Online-Schulung Phishing
18. Mai 2020

Wer angelt denn da? Phishing in Ihrem Unternehmen

Woher kommt der Begriff Phishing?

Phishing ist ein englisches Kunstwort, auf Deutsch lässt es sich ungefähr übersetzen mit: „nach Passwörtern angeln“. 

Man versteht darunter den kriminellen Versuch, über Webseiten, E-Mails oder Chat Nachrichten Daten einer Person abzufangen und sie zu schädigen.

Was ist ein Phishing-Angriff?

Phishing kann verschiedene Ziele haben: Passwörter oder TAN-Nummern für das Onlinebanking erschleichen, Computer mit Schadsoftware infizieren oder Menschen dazu bringen, Geld an Betrüger zu überweisen.

Phishing ist zurzeit das größte Problem für die IT-Sicherheit, denn die gefährlichen Nachrichten können leicht verbreitet werden. Und da wir alle nur Menschen sind, fällt leider immer wieder jemand darauf herein.

Welche Arten von Phishing gibt es?

Phishing hat viele Gesichter und kann über viele Wege zu einem gelangen. Meistens handelt es sich um harmlos aussehende E-Mails. Wenn es sehr professionell gemacht wird, schickt zum Beispiel ein Kollege einen vermeintlichen Arbeitsauftrag.

Oftmals meldet sich auch ganz unvermittelt der Geschäftsführer oder ein Vorgesetzter mit einem Arbeitsauftrag oder einer Anweisung eine Zahlung zu leisten. Eine Phishing-Mail kann allerdings auch so aussehen, als würde sich ein Soziales Netzwerk mit einer Benachrichtigung melden. Diese Nachrichten haben meistens das Ziel, das Passwörter auf falschen Webseiten eingegeben werden.

Was soll erlangt werden?

Ziel der Hacker ist es, an Daten der Nutzer zu gelangen, die Sie für sich nutzen können. Das können zum Beispiel folgende Daten sein: 

  • Zugangsdaten zu Social Media oder Online-Accounts
  • Zahlungsinformationen wie Kreditkartendaten
  • Zugangsdaten zu Systemen

So erkennen Sie eine Phishing E-Mail

Phishing erkennen und Mitarbeiter und Unternehmen schützen

Was tun, wenn ich Opfer von Phishing wurde? Was ist wenn ich eine Phishing Mail geöffnet habe?

Melden Sie Auffälligkeiten. Es ist allen mehr geholfen, wenn Sie ein Problem nicht verheimlichen. Kehren Sie Vorkommnisse nicht unter den Teppich. Auch wenn Sie sich nicht sicher sind, ob wirklich etwas passiert ist, melden Sie den Vorfall. Kopieren Sie keine Dateien mehr, wenn Ihr Rechner sich merkwürdig verhält. Wichtig ist ganz besonders, dass sie dokumentieren, was passiert ist.

Mehr Informationen zur Prävention von Phishing in Ihrem Unternehmen finden Sie in der  lawpilots Schulung Phishing abwehren.

Phishing vorbeugen?

Sie können Phishing nicht wirklich verhindern. Diese Nachrichten erhalten Sie meistens trotz einem guten SPAM-Filter. Sicheren Schutz gegen Phishing-Attacken haben Sie nur, wenn Mitarbeiter geschult sind und wissen, welche Gefahren hinter vermeintlich harmlosen E-Mails stecken.

Social Media Phishing:

Was ist Social Media Phishing?

Social Media Phishing ist eine spezielle Art von Phishing, bei der Nutzern vermeintliche E-Mails von sozialen Netzwerken, wie Facebook, Twitter etc. geschickt werden. Die Hacker nutzen dabei das Layout und Design der Sozialen Medien und wollen Nutzer bestmöglich täuschen, sodass sie auf Links oder Dateien klicken. Hinter diesen Dateien oder Links stecken zum Beispiel gefälschte Webseiten, auf denen Daten eingegeben werden sollen.

Wie sieht Social Media Phising aus?

Meistens handelt es sich dabei um E-Mails, die im Design des sozialen Netzwerks gehalten sind und zu Handlungen auffordern, die das Konto auf dem sozialen Medium schützen sollen.

Beispiele für Social Media Phishing

In der Betreffzeile nutzen die Hacker meistens bekannte soziale Netzwerke. Gut funktionieren allerdings auch Nachrichten, in denen ein Freund die Person vermeintlich auf einem Bild markiert hat. Nachrichten in denen Benachrichtigungen zu Anmeldungen enthalten sind, werden außerdem häufig geklickt. Seltener klicken Nutzer auch auf Nachrichten, die dazu auffordern das Passwort zurückzusetzen.

