So können Sie sich vor Phishing-Angriffen schützen

By January 20, 2016 Unkategorisiert No Comments

Sie denken, dass Phishing-Angriffe ein Ding der Vergangenheit sind? Falsch gedacht. Trotz intelligenter E-Mail-Spamfilter ist die Zahl der gemeldeten Phishing-Fälle laut der Anti-Phishing Working Group im letzten Quartal 2014 um 18 Prozent gestiegen, und Sicherheitsexperten prognostizieren, dass sich dieser Trend auch 2016 fortsetzen wird.

Phishing ist nach wie vor eine beliebte Methode, um sich vertrauliche Informationen wie Passwörter, Sicherheitscodes und Kreditkartennummern zu erschleichen oder Malware auf private Geräte und in Unternehmenssysteme einzuschleusen. Selbst LastPass-Konten könnten Ziel eines Phishing-Angriffs werden. Um sich vor Phishing-Versuchen zu schützen, muss nicht nur die genutzte Software intelligenter arbeiten, sondern auch wir selbst müssen besser informiert sein, um als erste „Verteidigungslinie“ zu agieren.

In diesem Beitrag erfahren Sie, was LastPass zur Bekämpfung von Phishing-Angriffen tut, und wie Sie derartige Angriffe leichter erkennen und Ihre vertraulichen Daten schützen können, falls es Sie unvorbereitet trifft.

Was ist Phishing?

Es gibt viele verschiedene Arten von Phishing-Angriffen. Zum einen wären da die E-Mails, die angeblich von Ihrer Bank stammen und Informationen zu Ihren Kontoaktivitäten anfordern. Zum anderen die falschen Rechnungen, in denen Sie aufgefordert werden, zur Bestätigung Ihres Kaufs ein angehängtes Dokument herunterzuladen. Oder die Angreifer veröffentlichen bösartige Werbeanzeigen oder Links in Social Media. Vielleicht gehen sie sogar so weit, Sie auf eine Anmeldeseite weiterzuleiten, die eine nahezu identische Kopie einer bekannten Website ist, der Sie vertrauen.

Das sogenannte Spear-Phishing geht sogar noch weiter und greift Sie persönlich an. Dabei erhalten Sie E-Mails, die angeblich von einem Ihrer Kollegen oder Vorgesetzten stammen – oder von Ihrer IT-Abteilung. Die Angreifer nutzen die über Sie in Erfahrung gebrachten Informationen, um ihr Anliegen glaubwürdig erscheinen zu lassen. Ziel dabei ist es, sich weitere Informationen zu erschleichen oder Sie dazu zu bringen, eine schädliche Datei herunterzuladen oder Geld zu überweisen.

So erkennen Sie Phishing-Angriffe

Viele Phishing-Angriffe sind simpel und leicht zu durchschauen, aber manche sind weitaus ausgeklügelter und erfordern eine gute Portion Skepsis, um verdächtige E-Mails, Links und Benachrichtigungen zu erkennen. So identifizieren Sie einfache Phishing-Angriffe:

  • URL überprüfen: Sehen Sie in der Adressleiste der Website nach, die Sie geöffnet haben, oder bewegen Sie die Maus über den verdächtigen Link, um die unten links in Ihrem Browser angezeigte URL zu überprüfen. So können Sie herausfinden, ob es sich um eine vertrauenswürdige oder eine betrügerische URL handelt, bevor Sie darauf klicken. Bei LastPass sehen Sie beispielsweise immer https://lastpass.com oder https://subdomain.lastpass.com. Eine Phishing-URL hingegen könnte so aussehen: http://lastpass.otherdomain.com. In diesem Fall heißt die Domain in Wirklichkeit „anderedomain.com“ und sollte gemieden werden.
    Image credit: Lifehacker

