menschen zur Preisgabe persönlicher Daten zu bewegen. Die Anrufer:innen geben sich oft als Polizist:innen, Bankangestellte oder IT-Fachleute aus. Gib bei Telefonaten mit Personen, die dir nicht persönlich bekannt sind, keine sensible Informationen preis! Beende das Gespräch!

Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "10"

Ziel von Phishing Angriffen ist immer, das Wissen über typisch menschliches Verhalten (z. B. die Bereitschaft, jemandem telefonisch weiterzuhelfen, dem Absender einer geschäftlichen E-Mail zu vertrauen, Druck zu machen, weil eine Überweisung schnell getätigt werden soll oder Neugierde zu wecken) für unlautere Zwecke auszunutzen, beispielsweise, indem sich Schadsoftware in einem Dokument im Anhang einer E-Mail befindet oder man auf eine gefälschte Seite gelockt wird und dort vertrauliche Informationen preisgibt.

 

Eine Person sitzt an einem Schreibtisch mit vielen offenen Ordnern und Dokumenten. Der Blick geht durch die Fenster naach draußen. Auf dem Bildschrim der Person sehen wir ein geöffnetes E-Mailprogramm.
Bild: Joergelman via Pixabay
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "16"

Phishing ist gefährlich

Phishing in all seinen Varianten stellt ein Risiko für Privatpersonen und Organisationen dar und kann zu Problemen, häufig sogar zu großen finanziellen Verlusten, führen, wenn

  • sensible Daten weitergegeben werden: Eine eingehende Nachricht enthält die Aufforderung, sensible Informationen wie Zugangsdaten oder schützenswerte Dokumente zu übermitteln.

  • Überweisungen getätigt werden: Überweisungen an vermeintliche Geschäftspartner, Behörden o.ä. werden durchgeführt

  • betrügerische Links angeklickt werden: Nachrichten können einen oder mehrere gefährliche Links enthalten. Die Links leiten dann z.B. zu einer echt aussehenden, aber gefälschten Phishing Seite, bei der die Eingabe von Login-Daten gefordert wird oder aber zu einer Website, die Schadsoftware auf Geräten installiert.

  • Anhänge geöffnet werden: Nachrichten können eine oder mehrere gefährliche Dateien (z.B. Anhang in einer E-Mail) enthalten. Wird die Datei geöffnet, wird auf dem Gerät Schadsoftware installiert.

 

Video file
Video: CC-BY-"Alexander Lehmann"
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "16"

Die Tricks der Datendieb:innen

Die Vorgehensweise, die Angreifer:innen wählen, ist stets die Gleiche – unabhängig davon, welches Ziel sie mit ihrem Betrugsversuch verfolgen: Menschen werden hinters Licht geführt, damit sie unwissentlich Dinge tun, die Ihnen selbst oder einer ganzen Organisation schaden. Technische Schutzmaßnahmen werden bewusst umgangen, indem Menschen benutzt werden, um Zugang zu Netzwerken, sensiblen Informationen und ähnlichem zu bekommen.

 

Du fragst dich, wie das konkret funktioniert? Sieh dir das folgende Video dazu an. Darin erklärt Linus Neumann an einem Beispiel, wie so ein Trickbetrug ablaufen kann.
 

Video file
Video: CC-BY-Linus Neumann: Wie kommen die Leute an die ganzen Passwörter?
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "16"

Welche Angriffe kommen häufig vor?


1. Ransomware

Ransom“ ist Englisch und bedeutet Lösegeld. Ransomware (auch „Krypto-Trojaner“ genannt) ist Schadsoftware, die Informationen (zumeist alle vorhandenen Dateien auf einem Datenträger wie der Festplatte eines Gerätes oder in einem Netzwerk) verschlüsselt. Ziel der Angreifer:innen ist es, die Verfügbarkeit von Daten einzuschränken und dafür Lösegeld zu fordern: Der Schlüssel zur Entschlüsselung der Daten muss gekauft werden.

