Ein Jahr, 365 Tage – reichlich Zeit, um sich der eigenen Computersicherheit zu widmen. Eigentlich. Tatsächlich geschieht das im privaten wie im kommerziellen Bereich längst nicht im gebotenen Umfang. Deshalb sind Initiativen wie der Tag der Computersicherheit sinnvoll, auch wenn die Zahl der Aktionstage inzwischen inflationär anmutet. Der 30. November jedenfalls kann hier und da die Prokrastination beenden und dafür sorgen, dass das dringend anstehende Backup der eigenen Daten, das Updaten des Betriebssystems, die Wahl eines sicheren Passwortes oder der Kauf einer guten Sicherheitssoftware endlich in Angriff genommen wird.
Ins Leben gerufen wurde der Tag der Computersicherheit 1988 in den USA. Weder die Vereinigung für Computersicherheit noch sonst wer dürfte sich damals das heutige Ausmaß der Cyber-Kriminalität ausgemalt haben. Gewiss jedoch wird man geahnt haben, dass genau wie in der physikalischen Welt – etwa bei Wohnungseinbrüchen – in der Welt der Daten dieselben menschlichen Eigenschaften Kriminellen erheblich helfen würden: Sorglosigkeit, Naivität und Ignoranz. Insofern hilft allein unnachgiebige Aufklärung und Sensibilisierung …
Nicht nur am Tag der Computersicherheit brandaktuell: Phishing
Nicht nur anlässlich von Gelegenheiten wie dem Tag der Computersicherheit leistet hier beispielsweise McAfee als eines der weltweit führenden Cyber-Sicherheitsunternehmen regelmäßig Beiträge. In diesem Jahr befassen sich die Tipps und Hinweise von McAfee mit einer der ältesten Praktiken aus der Trickkiste der Cyberkriminellen, die nach wie vor brandaktuell ist: Phishing.
Bereits 1995 begannen Kriminelle damit, sich mittels gefälschter E-Mails und Websites Zugriff auf die Daten von Internetnutzern zu verschaffen. Geschah das anfänglich rudimentär und relativ leicht erkennbar, wurde die Vorgehensweise im Laufe der Zeit ständig weiter verfeinert. Mittlerweile gibt es eine Vielzahl perfider Phishing-Methoden, mit denen unter anderem versucht wird, Kreditkartendaten zu ergaunern. Auf die folgenden fünf Betrugsversuche sollten Internetnutzer jederzeit gefasst sein.
Phishing-Mails und Phishing-Links
Wenngleich Phishing-Mails heute in vielen Fällen automatisch erkannt werden, findet die eine oder andere doch den Weg in den regulären Eingangsordner. Wird man in einer E-Mail aufgefordert, aufgrund einer vermeintlich wichtigen Angelegenheit sensible Informationen an seine Bank oder andere Institutionen zu übermitteln, besteht Anlass zur Skepsis. Man sollte sorgfältig prüfen, um wen es sich beim Absender handelt.
Ähnlich wie mit Phishing-E-Mails verhält es sich mit Phishing-Links. Cyberkriminelle verschicken dabei Links zu einer Website-Attrappe, die oft den Seiten großer Einzelhändler nachempfunden sind. Dort sollen dann für eine Account-Verifikation oder Ähnliches Login-Daten eingetragen werden, die im Anschluss direkt in kriminellen Händen landen. Hier sollte man ebenfalls beim geringsten Zweifel den vermeintlichen Absender der E Mail kontaktieren, um herauszufinden, was es damit auf sich hat – oder die Mail direkt in den Mülleimer verschieben.
Walfang und Spear-Phishing
Beim sogenannten Whaling stehen Top-Manager im Fokus der Kriminellen, die mithilfe personalisierter Kontaktaufnahmen zum Beispiel den Klick auf einen Schadlink erwirken wollen, um an Daten zu gelangen. Hier geht es vor allem darum, mittels Identitätsdiebstahl an viel Geld oder an Unternehmensgeheimnisse zu kommen. Während Unternehmen ihre Entscheider zunehmend für das Thema Whaling sensibilisieren, hat die Masche in der Vergangenheit schon zu zahlreichen Datenpannen geführt.
Das Spear-Phishing ist mit dem Whaling verwandt, richtet sich aber an Personen, die in der Unternehmenshierarchie weiter unten stehen. Das Ziel ist gleich: Es geht um geistiges Eigentum, Login-Daten für unternehmensinterne Accounts und Kundendaten. Diese Art von Phishing ist weitaus lukrativer, als massenhaft verschickte E-Mails an anonyme Empfänger. Daher nehmen die Kriminellen sich hier, wie beim Whaling, viel Zeit, um Informationen über die Zielperson zu beschaffen. Auf diesem Weg wirken beispielsweise Anfragen per E-Mail oft täuschend echt. Auch hierzu müssen Unternehmen ihre Mitarbeiter schulen.
Suchmaschinen-Phishing
Wer etwas über eine Suchmaschine sucht, geht davon aus, dass die verlinkten Ergebnisse seriös sind. Manchmal allerdings gelingt es Kriminellen, ihre Links in den Ergebnislisten zu platzieren. Oft geht es um attraktive Rabatte für Produkte oder Dienstleistungen, die Internetnutzer dazu verleiten sollen, eine Bestellung zu tätigen und so ihre Daten preiszugeben.
Man sieht: Die Spielarten des Phishings sind zahlreich. Die aufgeführten Methoden kratzen lediglich an der Oberfläche. Grundsätzlich gilt, dass man im digitalen Raum stets mit Betrügern rechnen sollte – am Tag der Computersicherheit ebenso wie an allen übrigen Tagen des Jahres. Am besten schützt man sich, indem man sich fortlaufend über aktuelle Phishing-Methoden informiert und für seinen Computer eine entsprechende professionelle Sicherheitslösung wählt.
Weitere Informationen:
McAfee
www.mcafee.com/de
