Ratgeber - Im Sport gibt es Angeln und Fangen, aber in der Welt des Phishing gibt es nur Fangen. In der Welt des Phishings gibt es nur das Fangen, d. h. ahnungslose Personen in einem Netz aus betrügerischen E-Mails zu fangen, ihr Vertrauen zu gewinnen und sie dazu zu bringen, private Informationen preiszugeben.
Phishing ist deshalb so schwer zu stoppen, weil es sich um eine raffinierte, wenig technisierte Masche handelt, die sich auf das Vertrauen der Menschen stützt. Phishing ist ein effektiver Identitätsdiebstahl für Einzelpersonen und katastrophal für Unternehmen. Ganze Netzwerke und jedes Gerät im Netzwerk sind gefährdet, wenn Unternehmens- und Kundendaten gestohlen und kompromittiert werden.
Wenn es um die Abwehr eines Phishing-Angriffs auf ein Unternehmen geht, sind Sie letztlich nur so sicher wie Ihr schwächstes Glied - Ihre Mitarbeiter. Mit Wissen und Wachsamkeit können Sie jedoch die Wahrscheinlichkeit verringern, Opfer eines Phishing-Angriffs zu werden.
Wie Phisher ihre Beute fangen
Phishing ist nicht neu; die Bedrohungen reichen bis in die 1990er Jahre zurück. Doch laut dem 2015 Data Breach Investigation Report von Verizon ist die Zahl der Phishing-Angriffe seit 2011 gestiegen. Die Studie ergab, dass selbst nach jahrelangen Warnungen 23 % der Empfänger eine Phishing-E-Mail öffnen und 11 % Anhänge öffnen.
Phishing ist ein Angriff, der darauf abzielt, das Vertrauen einer Person zu gewinnen oder ein Gefühl der Dringlichkeit zu erzeugen. Viele Phishing-E-Mails geben vor, von einer vertrauenswürdigen Quelle wie Facebook, Amazon oder PayPal zu stammen, und enthalten Links zu Seiten, die die echten Websites imitieren. Andere scheinen von Freunden und Bekannten zu stammen. Und die Betreffzeilen und der Text sind sehr überzeugend:
"Ihr Passwort ist kompromittiert und muss sofort aktualisiert werden".
"Dringend, überprüfen Sie jetzt Ihre Kontoinformationen".
"Haben Sie das schon gesehen?"
Wenn jemand auf den Link in der E-Mail klickt, wird entweder automatisch Malware auf das Gerät des Benutzers (oder schlimmer noch auf das Unternehmensnetzwerk) heruntergeladen, oder der Benutzer wird angewiesen, wichtige Informationen (Kontonummern, Kennwörter, sogar Kreditkartennummern) weiterzugeben. In den Sekunden, die es braucht, um zu klicken und die Daten weiterzugeben, ist der Schaden bereits angerichtet.
Heutzutage werden Phishing-Angriffe immer raffinierter. Einige nehmen die Form von Kampagnen an, die darauf ausgelegt sind, die Empfänger langsam, effizient und sicher anzulocken. Spear-Phishing ist die nächste Generation: Anstatt eine E-Mail zu verschicken und auf Ergebnisse zu hoffen, ist Spear-Phishing sehr zielgerichtet und darauf ausgelegt, Zugang zu sensiblen Daten eines bestimmten Unternehmens zu erhalten.
Phishing-Schutz für Ihr Unternehmen
Auch wenn die Low-Tech-Methode des Phishings eine Herausforderung darstellt, können Sie Maßnahmen ergreifen, um Ihr Unternehmen zu schützen.
Informieren Sie Ihre Mitarbeiter: Schulen Sie jeden Mitarbeiter darin, misstrauisch zu sein und im Zweifelsfall die Finger davon zu lassen. Warnen Sie sie, NIEMALS:
Klicken Sie auf Links oder laden Sie Anhänge herunter, wenn Sie sich der Quelle nicht sicher sind.
Reagieren Sie auf Pop-up-Fenster oder Weiterleitungen zu Websites, die nach Informationen fragen.
Geben Sie persönliche oder Unternehmensinformationen weiter.
Erstellen Sie eine Unternehmensrichtlinie: Beschränken Sie zum Beispiel den Zugang zu wichtigen Kundendaten und Kreditkartennummern. Fordern Sie Ihre Mitarbeiter auf, Passwörter etwa alle 60 Tage zu ändern.
Verschlüsseln Sie sensible Daten: Installieren Sie eine Verschlüsselungssoftware, so dass E-Mails oder Kundendaten im Falle eines Angriffs ohne den Schlüssel unbrauchbar sind.
Schützen Sie Ihre On-Premise-Systeme: Die Installation von Spam-Filtern, Anti-Virus, Anti-Spyware und Firewalls ist nicht ausfallsicher. Diese Vorkehrungen können jedoch dazu beitragen, die Anzahl der Phishing-E-Mails zu reduzieren, die zu den Mitarbeitern durchdringen, und so die Auswirkungen der in das Netzwerk heruntergeladenen Malware zu minimieren. Auch ein gutes und gratis VPN schützt sie vor Angriffen, indem es ihr Firmennetzwerk verschlüsselt.
Überwachen Sie Ihre Konten: Da Phishing eine stille Bedrohung ist, müssen Sie Ihre Systeme und Konten regelmäßig auf unregelmäßige Aktivitäten überprüfen.
Aktualisieren Sie Ihre Software regelmäßig: Sobald neue Bedrohungen auftauchen, geben Softwarehersteller Updates und Patches heraus. Es ist wichtig, dass Sie Ihre Browser-, Sicherheits- und Anwendungssoftware auf dem neuesten Stand halten.
https-ProtokollVerwenden Sie sichere Kommunikationsprotokolle: Wenn Sie Kreditkarten- und Kontoinformationen online übermitteln müssen, achten Sie auf https: in der Adresszeile des Browsers. Dies bedeutet, dass die Website das Hypertext Transfer Protocol über Secure Socket Layer verwendet, um die gesendeten Daten zu verschlüsseln.
Installieren Sie Google Password Alert: Um Phishing für Ihre Gmail- und Google for Work-Konten zu verhindern, hat Google eine Chrome-Browsererweiterung namens Password Alert entwickelt. Google schätzt, dass 2 Prozent aller E-Mails an Google Mail Phishing-Versuche sind und arbeitet daran, gefälschte Google-Anmeldeseiten zu erkennen. Wenn Sie Ihr Google Mail-Passwort jedoch irgendwo anders als auf accounts.google.com eingeben, weist Google Sie darauf hin, dass Sie Ihr Passwort ändern sollten.
Speichern Sie kritische Daten außerhalb des Standorts: Wenn Sie Cloud-basierte Dienste fragen Sie nach den Netzwerksicherheitsprotokollen. dl