 

Sehen wir uns die Vorgangsweise am Beispiel eines Büros an: Es werden massenhaft Mails mit schadhaften Anhängen (z.B. Word-Dokument) versendet. Wird der Anhang geöffnet, lädt sich im Hintergrund ein Script mit Schadsoftware, das die Dateien verschlüsselt und damit unbrauchbar macht. Um die Dateien wieder entschlüsseln zu können, wird man aufgefordert, Lösegeld (zumeist in Krypto-Währungen) zu bezahlen.

Spacer Block: Spacer Size Unit = "6", Spacer Size Unit Medium = "8"
Merke
Illustration Rufzeichen im Seitenprofil eines Kopfes als Symbol für einen Merksatz

Backups bieten einen wirksamen Schutz gegen Ransomeware-Angriffe! Sie sollten stets getrennt von anderen Systemen (Netzwerk) und an verschiedenen Orten aufbewahrt werden!

Spacer Block: Spacer Size Unit = "10", Spacer Size Unit Medium = "12"

Weiterentwicklung der Ransomware-Angriffe

Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "10"
Ein aufgeklapptest Notebook im Dunkeln. Auf dem Bildschrim ist irgendein Programmcode zu sehen.
Bild: Markus Spiske via Pexels
Spacer Block: Spacer Size Unit = "10", Spacer Size Unit Medium = "12"
Angriffe auf Backups

Da Backups, auch in Unternehmen, zum Glück häufiger werden, gehen Angreifer:innen dazu über, Backups ebenfalls zu zerstören (bei Unternehmen sind diese oftmals via Active Directory direkt eingebunden, daher ist der Zugriff darauf möglich). Backup-Systeme sind einfach zu zerstören- sind sie einmal aufgesetzt, wird ihnen erst dann wieder Beachtung geschenkt, wenn es vielleicht schon zu spät ist. Die Angreifer haben also gelernt.

 

Spacer Block: Spacer Size Unit = "2", Spacer Size Unit Medium = "12"
Differenzierung der Angriffe

Es finden zunehmend hybride, d.h. kombinierte Attacken statt: Viele werden gehackt, aber nur bei den profitabelsten Zielen erfolgt ein planvoller Angriff – eine Optimierung des Geschäftsmodells. Effizienz ist dadurch gegeben, dass die Angreifer:innen immer viele Fische im Netz haben – wenn sie gerade nicht mit einem Unternehmen beschäftigt sind, beschäftigen sie sich mit einem anderen.

Erpressung

Da zunehmend mehr Backups vorhanden sind, wird nun auch häufig mit Erpressung und Drohungen gearbeitet: Der Veröffentlichung von Daten, Unternehmens-Interna, oder anderen sensiblen Informationen im Darknet.

Praxis
Illustration praktische Übung mit Händen auf einer Laptoptastatur

Was solltest du beim Erstellen von Backups beachten?

 

  • Identifiziere ganz besonders wichtige Daten
  • Wähle Speichermedien für die Backups aus
  • Backups sollten regelmäßig erfolgen
  • Beachte außerdem die 3-2-1 Regel
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "10"

2. Account- und Identitätsdiebstahl

Unter Account- und Identitätsdiebstahl kannst du dir z.B. die Übernahme eines E-Mail-, PayPal- oder Social Media-Kontos einer Person oder Organisation vorstellen. So funktioniert es: Es werden massenhaft betrügerische Nachrichten, die auf den ersten Blick offiziell und seriös aussehen, verschickt. In Wirklichkeit zielen sie aber darauf ab, Personen in die Irre zu führen und dazu zu verleiten, z.B. sensible Daten wie Passwörter auf einer Phishing-Site einzugeben.

Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "10"

Spear-Phishing

„Spear-Phishing“ (deutsch: Speerfischen) ist eine besonders gemeine Methode des Account-oder Identitätsdiebstahls: Dabei handelt es sich um einen gezielten, taktischen Angriff auf eine Person, eine Gruppe oder Organisation. Diese Angriffe sind schwer zu erkennen, weil sie passgenau auf die Zielperson zugeschnitten sind. Stellen wir uns Ulrike vor, Geschäftsführerin eines Unternehmens namens „Superspüler“. Sie erhält eine E-Mail oder einen Anruf, indem sie mit Ihren korrekten Namen, in ihrer Funktion als Geschäftsführerin angesprochen wird- auch die Situation, die ihr ihr Gegenüber schildert, erscheint Ulrike plausibel. Es ist für Ulrike also sehr schwer, zu erkennen, dass sie gerade im Begriff ist, auf eine Täuschung hereinzufallen, da dieser Angriff gezielt erfolgt und gut vorbereitet wurde.

