![](\"https:\/\/sophos.files.wordpress.com\/2018\/12\/Screen-Shot-2018-12-13-at-12.34.37-PM.png\"\/)
<\/p>\nAktuelle Phishingwellen beweisen es \u2013 die Cyberkriminellen sind kreativ. Nun muss man sich zum Beispiel auch vor Phishing-SMS-Nachrichten in Acht nehmen: im Namen von DHL werden aktuell Kurznachrichten verschickt mit dem Hinweis, dass ein Paket im Verteilerzentrum liege und f\u00fcr zwei Euro dieses seinen Weg weiterf\u00fchren k\u00f6nne. \u00dcber einen Link soll der Empf\u00e4nger dann diesen Betrag bezahlen und wird dabei geschickt in eine Abonnentenfalle gelockt.<\/p>\n
Noch einmal die Kurzdefinition von Phishing: Cyberkriminelle legen das Opfer herein, damit dieses etwas auf elektronischem Weg preisgibt (was eigentlich nicht in fremde H\u00e4nde geh\u00f6rt). Auch wenn nach intensiver Aufkl\u00e4rung viele Nutzer offensichtliche Phishing-Attacken erkennen, so bleibt diese Art der Cyberkriminalit\u00e4t dennoch eine l\u00e4stige Gei\u00dfel. Denn Phishing-Attacken haben sich weiterentwickelt, jenseits von auffallender Grammatik, unpers\u00f6nlicher Ansprache oder sonstigen offensichtlichen Merkmalen. Heutzutage gilt gezieltes Phishing, so genanntes Spear-Phishing, als krimineller Standard. Die Angreifer betreiben viel Aufwand f\u00fcr jede einzelne E-Mail, um diese so echt und glaubw\u00fcrdig wie m\u00f6glich wirken zu lassen. Die personalisierten Daten daf\u00fcr zu beschaffen, ist einfacher, als man denkt und ein Gro\u00dfteil dieser Informationen wird automatisch generiert. Sophos hat effektive Tipps f\u00fcr Nutzer und die IT herausgearbeitet, wie man mit Phishing-Emails, die jenseits von \u201eLieber Kunde\u201c agieren, umgehen kann:<\/p>\n
HANDLUNGSEMPFEHLUNGEN F\u00dcR JEDEN NUTZER: Nicht von der Vielfalt an pers\u00f6nlichen Informationen beeinflussen lassen. Dringender Handlungsaufruf sollte misstrauisch machen. Den Details des E-Mailsenders nicht vertrauen. Niemals den Anweisungen in einer E-Mail folgen, wie man diese korrekt liest. Keine Angst vor einer zweiten Meinung HANDLUNGSEMPFEHLUNGEN F\u00dcR DIE IT-ABTEILUNG:<\/strong><\/p>\n Festlegen einer zentralen Kontaktstelle f\u00fcr Cybersecurity-F\u00e4lle Cybersicherheit sollte keine Einbahnstra\u00dfe sein. Phishing-Simulationen als Trainingslager
<\/strong><\/p>\n
<\/strong>Auch ein Unbekannter kann sich m\u00fchelos als \u201eInsider\u201c pr\u00e4sentieren. Der Freund eines Freundes, ein ehemaliger Kollege etc. Mit einer Kombination aus gesammelten Informationen (aus fr\u00fcherem Datendiebstahl, Social Media-Profilen und alten Emails, sei es als Empf\u00e4nger oder Sender) schafft es auch ein Krimineller ohne gro\u00dfe finanzielle Unterst\u00fctzung und technischen Verstand glaubw\u00fcrdiger zu klingen als jede \u201eLieber Kunde\u201c-Email.<\/p>\n
<\/strong>\u201eEin gro\u00dfer Anteil an E-Mail-Betrug funktioniert, weil die Betr\u00fcger das Vertrauen des Opfers erlangen oder sie sich als eine Autorit\u00e4t darstellen, zum Beispiel Vorgesetzte im Unternehmen, und dann den Trumpf des eiligen Handlungsbedarfs ausspielen\u201c, fasst Michael Veit, Sicherheitsexperte bei Sophos, die Erfolgsfaktoren von gezieltem Phishing zusammen. Die dringend zu erledigende Aufgabe kommt oft in Tateinheit mit Schmeicheleien, zum Beispiel, warum der Adressat f\u00fcr diese unfassbar wichtige Tat ausgew\u00e4hlt wurde und niemand anderes. \u201eVertraulich\u201c und \u201enur f\u00fcr den Adressaten bestimmt\u201c isolieren das Opfer zus\u00e4tzlich. Diese deutliche Vertraulichkeit sollte man als Nutzer nicht als umsichtig werten, sondern als verd\u00e4chtig einstufen.<\/p>\n
