Identitäten-Klau durch Phishing – eine Checkliste
Beim Versuch, sensible Daten oder Identitäten zu klauen, greifen Cyber-Kriminelle zu immer perfideren Tricks. So klicken Anwender immer wieder ahnungslos auf fingierte Schreiben, wobei ihnen Malware untergeschoben wird. Neuerdings geben sich die Hacker als Schweizer Firmen und Bundesämter aus. MELANI gibt Tipps, wie sich online verhalten sollten.
Gemäss der Melde- und Analysestelle für Informationssicherheit (MELANIE) gab es noch nie so viele Phishing-Mails, respektive Identitäten-Klaubereien wie 2017. Cyber-Kriminelle nutzen jedoch immer perfidere Methoden, um Privatverbrauchen und Unternehmen zu schädigen. So geben sie sich etwa als Steuer- oder Behördenvertreter aus, um an sensible Daten zu gelangen.
Eine „dreiste“ E-Mail, die angeblich von der Eidgenössischen Steuerverwaltung stammt, machte jüngst erst die Runde. Die Betrüger schrieben etwas von einer fiktive Steuerrückerstattung und forderten die Empfänger zum Ausfüllen eines angehängten Dokuments auf. Beim Öffnen der Datei installierte sich automatisch Schadsoftware – sowohl auf Windows-Rechnern wie auch auf Mac! Eine Steuerrückerstattung gab es selbstverständlich nicht.
Schweizer Adressen im Visier
Im Februar geisterte eine Mail – auf den ersten Blick von der Swisscom – herum, bei der Cyber-Kriminelle eine ähnliche Taktik anwendeten. Die gefälschte Rechnung war mit dem Button „Rechnung einsehen“ versehen, der auf eine präparierte Webseite verwies. Auf dieser wurden die Opfer anschliessend mit Malware infiziert.
Gemäss MELANI werden auch Einladungen zu Gerichtsverhandlungen oder Nachrichten der Kantonspolizei als Köder verwendet. „Ziel der Angreifer ist es, den Benutzer zu überrumpeln, seine Neugier zu wecken oder ihm Angst zu machen, um ihn dann zu einer unbedachten Aktion zu verleiten“, so die Bundesstelle.
Checkliste gegen Viren, Würmer und Trojanische Pferde
E-Mail ist eines der beliebtesten Kommunikationsmittel. Wie man sich im Bereich E-mailing schützen kann und was betroffene Firmen tun sollten, können Sie mittels dieser Checkliste beantworten. Allerdings gelangen die meisten elektronischen Schädlinge über E-Mail-Anhänge auf den Rechner. Ein sorgsamer Umgang mit E-Mails trägt erheblich zur Sicherheit Ihrer Daten und Ihres Rechners bei.
Folgende Massnahmen schützen Sie gegen Viren, Würmer, Trojanische Pferde, Spam und Hoaxes:
Vorsicht bei E-Mails mit unbekanntem Absender
Misstrauen Sie E-Mails, deren Absenderadresse Sie nicht kennen. Öffnen Sie in diesem Fall keine angefügten Dokumente oder Programme und wählen Sie keine darin angegebenen Links.
Auf Vertrauenswürdigkeit der Quellen achten
Öffnen Sie nur Dateien oder Programme aus vertrauenswürdigen Quellen und nur nach vorgängiger Prüfung mit einer aktuellen Antiviren-Software.
Vorsicht bei Dateinamen mit zwei Endungen
Öffnen Sie keine E-Mail-Anhänge, die zwei Endungen aufweisen (z. B. picture.bmp.vbs). Lassen Sie sich nicht durch das Icon einer solchen Datei täuschen. Deaktivieren Sie im Windows Explorer die Option „Erweiterungen bei bekannten Dateitypen ausblenden», respektive «Hide file extensions for known file types“.
Software-Update des E-Mail-Programms
Auch E-Mail-Programme können Sicherheitslücken aufweisen. Vergewissern Sie sich regelmässig, ob ein Software-Update Ihres E-Mail-Programms vorhanden ist und spielen Sie dieses ein.
Spam nicht beantworten
Allgemein: Vorsichtiger Umgang mit der E-Mail-Adresse pflegen. Geben Sie Ihre E-Mail-Adresse nur an so wenige Personen wie notwendig weiter und verwenden Sie diese ausschliesslich für wichtige Korrespondenz.
Anlegen einer zweiten E-Mail-Adresse
Für das Ausfüllen von Webformularen, das Abonnieren von Newslettern, Einträge in Gästebüchern, usw. empfiehlt es sich, eine zweite E-Mail-Adresse zu verwenden. Diese kann bei verschiedenen Anbietern kostenlos beantragt werden. Ist diese Adresse von Spam betroffen, kann sie gelöscht und ersetzt werden.
Vorsicht, Vorsicht, Vorsicht …
Wird auf Spam geantwortet, so weiss der Sender, dass die E-Mail-Adresse gültig ist und wird weiter Spam verschicken. Mit Vorsicht ist auch Spam mit „Abbestelloption“ zu geniessen. Darin wird versprochen, dass man durch Senden einer E-Mail mit bestimmtem Inhalt von der Verteilerliste gestrichen wird.
In diesem Zusammenhang sind auch automatische Antwortmails bei Ferienabwesenheit zu beachten. Sie sollten lediglich bei bekannten Adressen aktiviert werden.
Checkliste Firmen, deren Namen als Absender missbraucht wurde:
Sollte Ihr Firmenname für Betrugs-E-Mails missbraucht werden, weisen Sie auf der Startseite gut sichtbar darauf hin, dass ihre Firma als Absender für Schadsoftware-E-Mails missbraucht wird. Geben Sie den Kunden Ihre Empfehlung ab, wie sie sich verhalten sollen.
- Weisen Sie Ihre Kunden mittels einem regelmässig erscheinenden Newsletter oder direkt auf die Betrugsversuche hin.
- Halten Sie bei der Kundenkommunikation via E-Mail folgende Grundregeln ein und teilen Sie diese den Kunden mit:
- Mit Links in E-Mails sparsam umgehen und nur auf die eigene Domäne verlinken. Wenn möglich Links auf durch Verschlüsselung gesicherte Seiten (https) verwenden und dies dem Empfänger mitteilen.
- Keine versteckten Links benutzen, sondern immer die Links für den Benutzer sichtbar machen.
- Nicht auf Webseiten verlinken, die Benutzername und Passwort oder andere Eingaben verlangen.
- Kunden mit Vor- und Nachnamen anschreiben, sofern diese Information vorhanden ist.
- Wichtige Informationen zu Konten schriftlich per Brief versenden – gerade im Finanzsektor.
(Quelle: MELANI, Mai 2017)
Sollten Sie weitere konkrete Fragen zum Thema Phising haben, wenden Sie sich bitte gleich direkt an die Melde- und Analysestelle Informationssicherung MELANI – Site