Lesedauer 6 MinutenAuf Ihrem Weg zur Verbesserung Ihrer digitalen Sicherheit werden Sie möglicherweise auf bösartige Akteure stoßen, die versuchen, Ihre Sicherheitsziele zu untergraben. Wir bezeichnen diese bösen Akteure als Widersacher. Wenn ein Angreifer eine E-Mail oder einen Link sendet, der unschuldig aussieht, aber in Wirklichkeit bösartig ist, spricht man von Phishing.
http://s5cxkrtjnsw3jg52c2rxb2d2jjl3y4ph3eqz373pziq33cnqj6ripyqd.onion
Kurz-URL: https://tinyurl.com/alivendor
Ein Phishing-Angriff erfolgt normalerweise in Form einer Nachricht, die Sie dazu verleiten soll,:
http://dif6iv5fktquosdnarb7ripcg5fmk4eyz4ixjwbzfldawqwn743a4xqd.onion
Kurz-URL: Kurz-URL: http://tinyurl.com/the-alphabay
- auf einen Link zu klicken;
- ein Dokument zu öffnen;
- Software auf Ihrem Gerät zu installieren; oder
- Ihren Benutzernamen und Ihr Kennwort auf einer Website einzugeben, die den Anschein erweckt, legitim zu sein.
Phishing-Angriffe können Sie dazu verleiten, Ihre Passwörter preiszugeben, oder Sie dazu bringen, Malware auf Ihrem Gerät zu installieren. Angreifer können Malware verwenden, um Ihr Gerät fernzusteuern, Informationen zu stehlen oder Sie auszuspionieren.
Dieser Leitfaden hilft Ihnen, Phishing-Angriffe zu erkennen, wenn Sie sie sehen, und zeigt Ihnen einige praktische Möglichkeiten auf, wie Sie sich dagegen schützen können.
Arten von Phishing-Angriffen Anker-Link
Phishing für Passwörter (auch bekannt als Credential Harvesting)
Phisher können Sie dazu bringen, ihnen Ihre Kennwörter zu geben, indem sie Ihnen einen irreführenden Link schicken. Webadressen in einer Nachricht scheinen ein Ziel zu haben, führen aber zu einem anderen. Auf Ihrem Computer können Sie in der Regel die Ziel-URL sehen, wenn Sie mit dem Mauszeiger über den Link fahren. Links können aber auch mit ähnlich aussehenden Buchstaben getarnt werden oder mit Domänennamen, die nur einen Buchstaben von legitimen Domänennamen abweichen und Sie auf eine Webseite leiten, die scheinbar zu einem von Ihnen genutzten Dienst wie Gmail oder Dropbox führt. Diese gefälschten Anmeldebildschirme sehen oft so legitim aus, dass es verlockend ist, Ihren Benutzernamen und Ihr Passwort einzugeben. Wenn Sie dies tun, senden Sie Ihre Anmeldedaten an die Angreifer.
Bevor Sie also ein Passwort eingeben, sollten Sie einen Blick auf die Adressleiste Ihres Webbrowsers werfen. Dort wird der echte Domänenname der Seite angezeigt. Wenn er nicht mit der Seite übereinstimmt, bei der Sie sich einzuloggen glauben, fahren Sie nicht fort! Denken Sie daran, dass ein Firmenlogo auf der Seite keine Bestätigung dafür ist, dass sie echt ist. Jeder kann ein Logo oder Design auf seine eigene Seite kopieren, um Sie zu täuschen.
Manche Betrüger verwenden Websites, die wie bekannte Webadressen aussehen, um Sie zu täuschen: ht tps://wwwpaypal.com/ ist etwas anderes als https://www.paypal.com/. Ähnlich verhält es sich mit ht tps://www. pa ypaI.com/ (mit einem großen “i” anstelle eines kleinen “L”) im Gegensatz zu https://www.paypal.com/. Viele Menschen verwenden URL-Verkürzungen, um lange URLs leichter lesen oder tippen zu können, aber diese können auch dazu verwendet werden, bösartige Ziele zu verstecken. Wenn Sie eine verkürzte URL wie einen t.co-Link von Twitter erhalten, versuchen Sie, sie in https://www.checkshorturl.com/ einzugeben, um zu sehen, wohin sie wirklich führt.
Denken Sie daran, dass es leicht ist, E-Mails so zu fälschen, dass sie eine falsche Absenderadresse enthalten. Das bedeutet, dass die Überprüfung der scheinbaren E-Mail-Adresse des Absenders nicht ausreicht, um zu bestätigen, dass eine E-Mail wirklich von der Person gesendet wurde, von der sie zu stammen scheint.