Foto von einer weißen Person in einer Winterjacke. In der rechten Hand ist ein Smartphone, in der linken eine Kreditkarte.
Bild: Anete Lusina via Pexels
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "24"

3. Finance-Phishing und Online-Banking

Das Einfallstor sind auch hier zumeist Phishing-Mails. Schadsoftware kommt selten zum Einsatz, da die IT-Systeme von Banken sehr solide sind und hohe Sicherheitsstandards erfüllen. Da technische Unsicherheit also nahezu ausgeschlossen werden kann, sind Betroffene besonders gefordert , die Angriffe zu erkennen – was sich in der Praxis nicht ganz einfach gestaltet, da die betrügerischen Nachrichten oder Seiten oft täuschend echt aussehen: In der Regel sind sie in sehr gutem Deutsch verfasst und gleichen in ihrem Auftritt den Corporate Designs der Banken. Wirst du von einem Bank-Institut aufgefordert, auf einen Link in einer Nachricht o.ä. zu klicken, solltest du aufpassen: Banken fordern ihre Kund:innen grundsätzlich nie dazu auf, Zugangsdaten auf diese Weise preiszugeben! Wenn du dir nicht sicher bist, kannst du bei der Bank nachfragen (z.B. telefonisch), ob sie tatsächlich eine Benachrichtigung an dich versandt hat. Handelt es sich um eine offizielle Nachricht, wirst du darüber informiert, dass dein Bankinstitut eine neue Nachricht für dich hat. Du wirst dazu aufgefordert, in dein Webportal/App einzusteigen, wo du dich zunächst authentifizieren musst – erst dann kannst du die Nachricht ansehen.

 

CEO-Fraud

Ein besonderer Fall ist der „CEO-Fraud“ (engl., CEO: Geschäftsführer:in, Fraud: Betrug): Eine Nachricht, wie z.B. eine E-Mail, mit der Aufforderung eines:r Vorgesetzten „Kannst du diese Überweisung bitte schnell und vertraulich erledigen?“. Durch Ausnutzung des Autoritätsverhältnisses und des Vertrauens in den:die Vorgesetzte, sowie das Ausüben von Druck werden Mitarbeiter:innen dazu verleitet, Überweisungen an Kriminelle zu tätigen.

 

In diesem Video erklärt Linus Neumann anhand von Beispielen, wie CEO-Frauds ablaufen.

Video file
Video: CC-BY-Linus Neumann: CEO-Fraud
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "16"

Was haben alle diese Angriffe gemeinsam?

  • Phishing-Angriffe sind einfach, kostengünstig und effektiv auszuführen.
  • Kriminelle verstehen es, menschliche Verhaltensweisen auszunutzen und psychologische Tricks anzuwenden: Mit verschiedenen Sozialtechniken werden Menschen dazu verleitet, unwissentlich schädliche Aktionen durchzuführen, z.B. indem sie ganz intuitiv auf einen Button in einer Mail oder einem Dokument klicken. Damit wird es möglich, technische Sicherheitsmaßnahmen (z.B. Schadsoftwarescanner) zu umgehen – das Einfallstor ist also der Mensch.
  • „Ransomökonomie“ ist ein eigenes Geschäftsmodell! So gibt es z.B. die Möglichkeit, ein Dokument gratis entschlüsselt zu bekommen, als  vertrauensbildende Maßnahme sozusagen, Support-Chats, Preise werden „attraktiv“ gestaltet …

 

Hier gibt Linus Neumann einen Einblick, mit welchen psychologischen Tricks Kriminelle arbeiten, wenn sie erst mal Zugriff auf Dateien erhalten haben.

 

Video file
Video: CC-BY-Linus Neumann: Psychologische Tricks

 

Wichtig zu wissen: es stimmt im Normalfall nicht, dass – entgegen den Behauptungen – Dateien nicht wiederhergestellt werden bei Bezahlung. In gewisser Weise basiert das Geschäftsmodell auf Vertrauen. Da insgesamt eine Spezialisierung und Differenzierung innerhalb der Branche und der Angriffe zu beobachten ist, ist es wichtig, aufmerksam zu sein und sich zu informieren!

Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "10"
Praxis
Illustration praktische Übung mit Händen auf einer Laptoptastatur

Wo erhalte ich aktuelle Informationen zu Phishing und anderen betrügerischen Nachrichten im deutschsprachigen Raum?

Watchlist Internet

Mimikama

Newsletter des deutschen Verbraucherschutzes „Sicher informiert“ zu Themen der Online-Sicherheit. Der Newsletter erscheint alle 14 Tage und richtet sich an alle Personen, die ihre Online-Sicherheit verbessern möchten.

 

Spacer Block: Spacer Size Unit = "10", Spacer Size Unit Medium = "12"
Übung: Woran erkennst du Phishing?
Spacer Block: Spacer Size Unit = "10", Spacer Size Unit Medium = "14"

Was bietet einen guten Schutz vor Angriffen?

Hundertprozentige Sicherheit können wir leider niemals erreichen, aber es gibt einige wichtige Punkte, die du beachten solltest, um das Risiko, auf einen Phishing-Angriff hereinzufallen, zu verringern: Zum einen gibt es technische Möglichkeiten, die einfach umzusetzen sind, wie zum Beispiel regelmäßige Software-Updates oder die Installation eines Schadsoftwarescanners. Zum anderen ist es wichtig zu wissen, dass technische Schutzmaßnahmen alleine nicht ausreichen und du daher aufmerksam sein musst. Wenn du diese 12 Tipps befolgst, bist du auf einem guten Weg!

Spacer Block: Spacer Size Unit = "10", Spacer Size Unit Medium = "12"

12 Tipps für mehr Sicherheit

Updates & Patches

Das regelmäßige Einspielen von System-Updates und Security-Patches ist eines der wichtigsten Instrumente um sich und seine Geräte vor Gefahren zu schützen. Sind das Betriebssystem und weitere Anwendungen stets auf dem neuesten Stand, wird die aktuellste Version eines Programms immer sofort installiert, bzw. upgedatet, stellen bekannte Sicherheitslücken für dich keine Gefahr mehr dar!

Backups

„Es gibt nur zwei Arten von Daten: Daten, die gesichert wurden und Daten, die noch nicht verloren gegangen sind.“  Regelmäßige Backups ersparen dir viel Ärger und schlaflose Nächte. Egal, ob als Arbeitnehmer:in, Unternehmer:in oder Privatperson: Lege dir einen Plan oder eine Strategie zurecht, wie du Sicherheitskopien all deiner gesammelten Daten anlegst. Befolge dabei die 3-2-1 Regel: Am Besten ist es, 3 Kopien deiner Daten (z.B. Laptop, externe Festplatte, USB-Stick) auf 2 verschiedenen Medien (unterschiedliche externe Festplatten, Laptop-Festplatte) und mindestens 1 Kopie außer Haus zu haben.

Passwort-Manager

Du erinnerst dich: Jedes Passwort sollte jeweils einzigartig für den jeweiligen Dienst genutzt werden und nicht mehrmals! Außerdem sollte es mindestens 12 Stellen lang und alphanumerisch, sowie mit Sonderzeichen versehen werden. Ist es zu kompliziert, dir alle Passwörter zu merken? Hierfür steht dir der Passwort-Manager zur Seite! Über den Passwort-Manager verringerst du die Wahrscheinlichkeit Opfer eines Betrugsfalles zu werden immens, denn nur du hast Zugang zu all deinen komplexen Passwörtern.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung schützt sehr effektiv gegen Angriffe, da immer mindestens zwei Komponenten zur Identitätsfeststellung notwendig sind. Viele Dienste bieten mittlerweile eine Zweifaktor-Authentifizierung an. Nutze diese Möglichkeit beruflich und privat sooft es geht! Wenn ein Dienst diese Methode der Authentifizierung anbietet, findest du sie zumeist in deinem Nutzer:innenkonto → Einstellungen → Sicherheit → Zwei-Faktor-Authentifizierung.