Was meinen Sie?

Handelt es sich bei unserem Beispiel um eine Phishing E-Mail, oder können Sie hier bedenkenlos auf “Passwort ändern” klicken?

Dieses Beispiel ist wirklich schwierig. Auf den ersten Blick scheint diese E-Mail sicher zu sein. Hierbei handelt es sich allerdings um eine Social-Media-Phishing-E-Mail. Hinweise dafür? Die seltsame Absender-E-Mail, oder der komische Link, der hinter dem Button “Passwort ändern” steckt.

Mobile-Banking-Phishing:

Phishing beim Mobile-Banking ist das aktuell lukrativste Phishing-Modell. Bei dieser Art von Phishing sollen die Zugangsdaten von Mobile Banking Accounts abgefischt werden. Ziel ist es Überweisungen von Geld auf andere Konten vorzunehmen. Mit diesen goldenen Regeln schützen Sie sich und Ihre Mitarbeiter:

Goldene Regeln vom Bundesamt für Sicherheit in der Informationstechnik (BSI):

  1. Verwenden Sie kein gerootetes / gejailbreaktes mobiles Gerät zum Mobile Banking.
    .
  2. Halten Sie ihr mobiles Gerät hinsichtlich Betriebssystem etc. auf dem aktuellsten Stand.
    .
  3. Installieren Sie die entsprechende Software (Banking App) nur von vertrauenswürdigen Quellen – Ihrer Bank oder Ihrem bekannten App-Store. Installieren Sie Softwareupdates, sobald sie verfügbar sind.
    .
  4. Überlegen Sie genau, ob Sie eine multibankfähige App wählen, um mehrere Konten bei verschiedenen Banken unter Verwendung von Sonderfunktionen mit nur einer Anwendung nutzen zu können. Durch die mögliche Verknüpfung der verschiedenen Kontenbewegungen mit Nutzungs- und Standortdaten besteht die Gefahr der Bildung von Nutzungsprofilen.
    .
  5. Sichern Sie die Banking-App mit einem komplexen Passwort. Nutzen Sie dabei die von der Bank angebotene starke Kundenauthentifizierung (Strong Customer Authentisierung).
    .
  6. Schließen Sie nicht einfach die App, sondern melden sich in der Banking-Anwendung korrekt über den Button „Logout“ oder „Abmelden“ ab.
    .
  7. Geben Sie Ihre PIN/TAN für das Banking-Konto nicht an Dritte weiter. Speichern Sie PIN und TAN auch nie als getarnte Telefonnummern oder Geburtsdaten im Gerät.
    .
  8. Nutzen Sie die Sperrfunktion Ihres mobilen Gerätes. Das Gerät kann so erst nach Eingabe eines Codes oder Nutzung der biometrischen Sperrfunktionen wieder genutzt werden.
    .
  9. Lassen Sie bei Verlust des mobilen Gerätes unverzüglich Ihre SIM-Karte und alle Zugänge zu Ihren hinterlegten Bankkonten sperren.
    .
  10. Überprüfen Sie regelmäßig Ihre Kontobewegungen und informieren Sie Ihre Bank, wenn Ihnen etwas nicht richtig erscheint.
    .
  11. Nutzen Sie keine öffentlichen Netzwerke bzw. (öffentlichen) WLAN Hotspots, wenn Sie Mobile Banking verwenden.
    .
  12. Aktivieren Sie Bluetooth, NFC, WLAN nur bei Gebrauch, um es Angreifern zu erschweren, eine Verbindung mit dem mobilen Gerät herzustellen. Sie können die Funktionen in den Schnelleinstellungen aus- und einschalten.

Goldene Regeln zu sicherem Mobile-Banking entnommen vom: Bundesamt für Sicherheit in der Informationstechnik (BSI)

26. Mai 2020
lawpilots-Umfrage zu Corona und zur Arbeit im Homeoffice
20. April 2020
Mehr Komfort bei der Schulungsverwaltung

Newsletter abonnieren

Rufen Sie uns an oder schreiben Sie uns:

+49 (0)30 22 18 22 80
[email protected]

Andreas Grau
Relationship Manager & sein Team sind
Mo – Fr von 8:30 – 18:00 Uhr für Sie da.

Abonnieren Sie unseren monatlichen Newsletter (mit Infos zu unseren Schulungen, Fachartikeln und Veranstaltungen). Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Ihre Angaben werden selbstverständlich vertraulich behandelt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.