Spearphishing
Die meisten Phishing-Angriffe werfen ein weites Netz aus. Ein Angreifer sendet möglicherweise E-Mails an Hunderte oder Tausende von Personen und behauptet, ein spannendes Video, ein wichtiges Dokument oder einen Rechnungsstreit zu haben.
Manchmal werden Phishing-Angriffe aber auch gezielt auf der Grundlage von Informationen durchgeführt, die der Angreifer bereits über eine Person hat. Dies wird als “Spearphishing” bezeichnet. Stellen Sie sich vor, Sie erhalten eine E-Mail von Ihrem Onkel Boris, die angeblich Bilder von seinen Kindern enthält. Da Boris tatsächlich Kinder hat und die E-Mail aussieht, als stamme sie von seiner Adresse, öffnen Sie sie. Wenn Sie die E-Mail öffnen, ist ein PDF-Dokument angehängt. Wenn Sie die PDF-Datei öffnen, zeigt sie vielleicht sogar Bilder von Boris’ Kindern an, aber sie installiert auch unbemerkt Malware auf Ihrem Gerät, mit der Sie ausspioniert werden können. Nicht Onkel Boris hat diese E-Mail geschickt, sondern jemand, der weiß, dass Sie einen Onkel Boris haben (und dass er Kinder hat). Das PDF-Dokument, auf das Sie geklickt haben, hat Ihren PDF-Reader gestartet, aber einen Fehler in dieser Software ausgenutzt, um seinen eigenen Code auszuführen. Es zeigte Ihnen nicht nur ein PDF-Dokument an, sondern lud auch Malware auf Ihren Computer herunter. Diese Malware könnte Ihre Kontakte abrufen und aufzeichnen, was die Kamera und das Mikrofon Ihres Geräts sehen und hören.
Die beste Möglichkeit, sich vor Phishing-Angriffen zu schützen, besteht darin, niemals auf Links zu klicken oder Anhänge zu öffnen. Doch dieser Ratschlag ist für die meisten Menschen unrealistisch. Im Folgenden finden Sie einige praktische Möglichkeiten, sich gegen Phishing zu schützen.
Wie Sie sich gegen einen Phishing-Angriff schützen können Anker-Link
Halten Sie Ihre Software auf dem neuesten Stand
Phishing-Angriffe, bei denen Malware eingesetzt wird, beruhen häufig auf Softwarefehlern, um die Malware auf Ihren Computer zu bringen. Sobald ein Fehler bekannt wird, veröffentlicht der Softwarehersteller in der Regel ein Update, um ihn zu beheben. Das bedeutet, dass ältere Software mehr öffentlich bekannte Fehler aufweist, die zur Installation von Malware genutzt werden könnten. Wenn Sie Ihre Software auf dem neuesten Stand halten, verringern Sie das Malware-Risiko.
Verwenden Sie einen Passwort-Manager mit automatischer Ausfüllung
Passwort-Manager, die Passwörter automatisch ausfüllen, behalten den Überblick darüber, zu welchen Websites diese Passwörter gehören. Während ein Mensch leicht durch gefälschte Anmeldeseiten getäuscht werden kann, lassen sich Passwort-Manager nicht auf die gleiche Weise austricksen. Wenn Sie einen Passwort-Manager verwenden (einschließlich des integrierten Passwort-Managers in Ihrem Browser) und dieser sich weigert, ein Passwort automatisch auszufüllen, sollten Sie zögern und die Website, auf der Sie sich befinden, noch einmal überprüfen. Besser noch: Verwenden Sie zufällig generierte Passwörter, so dass Sie gezwungen sind, sich auf das automatische Ausfüllen zu verlassen, und es weniger wahrscheinlich ist, dass Sie Ihr Passwort auf einer gefälschten Anmeldeseite eingeben.
Überprüfen Sie E-Mails mit Absendern
Eine Möglichkeit, um festzustellen, ob es sich bei einer E-Mail um einen Phishing-Angriff handelt, besteht darin, über einen anderen Kanal bei der Person nachzufragen, die die E-Mail angeblich gesendet hat. Wenn die E-Mail angeblich von Ihrer Bank gesendet wurde, klicken Sie nicht auf die Links in der E-Mail. Rufen Sie stattdessen Ihre Bank an oder öffnen Sie Ihren Browser und geben Sie die URL der Website Ihrer Bank ein. Wenn Ihr Onkel Boris Ihnen einen E-Mail-Anhang schickt, rufen Sie ihn an und fragen Sie ihn, ob er Ihnen Bilder von seinen Kindern geschickt hat, bevor Sie die E-Mail öffnen.
Öffnen Sie verdächtige Dokumente in Google Drive
Manche Menschen erwarten, dass sie Anhänge von unbekannten Personen erhalten. Journalisten zum Beispiel erhalten häufig Dokumente von Quellen. Aber es kann schwierig sein, zu überprüfen, ob ein Word-Dokument, eine Excel-Tabelle oder eine PDF-Datei nicht bösartig ist.
