Präventionsmaßnahmen gegen Phishing
Phishing-Attacken sind sehr vielseitig, technisch immer besser ausgeprägt und zunehmend schwerer zu erkennen. Dieser Artikel zeigt Ihnen, wie präventiver Schutz möglich ist und wie mit vermeintlichen Phishing-Versuchen umgegangen werden sollte.
Welche Verhaltensweisen und Sicherheitsvorkehrungen können vor Phishing schützen?
Als Grundregel gilt vor allem, dass keine seriösen Unternehmen und insbesondere keine Kreditkarteninstitute, Banken, Internet-Service-Provider oder Behörden Sie per E-Mail (u.a. weil E-Mails als nicht sonderlich sicher gelten) auffordern, vertrauliche Daten preiszugeben. Auch nicht – selbst wenn das oft suggeriert wird – um Ihre Sicherheit zu verbessern.
Im Folgenden sind drei Schritte für das richtige Verhalten bei vermeintlichem Phishing aufgelistet:
Schritt 1. Die wichtigste Schutzmaßnahme ist – in einem ersten Schritt – vordergründig, ganz egal welche Situation besteht, den Aufbau einer Stresssituation zu vermeiden und sich nicht unter Druck setzen zu lassen oder gutgläubig auf Forderungen einzugehen. Prüfen Sie kritisch.
Schritt 2. Als zweiter Schritt ist es sehr hilfreich, unbestellte Benachrichtigungen weitgehend zu ignorieren oder diese detailliert und besonders kritisch zu prüfen bevor gehandelt wird. Wenn etwas zu schön ist um wahr zu sein, dann ist das meistens auch der Fall.
Schritt 3. Grundsätzlich sollte jegliche Eingabe bzw. Übertragung sensibler Daten über das Internet kritisch gesehen werden. Prüfen Sie den Grund und Sinn, sowie die Absicherung der Übertragung.
Neben allgemeinen Präventionsmaßnahmen sind die anschließend dargestellten Schutzmaßnahmen gegen Phishing in drei Kategorien unterteilt:
- Eingeben sensibler Daten und Aufrufen von Webseiten
- Technische Schutzvorkehrungen gegen Phishing-Attacken
- Prüfen und melden verdächtiger Inhalte
Eingeben sensibler Daten und Aufrufen von Webseiten
- Eingeben vertraulicher Informationen ausschließlich auf vertrauenswürdigen Seiten, die im Idealfall mit ausreichend verschlüsselten Verbindungen (z.B.: SSL/TLS in aktueller Version) zwischen Webseite und Browser aufgebaut sind
- Keine Daten in Pop-Up-Fenster eingeben
- Keine Links in E-Mails anklicken, wenn sensible Daten einzugeben sind
- Einloggen (z.B.: Benutzername/Verfügernummer und Passwort) nur auf Seiten, die sie selbst in der Browserleiste eingegeben haben und nicht die mittels eines Links aus einer Nachricht (z.B.: E-Mail) geöffnet wurden.
- Überprüfen Sie Webseiten, die sie aufrufen (sogenannte „Landing-Pages“), ob es eine Navigationsleiste oder eine Adressleiste gibt. Identifizieren Sie inkorrekte Schreibweisen oder vom üblichen Ablauf abweichende Prozesse. Darüber hinaus können Sie die Verbindungs-Zertifikate (SSL/TLS) prüfen.
Technische Schutzvorkehrungen gegen Phishing-Attacken
- Aufbauen von VPN-Verbindungen. Damit können Sie verhindern, dass Angreiferinnen bzw. Angreifer Ihren Netzwerk-Verkehr überwachen und Sie unbemerkt auf eine Phishing-Webseite umleiten und auch Ihre Browser-Session wird damit geschützt.
- Laufend Sicherheitsaktualisierungen durchführen (Applikationen, Betriebssystem, Filter, Firewall, Firmware, Schutzprogramme vor Schadsoftware)
- Installieren, Aktivieren und konfigurieren von Schutzprogrammen wie u.a. Anti-Malware-Schutz, Filter und Firewalls
- Browser-basierte Tools zur Erkennung von Phishing-Angriffen sind neben konventionellen Schutzprogrammen besonders hilfreich. Diese Browserbasierte Werkzeuge zeigen entweder Statusinformationen zu sicherheitsrelevanten Informationen in der Browser-Leiste an, Reputationsinformationen (z.B.: aus Datenbanken von Dritten) oder stellen als vertrauenswürdig markierte Domänen erkennbar dar.
- Verwenden Sie Passwortmanager und verwenden für jedes Online-Service (z.B.: Online-Banking, Cloud-Service) ein eigenes Passwort unter Berücksichtigung der Passwort-Regeln.
- Einstellen von Mehrfaktorauthentifizierung (z.B.: zwei Faktoren aus Besitz, Wissen, Inhärenz) für den Login auf Online-Konten und die Freigabe von Transaktionen.
Prüfen und melden verdächtiger Inhalte
- Grundsätzlich kritische Würdigung von – insbesondere unbestellter – eingehender Kommunikation
- Vorsicht geboten ist bei Anrufen, Nachrichten oder eingehender Kommunikation, die Daten gewinnen will. Ganz besonders kritisch ist das, wenn es dabei um sensible Daten wie etwa Zugangsdaten geht.
- Prüfen Sie, ob eingehende Kommunikation überhaupt relevant bzw. plausibel ist – etwa ob ein Online-Service überhaupt von Ihnen genützt wird und ob die Anfrage sinnvoll erscheint.
- Verifizieren Sie verdächtige Kommunikation über offizielle Kanäle, die sie selbst recherchieren (z.B.: aufgedruckte Telefonnummer auf einer ausgegebenen Kreditkarte)
- Melden von auffälligen bzw. verdächtigen Webseiten, Nachrichten oder anderen Inhalten an die betroffenen Unternehmen bzw. Behörden
- Falls Sie merken, dass etwas seltsam ist, beenden Sie die Kommunikation sofort (z.B.: sehr persönliche Fragen)
Wenn jemand zum ersten Mal mit einem Phishing-Versuch konfrontiert wird oder Opfer einer solchen Attacke ist, fällt es nicht leicht, derartige Angriffe zu erkennen. Allerdings gibt es die Möglichkeit, die Erkennung solcher Attacken zu üben.
Wie kann ich mein Phishing-Wissen auffrischen und wo kann ich trainieren?
Um herauszufinden, ob Sie Phishing-Nachrichten von echten Nachrichten unterscheiden können, haben Sie die Möglichkeit, Phishing-Quizze durchführen. Das Quiz funktioniert auch mit erfundenen Daten (Name, E-Mail-Adresse):
Zusammenfassend ist Phishing zwar immer schwerer zu erkennen und technisch immer komplexer ausgestaltet. Wenn aber grundlegende Aspekte – die in diesem Artikel aufgelistet sind – berücksichtigt werden, sind mit Phishing-Angriffen verbundene Risiken reduzierbar.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria