Aktualisierungen im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy Handbuch

Phishing ist eine der großen Plagen im Internet. Der Lagebericht des BSI zur IT-Sicherheit 2017 nennt diese Angriffe als zweit­größte Gefahr nach den Erpressungstrojanern. Es gibt dabei verschiedene Intentionen der Angreifer, um die Kontrolle über einen Account zu erlangen:

Beispiele für Phishing E-Mails

  1. "Das Passwort für Ihren Account wurde kompromittiert!"
  2. "Ihr Account muss neu verifiziert werden, bitte loggen Sie sich ein und..."
  3. "Ihr Konto wurde/wird (temporär) deaktiviert, wenn Sie nicht sofort..."
Professionelle Phishing Mails sind dem Design der originalen E-Mails sehr gut nachgemacht und für Laien schwer erkennbar. IT-Profis könnten sich die Header der Mails anschauen oder die Links genauer prüfen, aber das möchte man auch nicht für jede E-Mail ständig machen. Deshalb gibt es keine weitere Ratschläge für diesen Ansatz.

Schutz gegen Phishing Angriffe

Eine E-Mail ist ein freundlicher gemeinter Hinweis oder eine Information - mehr nicht.

  1. Was immer in einer E-Mail gefordet wird (Account verifizieren, kompromittiertes Passwort ändern, AGBs zustimmen oder irgendwas bestätigen…) kann man bei allen Webdiensten wie Google, Amazon, PayPal oder was auch immer nach dem Login auf der Webseite machen.

  2. Wenn man beim Lesen einer E-Mail zu dem Schluss kommt, dass Handlungsbedarf bestehen könnte, kann man die Webseiten aufrufen, aber IMMER (insbesondere zur Eingabe von Login Credentials) über Lesezeichen oder durch Eingabe der URL per Hand im Browser.

    Man sollte NIE auf die Link Buttons in irgendwelchen E-Mails klicken, um Login-Seiten für Accounts auszurufen. Dabei ist es egal, wie vertrauenswürdig eine Mail aussieht.

    Es ist verführerisch einfach, schnell mal auf den Button oder Link zu klicken, wenn die Phishing Mail gut gemacht ist. Aber es ist auch nicht viel komplizierter, ein Lese­zeichen oder die URL aus einem Passwort­manager wie KeePassX aufzurufen.

  3. Außerdem kann man 2-Faktor-Auth. für wichtige Accounts nutzen, wenn der Webdienst es unterstützt. Das erschwert einfache Phishing Angriffe. (Es gibt allerdings bereits technisch ausgefeiltere Angriffe, die auch die 2-Faktor-Auth. mit OTP Token aushebeln können.)

Wenn man diese Regeln beherzigt, ist man gegen Phishing Angriffe gut geschützt.

Lizenz: Public Domain