Der Großteil der Phishing-E-Mails fiel bisher meistens dadurch auf, dass die Nachricht in schlechtem Deutsch verfasst war oder dass die Anrede sehr unpersönlich ("Sehr geehrter Kunde…") formuliert wurde. Mittlerweile gehen Kriminelle deutlich perfider und professioneller vor. Dafür tarnen sie sich – beispielsweise als „bekannte Kontakte“ wie eine Bank, als Vorgesetzter oder als Onlinehändler oder Lieferdienst, um entsprechende Zugangsdaten zu erbeuten und nutzen die unternehmens-eigene Signatur als zusätzliche Täuschung.
Die Angreifer leiten Sie häufig per Link zu gefälschten Webseiten, die sich zum Teil sehr perfekt als die Login Seite des Onlinedienstes tarnen, um dort die eingegebenen Daten „abzufischen“. Die Erfolgsquote dieser Versuche steht und fällt mit der Glaubwürdigkeit des Absenders. Grundsätzlich hilft eine „gesunde“ Einstellung an Misstrauen, um sich vor diesen Attacken zu schützen.
Im Normalfall wird ein Onlinedienst (Bank, Lieferdienst etc.) niemals per E-Mail nach Login-Daten fragen. Jede Anfrage in diese Richtung kann also mit hoher Wahrscheinlichkeit nur ein krimineller Versuch sein, die Logindaten zu erbeuten. Der beste Schutz vor solchen Angriffen ist es daher, auf solche E-Mails nicht zu reagieren und den verwendeten Onlinedienst auf einem anderen Weg zu kontaktieren und den Vorfall zu melden.
Für einen noch besseren Schutz bietet sich eine Multi-Faktor-Authentifizierung (MFA) an einzurichten. Hierbei wird neben dem Passwort noch ein zweiter Faktor geprüft. Dies kann beispielsweise die Zugriffsbestätigung über ein Smartphone (Authenticator App) oder ein Telefonanruf oder eine SMS sein, bei dem eine PIN abgefragt wird.
Als zusätzlicher Schutz kann auch eine Warnung in den eingehenden, externen Nachrichten eingebaut werden, die den Empfänger vor diesen Nachrichten warnt. Hier kann beispielswiese der die Warnung „Klicken Sie nicht auf Links oder öffnen Sie keine Anhänge! Es sei denn, Sie kennen den Absender und wissen, dass der Inhalt sicher ist.“ effizient helfen, für typischen Angriffen wie Phishing oder CEO-Fraud zu schützen.
Haben Sie Fragen zur Umsetzung? Wir unterstützen Sie bei Implementierung moderner Schutzmechanismen in Ihrem Unternehmen. Nutzen Sie unser Angebot eines kostenfreien Online-Termin zur ersten Analyse: Hier geht es zu unserem Kontaktformular oder rufen Sie uns einfach direkt unter +49 202 373231 60 an.