Makros nicht aktivieren

MS Office Anwendungen enthalten sogenannte „Makros“: Ein Makro ist ein kleines Stück Programmcode, das es ermöglicht, häufig auszuführende Befehlsfolgen wie z.B. automatisierte Tabellenvorlagen effektiv auszuführen. Makroviren fügen ihren schädlichen Code zu den in Dokumenten enthaltenen Makros hinzu und können sich so verbreiten. Seit Mitte 2022 blockieren Microsoft-Anwendungen standardmäßig die Ausführung von Makros, dennoch empfiehlt es sich, aufmerksam zu bleiben.

Erst nachdenken, dann klicken

Leichtfertige Klicks auf Links und  E-Mail-Anhänge können zu Schäden führen. Während du im Büro sitzt und möglichst schnell alle E-Mails abarbeiten möchtest, möchten dich Kriminelle dazu bringen, schnell und unüberlegt auf einen Link oder den Anhang einer Nachricht zu klicken. Deshalb: Erst überlegen und dann klicken.

Nachrichten sorgfältig prüfen

Erscheint der Absender vertrauenswürdig, klingt der Inhalt plausibel? Auch, wenn es zunehmend schwierig wird, gefälschte von echten Nachrichten zu unterscheiden, so gibt es doch noch eine Menge an Betrugsversuchen, die allein dadurch erkennbar sind, indem du überprüfst, ob in der Nachricht

  • auffällig viele Rechtschreibfehler enthalten sind
  • ganze Worte oder Satzteile fehlen
  • du nur allgemein („Sehr geehrte:r Frau/Herr“) und nicht persönlich angesprochen wirs
  • unrealistische Versprechungen oder Angaben (häufig in Kombination mit Begriffen wie „Letzte Chance“, „Letzte Warnung“) vorkommen.

Außerdem solltest du dich fragen, ob du die Person, von der die Nachricht kommt, kennst oder mit dem Unternehmen, das dich anschreibt, eine Geschäftsbeziehung pflegst.

Besondere Vorsicht bei sensiblen Daten und Überweisungsaufforderungen

Bei sensiblen Daten und Überweisungsaufforderungen ist besondere Vorsicht geboten. Sensible Daten wie Passwörter, ebenso wie die Aufforderung zur Überweisung müssen mit besonderer Sorgfalt geprüft werden.

Tatsächliche Webadresse überprüfen

Bei Links solltest du die tatsächliche Webadresse (URL) überprüfen.

Wie das geht? Am PC oder Laptop: Einen Blick in die Statuszeile werfen oder durch Berühren des Links mit der Maus. Auf mobilen Geräten ist die Gefahr groß, versehentlich den Link zu öffnen, wenn man ihn einer Überprüfung unterziehen möchte. Daher ist es besser zu warten, bis man wieder Zugang zu einem PC bzw. Laptop hat.

Dateiformate im Anhang einer Nachricht überprüfen

Potenziell gefährliche Dateiformate:

  • Direkt ausführbare Formate: .exe, .bat, .com, .cmd, .scr, .pif
  • Unbekannte Formate
  • Dateiformate, die Makros enthalten können, wie Microsoft-Office Dateien, z.B. .doc, .docx, .docm, .ppt, .pptx, .xls, .xls.

Wird bei Office-Programmen nach dem Öffnen gefragt, ob Makros ausgeführt werden sollen: Vorsicht!

Achtung bei Kurzadressenservices

Achtung bei Kurzadressenservices - diese können zu Betrugs-Seiten führen!

 

Gekürzte und veränderte Internetadressen, so genannte URL-Aliase, verstecken das eigentliche Linkziel vor dem Anwender. Ein „echter“ Link enthält diverse Informationen, wie beispielsweise den Namen des Servers, des Verzeichnisses oder der Datei, mit denen sich seine Vertrauenswürdigkeit besser beurteilen lässt. Bei URL-Aliasen wird der Besucher ggf. ohne sein Einverständnis auf eine Seite weitergeleitet, die er vielleicht gar nicht besuchen will oder darf. Dieser Umstand kann missbraucht werden, um Menschen ungewollt auf Seiten zu locken, die über Sicherheitslücken im Webbrowser den Rechner des Anwenders kompromittieren, oder um Angriffe einzuleiten.

