Gewusst wie: So schützt ihr euch vor Phishing, Scamming und Social Engineering

Gewusst wie: Phishing und Scamming: Gebt eure Zugangsdaten niemals an Dritte weiter, auch wenn diese sich als eure Bank, eure Chefin oder euer IT-Administrator ausgeben.

Die Cyberkriminalität ist in den vergangenen Jahren zu einem hochprofessionellen „Geschäft“ herangewachsen, wie unser Digital Defense Report 2020 zeigt. Hacker*innen versuchen sich widerrechtlich Zugang zu Firmennetzwerken zu verschaffen mit dem Ziel, Daten zu stehlen und Unternehmen mit der Veröffentlichung zu erpressen. Mehr als fünf Milliarden Angriffe in Form von E-Mails, URLs und Dokumenten wehren wir pro Monat ab, ohne dass unsere Kunden es in den meisten Fällen überhaupt mitbekommen. Doch welche Einfallstore nutzen Cyberkriminelle und wie gelingt es ihnen ganze IT-Systeme zu verschlüsseln? Genau das wollen wir in dieser Folge unserer Serie „Gewusst wie – euer Guide für mehr IT-Sicherheit im Alltag“ zum European Cyber Security Month näher beleuchten. 

Prinzipiell sind alle Verbindungen eines Unternehmens nach außen potenzielle Einfallstore für Cyberkriminelle. Das können Schnittstellen von und zu einem Firmennetzwerk sein, die zum Beispiel Kunden oder Partnern über das Internet Zugriff auf einzelne Teile eines Unternehmensnetzwerks bieten. Virtual Private Networks (VPN) oder via Remote Desktop Protocol (RDP) für den Fernzugriff verbundene Rechnernutzen solche Schnittstellen. Ihr kennt sie wahrscheinlich aus eurem eigenen Arbeitsalltag – eine VPN-Verbindung ist beispielsweise notwendig, wenn ihr aus dem Homeoffice auf den Server eures Arbeitgebers zugreifen möchtet. In den Händen von Cyberkriminellen können sie zur Gefahr werden. Auch eine Webseite kann Zugang zu firmeneigenen Ressourcen bieten, wenn die Daten auf Servern des Unternehmens liegen. 

Moderne Angriffsmethoden: Social Engineering

Am häufigsten nutzen Cyberkriminelle die E-Mail-Konten von Mitarbeiter*innen als Einfallstor für ihre Angriffe auf Unternehmen. Diese Art der Attacken wird unter dem Stichwort „Social Engineering“ geführt. Der Begriff umfasst eine ganze Reihe von Aktivitäten – von Spear Phishing-Kampagnen, die speziell auf Führungskräfte ausgerichtet sind, über Coronabezogene Phishing-Angriffe, die auf das Informationsbedürfnis der Menschen abzielen. Doch die Angreifer*innen greifen auch zum Hörer: Beim sogenannten Tech Scam geben sich die Cyberkriminellen beispielweise als Supportmitarbeiter*innen von Microsoft aus und versuchen so an Geld und Daten ihrer Opfer zu gelangen. Gemein haben alle Social Engineering-Aktivitäten, dass sie mit der bösen Absicht gestartet werden, von Beschäftigten Zugangsdaten abzufangen, um in ein Unternehmensnetzwerk eindringen zu können, Informationen zu stehlen und diese im Dark Web zum Verkauf anzubieten oder um Schadsoftware zu verbreiten und damit weitere schädliche Aktivitäten zu starten. 

Scamming: Wenn „Microsoft“ anruft

Immer wieder berichten uns Kunden von Anrufen, die sie angeblich von der Microsoft-Hotline erhalten. Die vorgeblichen Supportmitarbeiter*innen informieren darüber, dass der Support für Windows bald endet, und bieten Hilfe für den Umstieg auf Windows 10 an. Um den Druck zu erhöhen, erzählen sie auch von drohenden Virenattacken oder beschädigten Computern. Für diese Hilfe oder für eine vermeintliche Reparatur des Systems stellen sie dann Kosten in Rechnung – oft über hunderte, mitunter gar über tausende Euros. Zudem fordern sie ihre Opfer auf, ihnen ihre Zugangsdaten zu geben, um die Reparatur auszuführen, und bekommen so auch noch Zugang zu fremden Computern.  