    Image credit: Lifehacker

  • Empfänger überprüfen>: Seien Sie skeptisch, wenn eine E-Mail keine Anrede hat oder mit „Sehr geehrter Kunde“ beginnt. Die meisten Händler sprechen Sie heutzutage mit Ihrem Namen an. Spear-Phishing-Angriffe zielen allerdings häufig auf Sie persönlich ab, also können Sie sich nicht immer auf diesen Tipp verlassen.
  • Website manuell aufrufen: Wenn Sie sich nicht sicher sind, öffnen Sie einfach eine neue Registerkarte oder ein neues Browserfenster und geben Sie die URL manuell ein (bzw. rufen Sie sie von Ihrem Passwort-Manager aus auf). So können Sie sichergehen, dass Sie eine legitime Website besuchen.Screen Shot 2016-01-20 at 9.14.38 AM (2)
  • Überprüfen, ob der Passwort-Manager Ihre Zugangsdaten kennt: LastPass trägt zum Schutz vor Phishing-Angriffen bei, indem es die Login-Felder auf einer gefälschten Website nicht automatisch mit Ihren Zugangsdaten ausfüllt. Da die Domain nicht mit der in LastPass gespeicherten Domain übereinstimmt, werden Ihre Daten nicht vervollständigt. Überprüfen Sie in diesem Fall die URL.
  • Innehalten, wenn Sie gedrängt werden: Jede Nachricht, die Sie zum sofortigen Handeln auffordert, könnte ein Trick sein, Sie zu einer unbedachten Handlung zu bewegen.
  • Hinterfragen: Habe ich diese Person gebeten, mir einen Anhang zu schicken? Ist dies etwas, das für diese Person untypisch ist? Bleiben Sie im Zweifelsfall skeptisch und fragen Sie nach.
  • Nach HTTPS:// und dem Schloss Ausschau halten: Kontrollieren Sie beim Besuch einer Website immer in der Adressleiste, ob Sie über HTTPS darauf zugreifen (d. h. es besteht eine sichere Verbindung) und ob das Symbol mit dem Vorhängeschloss zu sehen ist (d. h. die Website wurde von einer unabhängigen Sicherheitsorganisation verifiziert). Screen Shot 2016-01-20 at 9.16.41 AM (2)

Wenn Phishing-Angriffe auf Ihren Passwort-Manager abzielen

Phishing-Angriffe sind heutzutage nicht mehr auf bösartige E-Mails, Werbeanzeigen oder Links in Social Media beschränkt. Manche können sogar auf Ihre Browser-Erweiterungen abzielen und beispielsweise Ihren Passwort-Manager nachahmen.

So ist es etwa möglich, dass eine bösartige Website Ihre Browser-Erweiterung imitiert und Ihnen Benachrichtigungen anzeigt, die Informationen wie Ihren Benutzernamen, Ihr Passwort und Ihren Code für die Zwei-Faktor-Authentifizierung anfordern. Unter Umständen ist es schwer zu erkennen, dass die Benachrichtigungen in Wirklichkeit von einer bösartigen Website stammen und nicht von Ihrer Browser-Erweiterung.

So schützt Sie LastPass vor Phishing-Angriffen

  • Warnen, wenn das Master-Passwort auf einer fremden Seite eingegeben wird: Jedes Mal, wenn Sie versuchen, Ihr Master-Passwort auf einer LastPass-fremden Seite einzugeben, warnt LastPass Sie ausdrücklich – noch bevor Sie das Passwort abschicken. So wissen Sie sofort, dass Ihr Master-Passwort möglicherweise kompromittiert wurde, und können es ändern.
  • Verifizierung für Logins von unbekannten Orten oder Geräten anfordern: Wenn Sie versuchen, sich von einem unbekannten Ort oder über ein unbekanntes Gerät anzumelden, führt LastPass eine Verifizierung durch. Sollten Sie also Ihr Master-Passwort und Ihre Daten für die Zwei-Faktor-Authentifizierung unabsichtlich auf einer gefälschten Website eingeben, so würden sämtliche Versuche der Angreifer, diese Daten zu nutzen, durch die E-Mail-Verifizierung zunichte gemacht. Der Angreifer müsste sich auch Zugriff auf Ihr E-Mail-Konto verschaffen. Sie können dieses Risiko mindern, indem Sie für Ihr E-Mail-Konto ebenfalls die Zwei-Faktor-Authentifizierung verwenden. Falls Sie eine Verifizierungsanfrage erhalten, die nicht von Ihnen ausgeht, dann können Sie sie beruhigt ignorieren und Ihr Master-Passwort in den Kontoeinstellungen Ihres LastPass-Vaults aktualisieren.
  • Abmeldung verhindern: Auch wenn eine bösartige Seite unter Umständen eine gefälschte LastPass-Benachrichtigung anzeigt, dass Sie abgemeldet wurden und sich erneut anmelden müssen, wurden Sie möglicherweise nicht abgemeldet. Überprüfen Sie daher, ob Sie noch immer bei der LastPass-Erweiterung angemeldet sind, und melden Sie sich nur über diese Erweiterung an.