<\/strong>Man k\u00f6nnte der irrigen Auffassung unterliegen, dass die Betr\u00fcger alles daransetzen, das Opfer nicht zu ermutigen, sie genau unter die Lupe zu nehmen. Aber manchmal ist das Gegenteil der Fall, indem sie aktiv um R\u00fcckruf oder Antwort dr\u00e4ngen \u2013 als Teil des Betrugs. Damit gibt man ihnen aber genau die Gelegenheit, das Opfer mit ihren L\u00fcgen zu \u00fcberzeugen, und geht ihnen in die Falle. Ein Grund, warum Finanzinstitutionen ihre Notfall-Kontaktdaten auf der R\u00fcckseite der Bankkarten und an den Willkommen-Bildschirmen ihrer Geldautomaten platzieren, ist\u00a0 diese Quellen weitaus schwieriger zu manipulieren sind.<\/p>\n
<\/strong>\u201eEine \u00fcbliche List von Phishing-Betr\u00fcgern liegt im Verbergen von schadhaften Inhalten. Macros, Datenentwendende Software, ist ein solches Beispiel\u201c, konkretisiert Veit. \u201eDie harmlos erscheinende E-Mail wird mit einem Vorwort versehen, wie diese \u201ekorrekt\u201c anzusehen sei, indem man verschiedene Einstellungen ver\u00e4ndert. Normalerweise sind diese Instruktionen recht plausibel, aber die Betr\u00fcger locken den Adressaten so geschickt, dass gerade die Funktionen, die ihn sch\u00fctzen sollen, ausgehebelt werden.\u201c<\/p>\n
<\/strong>Das Vier-Augen-Prinzip ist nicht nur bei Rechtschreibung und Grammatik n\u00fctzlich, sondern auch bei der Bewertung omin\u00f6ser Phishing-E-Mails. Deswegen setzen die Betr\u00fcger auf den Vertraulichkeitseffekt, um diese Kontrolle zu umgehen.<\/p>\n
<\/strong>Viele Spear-Phishing-Angriffe sind erfolgreich, weil Mitarbeiter unbedingt das Richtige machen wollen in ihrem Verst\u00e4ndnis von hilfsbereitem Kundenservice. Niemand m\u00f6chte wom\u00f6glich riskieren, als der Ex-Kollege in die Unternehmenshistorie einzugehen, der dem wichtigsten Kunden ein \u201eVerschwinde\u201c entgegenbracht hat. Durch das Initiieren einer festen Report-Stelle, wie einer internen E-Mail-Adresse wie security-report@example.org gibt man den Mitarbeitern eine einfache M\u00f6glichkeit nach Sicherheitsrat zu fragen. Und zwar lieber BEVOR, statt nach einer verd\u00e4chtigen E-Mail.<\/p>\n
<\/strong>In den 1990er und 2000er Jahren galt oft das Mantra, dass Cybersecurity am besten bei der IT aufgehoben w\u00e4re, ausnahmslos. Diese Haltung aber kreiert eine Kultur, in der alles, was nicht seitens der IT blockiert ist, als sicher angenommen wird. Aber, auch bestgesch\u00fctzte Webseiten k\u00f6nnen angegriffen werden, und wenn einem Mitarbeiter etwas Auff\u00e4lliges ins Auge sticht, sollte man ihn ernst nehmen und nicht auf die IT-Hoheit verweisen. Besser einmal mehr vor- als nachgesorgt.<\/p>\n
<\/strong>Das Trainieren mit Phishing-E-Mails kann die Mitarbeit im Unternehmen unterst\u00fctzen. Es gibt mittlerweile explizite Trainings-Tools (wie Sophos Phish Threat), die Phishing-Attrappen ohne schadhafte Folgen zum \u00dcben verwenden. Wichtig ist, sie als Werkzeug zur Verbesserung und nicht zur Kontrolle zu verstehen. Denn die Betr\u00fcger werden nicht m\u00fcde, t\u00e4glich neue Nutzer zu Opfern immer weiter entwickelter Phishing-Attacken zu machen.<\/p>\n<\/p><\/div>\n