So erkennen und vermeiden Sie häufige Arten von Cyberangriffen

So wie das Autofahren für viele von uns zum Alltag gehört, ist auch das Internet ein notwendiger Teil unseres Lebens. Und beides ist mit Risiken verbunden. Laut der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) ist einer von drei Haushalten, in denen es Computer gibt, mit bösartiger Software infiziert. Und 65 % der amerikanischen Internetnutzer waren schon einmal Ziel eines Betrugsversuchs. Aber genau so, wie wir sicheres Autofahren erlernen können, können wir auch lernen, Cyberangriffe zu erkennen und im Keim zu ersticken, um uns und unsere Daten vor Hackern zu schützen. Virenschutzlösungen, Firewalls und andere Sicherheitsmaßnahmen können viele Bedrohungen automatisch abwehren. Am gefährlichsten sind jedoch diejenigen, die sich den Faktor Mensch zunutze machen, um diese automatisierten Verteidigungsmechanismen zu umgehen. Manche Cyberkriminelle interagieren direkt mit ihren Opfern – zumeist in Form von Social-Engineering-Angriffen –, während andere „Köder“ wie falsche Apps in unregulierten App Stores auslegen und hoffen, dass nichtsahnende Personen darauf hereinfallen. In diesem Artikel befassen wir uns mit beiden Arten von Bedrohungen und ihrer Abwehr. Wir sehen uns auch an, welche Gefahren die Wiederverwendung von Passwörtern birgt und wie Sie das vermeiden können.

Social Engineering

Unter Social Engineering versteht man eine ganze Reihe böswilliger Aktivitäten, die nach einem ähnlichen Schema ablaufen: Cyberkriminelle treten direkt mit ihrem Opfer in Kontakt (entweder per E-Mail, SMS, telefonisch oder auf einem anderen Weg) und versuchen, sie zur Herausgabe vertraulicher Informationen zu bringen oder sie auf eine Website zu leiten, die ihren Computer mit Malware infiziert. Dabei spielt jedes Mal der Faktor Mensch eine Rolle; die Methoden und Warnsignale sind jedoch anders. Sehen wir uns die wichtigsten Arten von Social-Engineering-Angriffen an. Phishing Mit rund 3,4 Milliarden versendeten Phishingmails pro Tag ist das die häufigste Art von Cyberangriff. Diese E-Mails sehen aus, als würden sie von einem legitimen Absender stammen, und setzen verschiedene „Lockmittel“ ein, um den Empfänger zu ködern. Vielleicht beziehen sie sich auf aktuelle Ereignisse wie Feiertagseinkäufe oder Naturkatastrophen, warnen den Empfänger, dass sein Konto kompromittiert wurde, oder enthalten eine gefälschte Rechnung, bei der die Person nur wenig Zeit hat, die Gebühr anzufechten. Diese E-Mails sind so gestaltet, dass sie psychischen Druck auf den Empfänger ausüben und eine Reaktion hervorrufen wollen – sei es aus Interesse oder um andere Betrugsversuche auszuschließen. So können Sie sich vor Phishing-Angriffen schützen Früher zählten Grammatik- und Rechtschreibfehler zu den offensichtlichsten Anzeichen, dass eine E-Mail gefälscht war. Mit der zunehmenden Verbreitung von ChatGPT und anderen Large Language Models (LLMs) können Cyberkriminelle nun jedoch sehr überzeugende und sprachliche korrekte Nachrichten verfassen, die viel schwerer als Scam zu erkennen sind. Am besten, Sie lassen bei allen E-Mails, die nicht von einem vertrauenswürdigen Absender stammen, Vorsicht walten und folgen diesen Empfehlungen:

• Sehen Sie sich die Absenderinformationen genau an, bevor Sie auf einen Link klicken oder bei einem Supportcenter anrufen. Auf den ersten Blick stammt die Nachricht womöglich von einem Ihnen bekannten Unternehmen, aber die E-Mail-Adresse des Absenders gehört in Wirklichkeit einer anderen Domain an. Hier ein Beispiel:
• Klicken Sie auf keine Links in E-Mails von Ihnen unbekannten Absendern.
• Kontaktieren Sie das betreffende Unternehmen im Zweifelsfall direkt, um nachzufragen, ob die E-Mail echt ist. Verwenden Sie dazu die Kontaktdaten auf der offiziellen Firmenwebsite.
• Lassen Sie sich von einem Passwort-Manager helfen. Wenn Sie das automatische Ausfüllen für bekannte Konten aktiviert haben, Ihr Passwort-Manager Ihre Zugangsdaten auf einer Website allerdings nicht automatisch eingibt, könnte es sich um eine Phishing-Website handeln.

Vishing Das Kofferwort „Vishing“ steht für „Voice Phishing“ und bezeichnet Phishing-Anrufe per Telefon. Dabei gibt sich der Anrufer als Vertreter eines namhaften Unternehmens, einer Exekutivbehörde oder der Steuerverwaltung aus, um sein Opfer zur Preisgabe vertraulicher Informationen wie Kreditkarten- oder Sozialversicherungsnummern, Zugangs- oder Finanzdaten zu bringen. So können Sie sich vor Vishing-Angriffen schützen

• Leiten Sie Anrufe von unbekannten Nummern an Ihre Voicemailbox weiter.
• Kontaktieren Sie das betreffende Unternehmen bzw. die Behörde direkt, um nachzufragen, ob es sich um einen legitimen Anruf handelte. Schlagen Sie die Telefonnummer dabei immer auf der offiziellen Website nach und rufen Sie keine vom Anrufer hinterlassene Nummer an.

Smishing Smishing funktioniert ähnlich wie Phishing und Vishing, allerdings per SMS. Manche dieser Nachrichten enthalten Links zu schädlichen Websites, während andere angeblich von einer Exekutivbehörde, einem Post- oder Zustelldienst oder einem seriösen Unternehmen stammen. In der SMS werden Sie möglicherweise gewarnt, dass Ihr Konto gehackt wurde, und dazu aufgefordert, sich (auf einer falschen Website) anzumelden, um Ihren Zugang wiederherzustellen. Ebenfalls weit verbreitet sind Nachrichten, in denen Cyberkriminelle sich als Führungskraft beim Arbeitgeber des Empfängers ausgeben und ihn bitten, in dessen Namen einen Geschenkgutschein zu kaufen. Dabei schreibt der angebliche Absender oft, dass er gerade in einem Meeting ist und sofort Hilfe braucht, da er die Sache nicht selbst erledigen kann. Diese dringliche Formulierung soll Druck auf den Empfänger ausüben, damit dieser nicht an die Möglichkeit eines Betrugsversuchs denkt. So vermeiden Sie Smishing-Angriffe

• Antworten Sie auf keine aus heiterem Himmel erhaltenen SMS und klicken Sie auf keine Links.
• Überprüfen Sie die Legitimität des Senders, bevor Sie auf die Nachricht reagieren.
• Löschen Sie die SMS und melden Sie den Vorfall nach Möglichkeit Ihrem Mobilfunkanbieter und/oder dem Unternehmen, von dem sie angeblich stammt.

Schädliche Apps

Manche Cyberkriminelle entwickeln Apps, die Apps bekannter und renommierter Marken ähneln. Ziel dabei ist es, Informationen zu stehlen und/oder auf dem Mobilgerät bzw. Computer des Benutzers Malware einzuschleusen. Diese „geklonten“ Apps sehen dem Original täuschend ähnlich und lassen sich oft nur schwer als Fälschung erkennen. Sie können jedoch einige Maßnahmen zu Ihrem Schutz ergreifen:

• Laden Sie Apps nur von offiziellen Stores wie dem Apple App Store oder Google Play herunter.
• Kontrollieren Sie den Namen des Entwicklers oder Herausgebers der App. LastPass gibt im Apple App Store beispielsweise LogMeIn, Inc. als den Entwickler an und im Google Play Store GoTo Technologies. Alle anderen Namen würden auf eine schädliche App hindeuten.
• Überprüfen Sie die App-Beschreibung auf Grammatik- und Rechtschreibfehler.

Mehrmalige Verwendung von Passwörtern

Laut dem LastPass-Bericht Psychologie der Passwörter 2022 verwenden nahezu 62 % der Internetnutzer Varianten desselben Passworts für mehrere Konten. Von den Personen, die über die damit verbundenen Risiken aufgeklärt wurden, hörten nur 31 % mit der Mehrfachnutzung von Passwörtern auf und nur 25 % installierten einen Passwort-Manager. Wenn ein mehrmals verwendetes Passwort kompromittiert wird, ist das besonders gefährlich, da es in weiteren Hackerangriffen zum Einsatz kommen kann. Laut dem Data Breach Investigations Report 2023 von Verizon standen 86 % der Basic Web Application Attacks, die zu einem Datenleck führten, mit gestohlenen Zugangsdaten in Verbindung. Am besten können Sie sich schützen, indem Sie für jedes Konto ein anderes komplexes Passwort erstellen. Dabei kann Ihnen ein Passwort-Manager helfen. Und da auch die passwortlose Authentifizierung immer populärer wird, sollten Sie einen Passwort-Manager wählen, der diese neue Technologie unterstützt. Cyberbedrohungen sind allgegenwärtig. Sie sollten daher unbedingt über die häufigsten Arten Bescheid wissen und diese einfachen Maßnahmen ergreifen, um sich selbst, Ihre Familie und Ihr Unternehmen vor Datenlecks und anderen Cyberangriffen zu schützen.