Monat für Monat erhalten wir aktuell etwa 6.000 Meldungen von Betroffenen, die uns von solchen Scam-Anrufen (Scam = Betrug) erzählen. Wir haben dazu bereits mehrfach erklärt, dass Microsoft unter keinen Umständen unaufgefordert Telefonanrufe durchführt, in denen wir Nutzer*innen anbieten, ein schadhaftes Gerät zu reparieren oder in denen wir persönliche oder finanzielle Daten abfragen. Jegliche Kommunikation mit Kund*innen wird durch die Kund*innen selbst initiiert. Solltet ihr dennoch einen solchen Anruf erhalten, legt einfach auf und meldet diesen Vorfall bitte auf dieser Webseite. Die Informationen werden dann an die Strafverfolgungsbehörden weitergegeben und von unseren Cybercrime-Teams dafür genutzt, um gegen solche Betrüger*innen vorzugehen. Die Daten werden wir unter keinen Umständen zu allgemeinen Marketingzwecken verwenden, sondern ausschließlich um die Jagd auf Cyberkriminelle zu unterstützen. 

Phishing: Wie ihr euch schützen könnt

Die wohl bekannteste Angriffsmethode ist das sogenannte Phishing. Dabei versuchen Cyberkriminelle, Zugangsdaten per E-Mail, über gefälschte Webseiten oder über Kurznachrichten auf dem Smartphone abzufischen, daher der Begriff. Dafür tarnen sie sich – beispielsweise als eure Bank, damit ihr eure Kontodaten an sie schickt, als eure Chefin, damit ihr eure Netzwerk-ID an sie rausgebt, oder als euer Versandhändler, damit ihr eure Login-Daten eingebt. Sie leiten euch auch oft per Link zu gefälschten Webseiten, die sich mitunter sehr perfekt als eure Bank oder euer Online-Händler tarnen. Wenn ihr dort eure Daten eingebt, werden sie ebenfalls abgefischt. 

Die Erfolgsquote dieser Versuche steht und fällt mit der Glaubwürdigkeit der Absender*innen: Je überzeugender sie sind, desto eher gebt ihr ihnen unbewusst eure Daten. Um euch davor zu schützen, hilft am besten eine gesunde Portion Misstrauen. So wird euch zum Beispiel eure Sparkasse oder Bank niemals per E-Mail nach Login-Daten fragen. Jede Anfrage in die Richtung ist also ein krimineller Versuch. Der beste Schutz vor solchen Angriffen ist es daher, auf solche E-Mails nicht zu reagieren und eure Bank auf einem anderen Weg zu kontaktieren und den Vorfall zu melden.  

Um eure Konten noch besser zu schützen, solltet ihr eine Multi-Faktor-Authentifizierung einrichten. Sie sorgt dafür, dass bei der Anmeldung neben dem Passwort noch ein zweiter Faktor geprüft wird – das kann beispielsweise die Zugriffsbestätigung auf einem zweiten Smartphone oder Gerät sein oder ein Telefonanruf, bei dem eine PIN abgefragt wird. Unternehmen setzen das sichere Verfahren bereits vielfach ein und auch im privaten Umfeld bieten mehr und mehr Plattform-Anbieter, Banken und E-Mail-Dienstanbieter diese kostenlos an. Für den Fall, dass ihr doch mal auf eine betrügerische Masche hineingefallen seid und eure Zugangsdaten preisgegeben habt, sind eure Daten so dennoch geschützt 

Spezialfall Spear Phishing

Um ihre Glaubwürdigkeit zu erhöhen, fischen Cyberkriminelle immer häufiger nicht mehr wahllos mit dem Netz alles ab, was da ist, sondern gehen sozusagen mit dem Speer gezielt auf die Jagd. Diese Art von Angriff richtet sich oft direkt gegen Führungskräfte und andere leitende Angestellte – und zwar mit besonders raffinierten Methoden. 

Beim Spear Phishing tarnen sich die Angreifenden zum Beispiel als ein*e Kolleg*in oder Freund*in und bitten euch um einen schnellen persönlichen Gefallen. Die Informationen, die sie dafür über euch brauchen, haben sie sich vorher beispielsweise bei LinkedIn oder Facebook und aus öffentlichen Quellen zusammengesucht. Meist reicht es, zwei oder drei Informationen zu verknüpfen, um bei den Empfänger*innen einer Nachricht authentisch zu wirken.  

Oft verbinden Hacker*innen ihre Phishing-Versuche mit einer dringenden Situation oder gar einer Gefahr: „Ich brauche ganz schnell die Daten aus dem System, kannst du mir die sofort schicken?“ „Ich habe mein Portemonnaie verloren, kannst du mir direkt per Paypal Geld überweisen?“  

Das mag im ersten Moment ungewöhnlich unglaubwürdig klingen. Wenn so eine E-Mail allerdings vermeintlich von der Chefin oder einem guten Freund kommt, reagieren die Menschen in den allermeisten Fällen darauf. Gesundes Misstrauen ist hier ein gutes Stichwort – bei einer außergewöhnlichen Bitte wie dieser lohnt es sich in jedem Fall nachzufragen, bevor ihr diesen Wünschen nachgeht. 

