Phishing-Attacken haben mittlerweile eine lange Tradition in der Malware-Szene. Kein Wunder, sind die gefälschten Webseiten, Emails oder Kurznachrichten doch immer raffinierter und entsprechend immer schwieriger als bösartiger Fake zu erkennen. Und das betrifft nicht nur Ottonormalverbraucher. Im besonderen Fokus stehen Daten öffentlicher Einrichtungen. Erst kürzlich wurden scheinbar die Daten von 9.000 Angestellten des Departments of Homeland Security gestohlen und aktuell war wohl das FBI an der Reihe. Auch wenn der Einbruch in große Organisationen immer besonders viel Aufmerksamkeit erregt, ist das System dahinter letztendlich immer das gleiche – egal ob Einzelperson oder Regierungsabteilung. Das Stichwort heißt Phishing, oder besser gesagt Spear-Phishing.
Beim Phishing schicken Cyberkriminelle mittels möglichst echt aussehender Emails bösartige Links oder Anhänge und hoffen darauf, dass irgendjemand „Klick“ macht. Das passiert häufiger als man denkt – mit dem Ergebnis, dass persönliche Informationen wie beispielsweise Passwörter oder Nutzernamen gestohlen werden. In letzter Zeit gehen die Attacken immer häufiger auf das sogenannte Spear-Phishing über. Hierbei handelt es sich im Prinzip um dieselbe Technik, allerdings sehr viel ausgefeilter. Die Nachrichten sind oftmals auf einen bestimmten Empfänger abgestimmt und damit noch glaubwürdiger. Bekannte Absender, persönliche Anrede oder die Nutzung häufig genutzter Services wie Amazon oder DHL sollen die Empfänger in Sicherheit wiegen. Wenn zum Beispiel ein Energieforscher eine E-Mail bekommt, in der er zu einer Diskussionsveranstaltung über die Zukunft der Energieversorgung eingeladen wirde oder ein fiktives Paper eines bekannten Kollegen angehängt ist, ist die Wahrscheinlich recht hoch, dass er auf den Link oder den Anhang klickt. Je mehr persönliche Informationen integriert sind, desto höher die Wahrscheinlichkeit in die Falle zu tappen. Und genau diese Informationen finden auch Cyberkriminelle im Netz immer einfacher.
Diese Entwicklung ist besorgniserregend, da persönliche Daten, gerade von Unternehmen, eine Goldmine für eben jene Spear-Phishing-Akteure sind. Jedes Organisationschart oder interne Telefonverzeichnis kann die Grundlage für eine weitaus ernstere Attacke in der Zukunft sein. Was können wir dagegen setzen? Aus technischer Sicht sind sicherlich verschiedene Aktivitäten wie zum Beispiel das Segregieren von Netzwerkteilen, die Nutzung aktueller Programmversionen oder die Verschlüsselung wichtiger Daten zu nennen. Mitentscheidend ist es allerdings, das persönliche Verhalten zu überprüfen, sonst sind alle Schutzmaßnahmen hinfällig. Für den Anfang können diese sechs Tipps helfen:
- Machen Sie sich mit den normalen Arbeits- und Informationsabläufen in Ihrer Firma vertraut. Wenn irgendwas komisch erscheint, lieber noch mal nachfragen.
- Wenn Sie dazu aufgefordert werden, standardisierte Abläufe zu umgehen, sollten Sie eine zweite Meinung einholen.
- Vertrauen Sie niemals Personen von außerhalb des Unternehmens, nur weil Sie „Insiderinformationen“ haben. Auch hier gilt: Zweite Meinung einholen!
- Nutzen Sie niemals Informationen von einer externen Person, um einen Sachverhalt zu verifizieren. Sie sollten auf jeden Fall eine zweite Quelle befragen.
- Lassen Sie sich von Anfragen nicht hetzen oder in den „kurzen Dienstweg“ treiben. Immer erst nachdenken, dann klicken!
- Wenn Sie glauben, einem Phishing-Angriff ausgesetzt gewesen zu sein, sollten Sie das melden. Die Information kann auch für die Kollegen hilfreich sein!
Antwort hinterlassen