Es meldet sich ein freundlicher Bankmitarbeiter auf der anderen Seite.
Er kennt Ihren Kontostand. Er kennt Ihre letzten Aktivitäten
Ihm seien verdächtige Überweisungen aufgefallen. Er fragt, ob er sie stoppen soll. Sie bejahen es und geben zur Identifikation Ihrer Identität eine TAN durch. In diesem Moment schnappt die Falle zu.
Unser IT-Sicherheitsexperte Florian Hansemann hat vor Kurzem bei einem Kabel 1 Beitrag rund um das Thema Phishing und Social Engineering mitgewirkt. In diesem Beitrag wollen wir Ihnen das wichtigste hierzu kurz und bündig zusammenfassen.
What is phishing?
Unter Phishing versteht man eine Art des Social Engineerings, bei welcher man sich als vertrauenswürdiger Kommunikationspartner ausgibt. In Form von gefälschten Websites und E-Mails werden so private Daten wie Passwörter erlangt.
Während die Sicherheit von IT-Infrastruktur und Software immer weiter zunimmt, bleibt der Mensch die größte Schwachstelle. Weshalb aufwendig eine Schwachstelle in der Software suchen, wenn das Opfer einem die Zugänge auch freiwillig überreicht?
Um auf das Beispiel vom Anfang zurückzukommen. Was ist wohl zuvor passiert? Woher kennt der Angreifer die Kontodaten des Opfers? Wie kann er von der Nummer der Bank aus anrufen? Die Erklärung findet sich im Phishing und Spoofing. Vor dem eigentlichen Anruf kam es zu einem Phishing Angriff per E-Mail. Über eine vertrauenserweckende E-Mail wurden die Zugangsdaten des Opfers zum Konto gewonnen. Nur so konnte das entsprechende Vertrauen im Telefonat hergestellt werden. Unter dem Begriff des Spoofing versteht man eine Täuschungsmethode. Der Angreifer hat so die Telefonnummer der Bank anzeigen lassen.
How can you protect yourself from phishing and spoofing?
Doch wie können Sie sich vor solch einem Angriff schützen? Key hierbei ist die Awareness. Seien Sie sich bewusst, das es jederzeit zu solch einem Angriff kommen kann. Fragen Sie sich immer, ob das Gegenüber wirklich vertrauenswürdig ist.
Bei Anrufen von der Bank tätigen Sie einfach einen Rückruf. Das ist die einzige Möglichkeit, solch ein Spoofing von Telefonnummern zu entdecken. Bei Websites und E-Mails gilt es sich immer zu fragen, ob die Domain bzw. die vollständige Adresse des Absenders einwandfrei geschrieben sind. Klicken Sie niemals auf verdächtige Links oder Anhänge in E-Mails.
Als Firma gibt es Mittel und Möglichkeiten, die Awareness der Mitarbeiter für Phishingangriffe zu erhöhen. Kommen Sie hierzu einfach unverbindlich auf uns zu (https://hansesecure.de/security-awareness/).
Hier geht es zum vollständigen Beitrag auf Kabel 1:
Update:
Now there is also the video on Youtube without registration 😉