In diesen Fällen sollten Sie nicht auf die heruntergeladene Datei doppelklicken. Laden Sie sie stattdessen auf Google Drive oder einen anderen Online-Dokumentenleser hoch. Dadurch wird das Dokument in ein Bild oder in HTML umgewandelt, was mit ziemlicher Sicherheit verhindert, dass es Malware auf Ihrem Gerät installiert. Wenn Sie sich gerne mit neuer Software vertraut machen und bereit sind, Zeit in die Einrichtung einer neuen Umgebung zum Lesen von E-Mails oder fremden Dokumenten zu investieren, gibt es spezielle Betriebssysteme, die die Auswirkungen von Malware begrenzen. TAILS ist ein Linux-basiertes Betriebssystem, das sich nach der Benutzung selbst löscht. Qubes ist ein weiteres Linux-basiertes System, das Anwendungen sorgfältig voneinander trennt, so dass sie sich nicht gegenseitig stören können, was die Auswirkungen von Malware einschränkt. Beide sind für den Einsatz auf Laptops und Desktop-Computern konzipiert.
Sie können auch nicht vertrauenswürdige Links und Dateien an VirusTotal senden, einen Online-Dienst, der Dateien und Links mit verschiedenen Antivirenprogrammen überprüft und die Ergebnisse meldet. Dies ist zwar nicht absolut sicher – Antivirenprogramme versagen oft bei der Erkennung neuer Malware oder gezielter Angriffe -, aber es ist besser als nichts.
Jede Datei oder jeder Link, den Sie auf eine öffentliche Website wie VirusTotal oder Google Drive hochladen, kann von jedem eingesehen werden, der für dieses Unternehmen arbeitet, oder möglicherweise von jedem, der Zugriff auf diese Website hat. Wenn es sich bei den in der Datei enthaltenen Informationen um sensible oder vertrauliche Mitteilungen handelt, sollten Sie eine Alternative in Betracht ziehen.
Verwenden Sie bei der Anmeldung einen Universal-2-Faktor-Schlüssel (U2F)
Auf einigen Websites können Sie einen speziellen Hardware-Token mit erweiterten Funktionen verwenden, um Phishing-Versuche zu verhindern. Diese Token (oder “Schlüssel”) kommunizieren mit Ihrem Browser, um Anmeldedaten für die jeweilige Website zu erstellen. Dies wird Universal 2nd Factor oder “U2F” genannt, weil es eine Standardmethode ist, um eine zweite Authentifizierungsmethode – zusätzlich zu Ihrer Passphrase – bei der Anmeldung zu verlangen. Sie melden sich einfach normal an und verbinden (wenn Sie dazu aufgefordert werden) den Schlüssel mit Ihrem Computer oder Smartphone und drücken eine Taste, um sich anzumelden. Wenn Sie sich auf einer Phishing-Website befinden, weiß der Browser, dass er Sie nicht mit den auf der legitimen Website erstellten Anmeldedaten anmelden kann. Das heißt, selbst wenn ein Phisher Sie austrickst und Ihre Passphrase stiehlt, wird Ihr Konto nicht gefährdet. Yubico (ein Hersteller solcher Schlüssel) bietet weitere Informationen über U2F.
Dies sollte nicht mit der Zwei-Faktor-Authentifizierung im Allgemeinen verwechselt werden, die einen Phishing-Schutz bieten kann, aber nicht muss.
Seien Sie vorsichtig bei Anleitungen per E-Mail
Einige Phishing-E-Mails geben vor, von einer Computer-Support-Abteilung oder einem Technologieunternehmen zu stammen, und fordern Sie auf, Ihre Kennwörter anzugeben, einem “Computerreparateur” Fernzugriff auf Ihren Computer zu gewähren oder eine Sicherheitsfunktion Ihres Geräts zu deaktivieren. Die E-Mail kann eine angebliche Erklärung dafür liefern, warum dies notwendig ist, indem sie beispielsweise behauptet, dass Ihr E-Mail-Postfach voll ist oder dass Ihr Computer gehackt wurde. Leider kann die Befolgung dieser betrügerischen Anweisungen Ihre Sicherheit gefährden. Seien Sie besonders vorsichtig, bevor Sie jemandem technische Daten geben oder technische Anweisungen befolgen, wenn Sie nicht absolut sicher sein können, dass die Quelle der Anfrage echt ist.
Wenn Ihnen jemand eine verdächtige E-Mail oder einen verdächtigen Link schickt, sollten Sie ihn nicht öffnen oder anklicken, bis Sie die Situation mit den oben genannten Tipps entschärft haben und sicher sein können, dass er nicht bösartig ist.