So schützen Sie Geld und persönliche Daten im Internet

2024 Autor: Malcolm Clapton | [email protected]. Zuletzt bearbeitet: 2023-12-17 03:51

Je besser Sie informiert sind, desto schwieriger ist es, Sie zu täuschen. Hier finden Sie alles, was Sie über Phishing mit Microsoft wissen müssen.

Finden Sie noch mehr Tipps, wie Sie sich vor digitalen Bedrohungen schützen können.

Was ist Phishing und wie gefährlich ist es?

Phishing ist eine häufige Art von Cyberbetrug, deren Zweck darin besteht, Konten zu kompromittieren und zu kapern, Kreditkarteninformationen oder andere vertrauliche Informationen zu stehlen.

Am häufigsten verwenden Cyberkriminelle E-Mail: Sie versenden beispielsweise Briefe im Auftrag eines bekannten Unternehmens und locken Benutzer unter dem Vorwand einer gewinnbringenden Werbung auf seine gefälschte Website. Das Opfer erkennt die Fälschung nicht, gibt Login und Passwort von seinem Konto ein, und so überträgt der Benutzer selbst die Daten an die Betrüger.

Jeder kann leiden. Automatisierte Phishing-E-Mails richten sich am häufigsten an ein breites Publikum (Hunderttausende oder sogar Millionen von Adressen), aber es gibt auch Angriffe, die auf ein bestimmtes Ziel ausgerichtet sind. In den meisten Fällen handelt es sich bei diesen Zielen um Top-Manager oder andere Mitarbeiter, die privilegierten Zugriff auf Unternehmensdaten haben. Diese personalisierte Phishing-Strategie wird als Walfang bezeichnet, was übersetzt "Wale fangen" bedeutet.

Die Folgen von Phishing-Angriffen können verheerend sein. Betrüger können Ihre persönliche Korrespondenz lesen, Phishing-Nachrichten an Ihren Kontaktkreis senden, Geld von Bankkonten abheben und im Allgemeinen in Ihrem Namen handeln. Wenn Sie ein Unternehmen führen, ist das Risiko noch größer. Phisher sind in der Lage, Unternehmensgeheimnisse zu stehlen, sensible Dateien zu zerstören oder die Daten Ihrer Kunden durchsickern zu lassen, wodurch der Ruf des Unternehmens beschädigt wird.

Laut dem Phishing Activity Trends Report der Anti-Phishing Working Group entdeckten Cybersicherheitsexperten allein im letzten Quartal 2019 mehr als 162.000 betrügerische Websites und 132.000 E-Mail-Kampagnen. In dieser Zeit sind rund tausend Unternehmen aus aller Welt Opfer von Phishing geworden. Es bleibt abzuwarten, wie viele Angriffe nicht erkannt wurden.

Entwicklung und Arten von Phishing

Der Begriff „Phishing“leitet sich vom englischen Wort „fishing“ab. Diese Art von Betrug ähnelt wirklich dem Fischen: Der Angreifer wirft den Köder in Form einer gefälschten Nachricht oder eines Links und wartet darauf, dass die Benutzer beißen.

Aber im Englischen wird Phishing etwas anders geschrieben: Phishing. Anstelle des Buchstabens f wird der Digraph ph verwendet. Nach einer Version ist dies ein Hinweis auf das Wort Fälschung ("Betrüger", "Schwindler"). Andererseits - zur Subkultur der frühen Hacker, die als Phreaker ("Phreaker") bezeichnet wurden.

Es wird vermutet, dass der Begriff Phishing erstmals Mitte der 1990er Jahre in Usenet-Newsgroups öffentlich verwendet wurde. Damals starteten Betrüger die ersten Phishing-Angriffe gegen Kunden des amerikanischen Internetanbieters AOL. Die Angreifer schickten Nachrichten mit der Bitte, ihre Zugangsdaten zu bestätigen, und gaben sich als Mitarbeiter des Unternehmens aus.

Mit der Entwicklung des Internets sind neue Arten von Phishing-Angriffen aufgetaucht. Betrüger fingen an, ganze Websites zu fälschen und beherrschten verschiedene Kanäle und Kommunikationsdienste. Heute lassen sich solche Phishing-Arten unterscheiden.