Zusätzlich zu diesen Sicherheitsvorkehrungen haben wir außerdem Google und andere Browseranbieter gebeten, uns beim Schutz der Anwender zu unterstützen, indem sie sichere Möglichkeiten zur Anzeige von Benachrichtigungen außerhalb des Anzeigebereichs des Browsers bieten.

So können Sie zum Schutz Ihres LastPass-Kontos beitragen

Abgesehen von unseren Sicherheitsmaßnahmen können auch Sie zum Schutz Ihres Vaults beitragen, indem Sie sich an folgende Empfehlungen halten:

  • Immer über die LastPass-Erweiterung anmelden. Der sicherste Weg, sich bei LastPass anzumelden, ist, in der Symbolleiste des Browsers auf das Symbol der LastPass-Erweiterung zu klicken.  Screen Shot 2016-01-20 at 9.24.22 AM (2)
  • Master-Passwort nicht mehrmals verwenden. Wenn Sie Ihr Master-Passwort auch anderswo verwenden, steigt die Gefahr, dass sich jemand Zugriff auf Ihren Vault verschaffen könnte. Verwenden Sie das Master-Passwort für LastPass daher immer nur für LastPass und beherzigen Sie unsere Warnung, wenn Sie dieses auf einer anderen Seite als der Anmeldeseite von LastPass eingeben.
  • Darauf achten, von wo Sie LastPass herunterladen. Laden Sie LastPass immer nur von LastPass.com oder aus dem offiziellen Add-on-Store Ihres Browsers bzw. Gerätes herunter. Verwenden Sie keine fremden Download-Websites und lassen Sie auch in den Add-on-Stores Vorsicht walten – es könnten Add-ons gelistet sein, die wie LastPass aussehen, aber von einem anderem Herausgeber veröffentlicht wurden und keine Bewertungen haben.
  • Master-Passwort nie weitergeben. Das LastPass-Team fragt Sie nie nach Ihrem Master-Passwort. Seien Sie misstrauisch, wenn sich jemand als Mitarbeiter von LastPass ausgibt und Sie um Ihr Master-Passwort bittet. Teilen Sie Ihr Passwort nie anderen Personen mit.
  • Zwei-Faktor-Authentifizierung nutzen. Good security is all about layers of protection that mitigate risk. Zwei-Faktor-Authentifizierung müssen Sie eine zweite Angabe machen, bevor Sie auf Ihr Konto zugreifen können. Diese Methode ist zwar keine Wunderwaffe, steuert aber wesentlich zum Schutz Ihres Kontos bei.
  • E-Mail-Konto mit starkem Passwort und Zwei-Faktor-Authentifizierung schützen. Ihr E-Mail-Konto enthält oft die Schlüssel zu Ihrem Königreich. Schützen Sie es so, als würde Ihr digitales Leben davon abhängen – denn vielleicht tut es das wirklich. LastPass kann ein starkes, aber dennoch „aussprechbares“ Passwort für Ihr E-Mail-Konto generieren, das Sie sich merken können. Und Sie sollten die Zwei-Faktor-Authentifizierung stets aktivieren, wenn dies von Ihrem E-Mail-Provider angeboten wird.

Die Sicherheit im Internet erfordert einen kontinuierlichen Einsatz von uns allen. In diesem Sinne verbessern wir von LastPass unser Produkt laufend, um neu aufkommende Bedrohungen zu bekämpfen, und arbeiten mit Experten der Sicherheitsforschung zusammen, um es noch sicherer zu machen. Gleichzeitig muss jeder Benutzer aber auch sein Bestes tun und sich an empfohlene Vorgehensweisen für mehr Sicherheit halten.