Phishing: Schützen Sie sich vor Trickbetrug im Internet

Das Internet ist sicher kein Neuland mehr für Sie, und wahrscheinlich fallen Sie auf betrügerische E-Mails nicht mehr so leicht herein, zumindest nicht auf „Nigeria Connection“ und Konsorten. Doch können Sie auch raffiniertere Betrugsmaschen zuverlässig entlarven? Phishing, Smishing (Phishing per SMS) und Vishing (Phishing über Sprachsysteme) nimmt kontinuierlich zu, eine Trendwende scheint nicht in Sicht. Der plötzliche Umzug Millionen Angestellter ins Homeoffice im letzten Jahr kam kriminellen Hackern höchst gelegen. Warum? Weil sie zu Recht davon ausgingen, dass die Online-Sicherheit privat laxer gehandhabt wird als in Unternehmen, es also viel leichter ist, im heimischen Umfeld an wertvolle Daten zu gelangen. Tappen Sie nicht in die Fallen, die man Ihnen stellt. In dieser Woche des Cybersecurity-Awareness-Monats sehen wir uns ein paar Tipps zum Thema Phishing an, mit denen Sie Ihre Sicherheit privat und bei der Arbeit verbessern können. Auf allen Kommunikationskanälen wachsam bleiben E-Mail ist nach wie vor der häufigste Weg, den Trickbetrüger wählen, doch viele sind längst auch mit anderen Kanälen vertraut. So können Sie inzwischen auch per SMS, Social-Media-Nachricht oder Telefonanruf mit Phishing-Links, Fake-Websites und anderen Formen des Social Engineering in Berührung kommen. Um einen Schritt voraus zu bleiben, sollten Sie die bewährte Vorsicht und Skepsis also auch bei diesen Kanälen walten lassen. Immer die Senderadresse prüfen Oft sieht der Absender bei betrügerischen E-Mails demjenigen, den er vortäuschen soll, zum Verwechseln ähnlich. Prüfen Sie also, ob hinter dem @-Symbol in der E-Mail-Adresse der Domain-Name steht, den Sie bei diesem Absender erwarten würden. Was auf den ersten Blick aussieht wie <martinschreiber@ihrebank.com>, könnte in Wirklichkeit <maxxy@iggybank.com>sein. Profitipp: Wenn Sie eine merkwürdige SMS von einer sehr kurzen Telefonnummer empfangen, handelt es sich vermutlich um eine automatische Nachricht, die betrügerisch sein könnte. Tippen Sie nie auf in solchen SMS enthaltene Links, denn diese können Ihr Smartphone infizieren.

Vertrauen Sie Ihrer Intuition

Kriminelle bauen auf den Umstand, dass Sie Kommunikationsverhältnisse mit Unternehmen, Freunden, Angehörigen oder Mitarbeitern pflegen. Wenn Sie eine Nachricht von jemand Ihnen Vertrautem erhalten, die seltsam abgefasst wirkt und/oder dringlichen Inhalts ist, könnte es sein, dass das Konto dieser Person gehackt wurde und ein Trickbetrüger es für den Versand von Nachrichten nutzt. Um die Echtheit der Nachricht zu prüfen, kontaktieren Sie die oder den Betreffenden am besten auf einem anderen Weg, der Ihnen dafür sinnvoll erscheint. Wenn Sie den Verdacht haben, das Konto eines Arbeitskollegen wurde gehackt, sollten Sie umgehend das Sicherheits- oder IT-Team Ihres Unternehmens informieren. Ihr Passwortmanager hilft Ihnen, Phishing-Sites zu entlarven Für eine robuste Online-Sicherheit ist ein Passwortmanager ein Muss, denn Sie können damit einmalige, starke Passwörter erzeugen und speichern. Aber wussten Sie auch, dass Ihr Passwortmanager Sie bei der Erkennung von Fake-Websites unterstützen kann? Sagen wir, Sie erhalten eine Phishing-Mail, die angeblich von Ihrer Bank stammt. Sie ist so täuschend echt aufgemacht, dass Sie auf den darin enthaltenen Link klicken, der Sie vermeintlich zur Website der Bank bringt. Dort sollen Sie Ihre Zugangsdaten eingeben. Wenn Sie Ihren Passwortmanager so eingestellt haben, dass er die Zugangsdaten automatisch eingibt, wird er in diesem Fall scheitern, denn die Fake-Website hat nicht die URL, die Ihr Passwortmanager an dieser Stelle erwartet. Ihre Aufmerksamkeit für dieses kleine Detail kann Sie davor bewahren, Ihre Zugangsdaten Kriminellen auf einem silbernen Tablett zu servieren. Vorsicht bei MFA MFA bietet eine weitere Sicherheitsebene: Sie müssen hier Ihre Identität in einem zweiten Schritt bestätigen. Wenn Sie sich beispielsweise bei Ihrem Konto im Online-Banking anmelden möchten, werden Sie nicht nur um die Eingabe Ihrer Zugangsdaten gebeten, sondern müssen sich mit einem weiteren Element verifizieren – mit einem Code, der an das zu Ihrem Konto hinterlegte Mobilgerät gesandt wird, oder über eine Authentifizierungs-App. Dieses Verfahren stellt sicher, dass der Anmeldeversuch tatsächlich von Ihnen und nicht einer anderen Person stammt. Wenn Sie nun eine MFA-Aufforderung erhalten, sich aber bei der Anwendung oder Website, von der sie angeblich kommt, nicht angemeldet haben, sollten Sie diese ignorieren oder ablehnen und Ihr Passwort für das betreffende Konto sofort ändern, um weitere derartige Versuche zu unterbinden. Unsere Phishing-Tipps sind ein Anfang. Mit LastPass machen Sie Ihr gesamtes digitales Leben sicher. Erfahren Sie, wie .