Sonderfall Corona

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in den vergangenen Monaten Aktivitäten registriert, die die Angst der Menschen vor einer Ansteckung mit COVID-19 ausnutzen. Mit Betreffzeilen wie „Corona-Sicherheitsmaßnahmen“ oder „Corona-Hygienetipps“ versuchen die Angreifenden, die Menschen auf gefälschte Webseiten zu locken und ihnen dort wie gehabt Nutzerdaten zu entlocken. „Die von Ängsten, Sorgen und Unsicherheit geprägte Stimmung in weiten Teilen der Bevölkerung kann die Erfolgsaussichten solcher Angriffe zwar begünstigten“, schreibt das BSI in seinem Lagebericht zur IT-Sicherheit 2020, gibt aber zugleich Entwarnung: „Unerwartet große Häufungen traten jedoch nicht auf.“ Wir selbst haben in einem aktuellen Blogpost die Gefahrenlage rund um Corona und Cybercrime zusammengefasst. 

Und wenn ihr doch mal irgendwo draufgeklickt habt?

Niemand ist zu 100 Prozent sicher, nicht doch auf einen vermeintlich nützlichen oder wichtigen Link zu klicken und damit Cyberkriminellen in die Falle zu tapsen. 

Für IT- und IT-Sicherheitsverantwortliche in Unternehmen hat das BSI einen umfangreichen Leitfaden über Erste Hilfe bei einem schweren IT-Sicherheitsvorfall veröffentlicht, auf den wir an dieser Stelle verweisen möchten. Es ist aber auch gut zu wissen, dass es standardisierte und praxiserprobte Prozesse für die erste Reaktion und die Schadensbegrenzung gibt, die einfach nur abgearbeitet werden müssen: 

  1. Wenn ihr selbst an eurem Arbeitsplatz von einem Cyberangriff betroffen seid, informiert zuerst eure IT- oder IT-Sicherheitsabteilung davon. Keine Scheu, kein Scham: Das ist ein sehr wichtiger Schritt, damit die Fachleute Maßnahmen gegen die Ausbreitung eines solchen Angriffs unternehmen können. 
  2. Wenn ihr könnt, solltet ihr sofort eure Zugangsdaten in das Firmennetzwerk ändern, um den Zugang ins Netz und zum E-Mail-Server zu unterbinden. Sollte ein Einloggen nicht mehr möglich sein, hilft bei vielen Webseite und in den sozialen Medien die Funktion „Passwort vergessen“ oder „Passwort zurücksetzen“. Ihr bekommt auf eure E-Mail-Adresse einen Link geschickt und könnt dann das Passwort dennoch ändern. Wenn auch das nicht (mehr) geht, setzt euch direkt mit dem Support eures Dienstes oder Anbieters in Verbindung. 
  3. Falls ihr euch Sorgen macht, dass Hacker*innen auf eure Konten zugreifen können, solltet ihr diese sperren lassen und gleichzeitig Anzeige erstatten.  

Der beste Schutz vor Datenverlusten durch Hacker*innen oder Erpresser*innen ist eine regelmäßige Datensicherung in einem physisch getrennten Medium, also einer externen Festplatte oder in der Cloud. Damit verhindert ihr, dass Hacker*innen eure Rechner so verschlüsseln, dass ihr keine Möglichkeit mehr habt, auf eure Daten zuzugreifen. Der beste, nein, einzige Schutz sind zudem regelmäßige Backups! 

Mehr nützliche Tipps rund um den Schutz eurer Geräte und Daten findet ihr in den anderen Folgen unserer Reihe „Gewusst wie – euer Guide für mehr IT-Sicherheit im Alltag“.  


Ein Beitrag von Stratos Komotoglou
Senior Subsidiary Product Marketing Manager Microsoft 365 Security bei Microsoft Deutschland
@HerrStratos
Profilbild Stratos Komotoglou

Tags: , ,

Weitere Infos zu diesem Thema

29. Juli 2020
Hackerangriffe unter dem Deckmantel der Pandemie

Auch Cyberkriminelle haben sich an die „neue Normalität“ angepasst. Wir schauen uns an, wie sich die Angriffswelle seit Beginn der Pandemie global und regional entwickelt hat – und wie eng sie mit der Verbreitung des Virus’ selbst verknüpft ist.