Zurück

Phishing verhindern – wie der Köder an der Angel im Wasser vergammelt!

Max am

Phishing ist eines der größten Sicherheitsprobleme im Online-Bereich. Besonders im E-Commerce ist das ein heikles Thema. Hintergrund hierbei ist, dass viele Nutzer deren Hauptaufgabengebiet nicht die Technik ist, sondern die Produkte, mit heiklen Systemen arbeiten. Wie kann man Phishing-Attacken wirkungsvoll vorbeugen?

Regel 1: Keine Links in E-Mails klicken

Diese Regel kann man gar nicht oft genug wiederholen. Ohne dass man auf eine betrügerische Seite geleitet wird kann man auch nicht Phishing-Opfer werden. Deshalb gilt – besonders dann, wenn man z.B. zu einem Login aufgefordert wird, der manuelle Weg:

  • Loginseite manuell öffnen
  • Logindaten eingeben
  • man ist sich sicher, dass man auf der richtigen Seite die Daten eingegeben hat.

Regel 2: Passwortmanager nutzen

Die Nutzung eines Passwort-Managers birgt viele Vorteile und ich möchte heute nicht die Werbetrommel für diese Tools rühren, aber der Einsatz dieser Programme ist nicht nur extrem komfortabel, sondern aus meiner Sicht unverzichtbar.

Beispielhaft wären hier

  • 1Password (neben der privaten auch in einer starken Business- und Team-Version verfügbar)
  • Lastpass (ebenfalls privat und in Teams einsetzbar)

zwei starke und komfortable Vertreter ihrer Zunft.

Warum macht ein Passwortmanager in Hinblick auf Phishing Sinn?

Der Passwortmanager enthält nicht nur die Benutzernamen und Passwörter, sondern eben auch die validen URLs für diese Logins. D.h. auf einer Phishing-Seite bietet der Passwort-Manager die Login-Daten nicht an. Spätestens hier merkt man, dass etwas nicht stimmt, selbst dann, wenn die URL sich nur in einem Buchstaben unterscheiden würde. Außerdem können mit Hilfe eines Passwortmanagers komplexe Zeichenreihen als Passwörter gesetzt und v.a. unterschiedliche Passwörter für jeden Login verwendet werden.

Regel 3: Virenschutz einsetzen

Ich finde es erschreckend genug, dass dieser Punkt immer noch Erwähnung finden muss, aber es scheint wohl doch so zu sein, dass dieser Punkt nicht überall die notwendige Aufmerksamkeit erhält. Gerade im Business-Bereich sollte ein starker Virenschutz Standard sein. Dieser scannt z.B. auch eingehende Mails und filtert so große Teile der Phishing-Mails bereits aus.

Gerade angesichts verseuchter Mails sollte klar werden, dass urbane Mythen wie „mit Linux und mit Mac brauche ich das nicht, da gibt es keine Viren“ nichts anderes sind als der Verzicht auf ein Kondom im Hafenviertel.

Regel 4: Verdachtsfälle melden

Jeder größere Anbieter hat eigene Abteilungen, die gegen Phishing vorgehen. Deshalb macht es Sinn, die Anbieter zu unterstützen und entsprechende Verdachtsfälle zu melden. Weiterhin erhält man dann seitens des Anbieters eine explizite Nachricht, ob es nicht doch eine Originalnachricht war.

Zusammenfassung

Natürlich kann es passieren, dass man auf besonders gut getarnte Phishing-Mails hereinfällt. Auch ich muss manchmal zweimal hinschauen, wenn eine Mail „von Paypal“ an mich kommt in der ein Hinweis auf mein gesperrtes Konto oder eine gescheiterte Transaktion gegeben wird. Letztlich kann mir eine solche Mail aber egal sein, wenn ich mich an die o.g. Regeln halte und über den Passwortmanager zum Login von Paypal gehe und nicht über einen Link in einer E-Mail. Dort werde ich den Hinweis dann natürlich nicht vorfinden.