• E-Mail-Phishing. Betrüger registrieren eine Postadresse, die der Adresse eines bekannten Unternehmens oder eines Bekannten des ausgewählten Opfers ähnelt, und versenden Briefe von dieser. Gleichzeitig kann ein gefälschter Brief anhand des Namens des Absenders, des Designs und des Inhalts mit dem Original fast identisch sein. Nur darin findet sich ein Link zu einer gefälschten Seite, infizierte Anhänge oder eine direkte Aufforderung, vertrauliche Daten zu versenden.
• SMS-Phishing (Smishing). Dieses Schema ähnelt dem vorherigen, jedoch wird SMS anstelle von E-Mail verwendet. Der Abonnent erhält eine Nachricht von einer unbekannten (meist kurzen) Nummer mit der Bitte um vertrauliche Daten oder mit einem Link zu einer gefälschten Seite. Ein Angreifer kann sich beispielsweise als Bank vorstellen und den Verifizierungscode anfordern, den Sie zuvor erhalten haben. Tatsächlich benötigen Betrüger den Code, um sich in Ihr Bankkonto zu hacken.
• Phishing in sozialen Medien. Mit der Verbreitung von Instant Messenger und Social Media haben Phishing-Angriffe auch diese Kanäle überflutet. Angreifer können Sie über gefälschte oder kompromittierte Konten bekannter Organisationen oder Ihrer Freunde kontaktieren. Ansonsten unterscheidet sich das Prinzip des Angriffs nicht von den vorherigen.
• Telefon-Phishing (Vishing). Betrüger sind nicht auf Textnachrichten beschränkt und können Sie anrufen. Am häufigsten wird hierfür die Internettelefonie (VoIP) verwendet. Der Anrufer kann sich beispielsweise als Mitarbeiter des Supportdienstes Ihres Bezahlsystems ausgeben und Daten für den Zugriff auf das Wallet anfordern – angeblich zur Verifizierung.
• Phishing suchen. Sie können direkt in den Suchergebnissen auf Phishing stoßen. Es genügt, auf den Link zu klicken, der zu der gefälschten Seite führt, und persönliche Daten darauf zu hinterlassen.
• Pop-up-Phishing. Angreifer verwenden häufig Pop-ups. Beim Besuch einer dubiosen Ressource sehen Sie möglicherweise ein Banner, das im Namen eines bekannten Unternehmens Vorteile verspricht - zum Beispiel Rabatte oder kostenlose Produkte. Wenn Sie auf diesen Link klicken, werden Sie auf eine Website weitergeleitet, die von Cyberkriminellen kontrolliert wird.
• Landwirtschaft. Nicht direkt mit Phishing verbunden, aber auch die Landwirtschaft ist ein sehr häufiger Angriff. In diesem Fall fälscht der Angreifer die DNS-Daten, indem er den Benutzer automatisch anstelle der ursprünglichen Sites auf die gefälschten umleitet. Das Opfer sieht keine verdächtigen Nachrichten und Banner, was die Effektivität des Angriffs erhöht.

Phishing entwickelt sich weiter. Microsoft sprach über neue Techniken, die sein Anti-Phishing-Dienst Microsoft 365 Advanced Threat Protection im Jahr 2019 entdeckt hat. Betrüger haben beispielsweise gelernt, bösartiges Material in Suchergebnissen besser zu verschleiern: Rechtmäßige Links werden oben angezeigt, die den Benutzer über mehrere Weiterleitungen auf Phishing-Seiten führen.

Darüber hinaus begannen Cyberkriminelle, automatisch Phishing-Links und exakte Kopien von E-Mails auf einem qualitativ neuen Niveau zu generieren, um Benutzer effektiver zu täuschen und Sicherheitsmaßnahmen zu umgehen.

Im Gegenzug hat Microsoft gelernt, neue Bedrohungen zu erkennen und zu blockieren. Das Unternehmen hat sein gesamtes Wissen über Cybersicherheit in das Microsoft 365-Paket eingesetzt, das die Lösungen bietet, die Sie für Ihr Unternehmen benötigen, und gleichzeitig dafür sorgt, dass Ihre Informationen effektiv geschützt sind, auch vor Phishing. Microsoft 365 Advanced Threat Protection blockiert bösartige Anhänge und potenziell schädliche Links in E-Mails, erkennt Ransomware und andere Bedrohungen.

So schützen Sie sich vor Phishing

Verbessern Sie Ihre technischen Kenntnisse. Wie heißt es so schön: Wer vorgewarnt ist, ist bewaffnet. Studieren Sie selbst Informationssicherheit oder lassen Sie sich von Experten beraten. Schon ein solides Wissen über die Grundlagen der digitalen Hygiene kann Ihnen viel Ärger ersparen.

Vorsichtig sein. Folgen Sie keinen Links oder öffnen Sie Anhänge in Briefen von unbekannten Gesprächspartnern. Bitte überprüfen Sie sorgfältig die Kontaktdaten der Absender und die Adressen der von Ihnen besuchten Seiten. Antworten Sie nicht auf Anfragen nach persönlichen Informationen, auch wenn die Nachricht glaubwürdig aussieht. Wenn ein Vertreter des Unternehmens Sie um Informationen bittet, ist es besser, sein Callcenter anzurufen und die Situation zu melden. Klicken Sie nicht auf Pop-ups.

Verwenden Sie Passwörter mit Bedacht. Verwenden Sie für jedes Konto ein eindeutiges und sicheres Passwort. Abonnieren Sie Dienste, die Benutzer warnen, wenn Passwörter für ihre Konten im Web erscheinen, und ändern Sie sofort den Zugangscode, wenn sich herausstellt, dass er kompromittiert wurde.