 

Um die Weiterleitung von Kurzlinks anzuzeigen, ohne sie zu besuchen, können sogenannte „URL Expander“ verwendet werden. Auf derartigen Webseiten kann unter Angabe einer Kurz-URL überprüft werden, zu welcher Zieladresse diese weiterleitet. Ein solcher Dienst ist zB. urlex.org.

Vorsicht bei USB-Sticks

Da USB-Sticks unbekannter Herkunft mit Malware infiziert sein können, sollten diese nie verwendet werden.

Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "12"

Hundertprozentige Sicherheit können wir leider niemals erreichen, aber es gibt einige wichtige Punkte, die du beachten solltest, um das Risiko, auf einen Phishing-Angriff hereinzufallen, zu verringern: Zum einen gibt es technische Möglichkeiten, die einfach umzusetzen sind, wie zum Beispiel regelmäßige Software-Updates oder die Installation eines Schadsoftwarescanners. Zum anderen ist es wichtig zu wissen, dass technische Schutzmaßnahmen alleine nicht ausreichen und du daher aufmerksam sein musst. Wenn du diese 12 Tipps befolgst, bist du auf einem guten Weg!

Spacer Block: Spacer Size Unit = "8", Spacer Size Unit Medium = "12"

Poster mit den 12 Tipps

Du kannst diese 2 Postervarianten mit den Tipps gegen Phishing als PDF herunterladen, ausdrucken, aufhängen, verschicken etc.

 

Link zum PDF mit beiden Varianten als A2 Plakate.

Bild vom ersten Phishingplakat mit mehr Text
Spacer Block: Spacer Size Unit = "4", Spacer Size Unit Medium = "4"
Bild vom zweiten Phishingplakat mit weniger Text dafür einer Illustration mit einer Unterwasserwelt
Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "16"
Praxis
Illustration praktische Übung mit Händen auf einer Laptoptastatur

Überprüfe die tatsächliche Webadresse der Links!

Wie du das machst? Wenn du den Link mit der Maus berührst und kurz wartest, dann erscheint die Webadresse, zu der dich dieser Link führt.

 

www.startpage.com

www.epicenter.works

www.eff.org

de.wikipedia.org/wiki/Phishing

 

Spacer Block: Spacer Size Unit = "12", Spacer Size Unit Medium = "16"
Übung: Phishing
Spacer Block: Spacer Size Unit = "10", Spacer Size Unit Medium = "12"
Merke
Illustration Rufzeichen im Seitenprofil eines Kopfes als Symbol für einen Merksatz

Du hast eine Phishing Nachricht nicht als Betrug erkannt und bist darauf hereingefallen. Was kannst du nun tun?

  • Zeit ist hier ganz wesentlich: Reagiere schnell
  • Rücksprache mit IT-Abteilung (wenn vorhanden) oder dem/ der Ansprechpartner:in im Unternehmen
  • Aktiviere dein Virenschutzprogramm und scanne das Gerät
  • Ändere die Passwörter betroffener Accounts
  • Wurden Zahlungsinformationen bekannt gegeben, kontaktiere das Bank- oder Kreditkarteninstitut
  • Informiere auch die „echten“ Unternehmen bzw. Anbieter:innen, in deren Namen Phishing-Nachrichten versandt wurden – so können andere Menschen gewarnt werden
  • Wenn du es bei einer offiziellen Stelle melden möchtest, kannst du dich an das Bundeskriminalamt wenden. against-cybercrime@bmi.gv.at
Spacer Block: Spacer Size Unit = "10", Spacer Size Unit Medium = "12"
Praxis
Illustration praktische Übung mit Händen auf einer Laptoptastatur

Phishing Simulation

Du bist  neugierig geworden und möchtest wissen, wie einfach bzw. schwierig es ist, Phishing-Nachrichten im Alltag zu erkennen? Hier findest du zwei Phishing Simulations-Tools.

 

www.onlinebetrug.aknoe.at

https://phish-test.de/

 

Damit kannst du ausprobieren, wie fit du im Erkennen von Phishing-Nachrichten bist!