Richten Sie die Multi-Faktor-Authentifizierung ein. Diese Funktion schützt das Konto zusätzlich, beispielsweise durch Einmalpasswörter. In diesem Fall müssen Sie jedes Mal, wenn Sie sich von einem neuen Gerät aus in Ihr Konto einloggen, zusätzlich zum Passwort einen vier- oder sechsstelligen Code eingeben, der Ihnen per SMS zugesandt oder in einer speziellen Anwendung generiert wird. Es mag nicht sehr praktisch erscheinen, aber dieser Ansatz schützt Sie vor 99% der häufigsten Angriffe. Denn auch wenn Betrüger das Passwort stehlen, können sie ohne Verifizierungscode immer noch nicht eintreten.

Verwenden Sie kennwortlose Anmeldemöglichkeiten. Bei diesen Diensten sollten Sie nach Möglichkeit vollständig auf die Verwendung von Passwörtern verzichten und sie durch Hardware-Sicherheitsschlüssel oder die Authentifizierung über eine Anwendung auf einem Smartphone ersetzen.

Verwenden Sie Antivirensoftware. Ein aktuelles Antivirenprogramm trägt zum Teil dazu bei, Ihren Computer vor Malware zu schützen, die auf Phishing-Sites umleitet oder Logins und Passwörter stiehlt. Denken Sie jedoch daran, dass Ihr Hauptschutz immer noch die Einhaltung der digitalen Hygieneregeln und die Einhaltung der Cybersicherheitsempfehlungen ist.

Wenn Sie ein Geschäft führen

Die folgenden Tipps werden auch für Unternehmer und Führungskräfte von Unternehmen hilfreich sein.

Mitarbeiter schulen. Erklären Sie den Untergebenen, welche Nachrichten zu vermeiden sind und welche Informationen nicht über E-Mail und andere Kommunikationskanäle gesendet werden sollten. Verbieten Sie Mitarbeitern, Firmenpost für persönliche Zwecke zu verwenden. Weisen Sie sie an, wie man mit Passwörtern arbeitet. Es lohnt sich auch, eine Richtlinie zur Nachrichtenaufbewahrung in Betracht zu ziehen: Sie können beispielsweise aus Sicherheitsgründen Nachrichten löschen, die älter als ein bestimmter Zeitraum sind.

Führen Sie Trainings-Phishing-Angriffe durch. Wenn Sie die Reaktion Ihrer Mitarbeiter auf Phishing testen möchten, versuchen Sie, einen Angriff vorzutäuschen. Registrieren Sie beispielsweise eine Postanschrift, die Ihrer ähnlich ist, und senden Sie Briefe davon an Untergebene mit der Bitte, Ihnen vertrauliche Daten zur Verfügung zu stellen.

Wählen Sie einen zuverlässigen Postdienst. Kostenlose E-Mail-Anbieter sind zu anfällig für geschäftliche Kommunikation. Unternehmen sollten nur sichere Unternehmensdienste wählen. Nutzer des Maildienstes Microsoft Exchange, der Teil der Microsoft 365-Suite ist, sind beispielsweise umfassend vor Phishing und anderen Bedrohungen geschützt. Um Betrügern entgegenzuwirken, analysiert Microsoft jeden Monat Hunderte von Milliarden E-Mails.

Stellen Sie einen Cybersicherheitsexperten ein. Wenn Ihr Budget es zulässt, finden Sie einen qualifizierten Fachmann, der Ihnen dauerhaften Schutz vor Phishing und anderen Cyber-Bedrohungen bietet.

Was tun, wenn Sie ein Phishing-Opfer sind?

Wenn Grund zu der Annahme besteht, dass Ihre Daten in falsche Hände geraten sind, handeln Sie sofort. Überprüfen Sie Ihre Geräte auf Viren und ändern Sie die Passwörter für Ihr Konto. Informieren Sie die Bankmitarbeiter, dass Ihre Zahlungsdaten möglicherweise gestohlen wurden. Informieren Sie die Kunden ggf. über das potenzielle Leck.

Um zu verhindern, dass sich solche Situationen wiederholen, wählen Sie zuverlässige und moderne Collaboration-Dienste. Am besten geeignet sind Produkte mit eingebauten Schutzmechanismen: Sie funktionieren so komfortabel wie möglich und Sie müssen keine digitale Sicherheit riskieren.

Microsoft 365 enthält beispielsweise eine Reihe intelligenter Sicherheitsfunktionen, einschließlich des Schutzes von Konten und Anmeldungen vor Kompromittierung mit einem integrierten Risikobewertungsmodell, kennwortloser oder mehrstufiger Authentifizierung, die keine zusätzlichen Lizenzen erfordert.

Darüber hinaus bietet der Service eine dynamische Zutrittskontrolle mit Risikobewertung und unter Berücksichtigung verschiedenster Bedingungen. Außerdem enthält Microsoft 365 integrierte Automatisierung und Datenanalyse und ermöglicht Ihnen außerdem, Geräte zu steuern und Informationen vor Lecks zu schützen.