Angelrute-Phishing

Schutz vor Phishing, Vishing & Co. - Sieben goldene Regeln gegen Social Engineering


Sehr geehrte Kundschaft,

leider kam es in letzter Zeit vermehrt zu Vorfällen mit bei uns hinterlegten Daten.
Wir bitte Sie daher Ihre Daten [HIER] zu überprüfen und gegebenenfalls zu aktualisieren.
Bei Missachtung müssen wir Ihren Account aufgrund gesetzlicher Vorschriften leider schließen.

Ihr Support

Hatten Sie eine solche E-Mail bereits in Ihrem Postfach? Haben Sie auch einen kurzen Moment der Angst verspürt, wertvolle Daten oder einen oft genutzten Account zu verlieren? Hätten Sie auf den Link geklickt?

In diesem Fall wären Sie vermutlich auf einer gefälschten Webseite des vermeintlichen Unter­neh­mens gelandet, welche Sie zur Eingabe Ihrer Account-Daten aufgefordert hätte. Wie Sie wahr­schein­lich bereits vermuten, handelt es sich bei diesem Beispiel um eine typische Phishing-E-Mail.

Phishing ist der Versuch persönliche Daten eines Opfers zu erhalten

Der Begriff „Phishing“ setzt sich hierbei aus den Wörtern „Password Harvesting“ und „Fishing“ zusammen und ist zugleich eine Referenz zum „Phreaking“, einer frühen Art des Hacking. Gefälschte E-Mails, Kurznachrichten oder Webseiten geben vor von einer legitimen Quelle zu stammen. Auf den ersten Blick vertrauenswürdig, leiten sie eine nutzende Person in der Regel zu ebenfalls gefälschten Anmeldeportalen weiter und fordern dort zum Login oder zum Download eines versteckten Trojaners auf. Häufig wird versucht Dringlichkeit zu erzeugen, um den Opfern keine Möglichkeit zur Absprache oder Überprüfung des Sachverhaltes zu bieten. Zudem wird mit schlimmen Konsequenzen gedroht, wenn nicht sofort agiert wird. Ziele sind häufig die Plünderung eines privaten Bankkontos oder der Diebstahl vertraulicher Unternehmensinformationen, die nur mit den Anmeldedaten des Opfers erreichbar sind. Phishing wird der Kategorie der Social Engineering-Angriffe zugeordnet .

Social Engineering bezeichnet die psychologische Manipulation der Opfer

Mit Social Engineering wird das Ziel verfolgt vertrauliche Informationen zu erhalten oder eine bestimmte Handlung zu erwirken. Psychologische Grundprinzipien wie Sympathie mit Menschen in Not oder Reziprozität bei Hilfeleistungen werden geschickt ausgenutzt. Evolutionär betrachtet waren diese Eigenschaften in kleinen Gruppen wichtig, um das eigene Überleben zu sichern. In einer digitalisierten und globalisierten Welt können diese Eigenschaften schnell zur Schwäche werden. Beim Social Engineering wird demnach keine technische Schwachstelle, sondern primär die „Schwachstelle“ Mensch ausgenutzt. Neben dem Phishing sind hier beispielsweise „Vishing“, also das Betreiben von Social Engineering über das Telefon, oder der „CEO Fraud“ relevante Angriffsvektoren. Ein Blick in die Medien bestätigt, dass Phishing- und Social Engineering-Angriffe weiterhin hoch­relevant sind. Aktuell wird häufig die Corona-Krise als vermeintlicher Anlass der Kontaktaufnahme gewählt.

Menschliche Schwächen machen einen gesamtheitlichen Ansatz notwendig

Wer das eigene Unternehmen oder sich selbst informationssicherheitstechnisch absichern möchte, sollte nicht nur rein technische Angriffs­vektoren und Schutzmaßnahmen betrachten. Ein gesamt­heitlicher Ansatz ist notwendig, der die eigenen menschlichen Schwächen und die der Führungs­kräfte und Mitarbeitenden in die Überlegungen zur Infor­mations­sicher­heit miteinbezieht. Das Ziel sollte ein hohes Bewusstsein aller menschlichen Akteure sein, die mit Informations­systemen arbeiten. Nur wer über die Gefahren informiert ist und diese identifizieren kann hat eine Chance, Social Engineering vor der Preisgabe sensitiver Daten zu erkennen. Eine zentrale Stellschraube hierfür ist die Unternehmens­kultur, weshalb insbesondere Führungskräfte besonders sensibilisiert sein sollten. Auch regelmäßige Social-Hacking-Übungen, Schulungen mit Live-Hacking-Demonstrationen und Trainings im Rahmen einer Sicherheitsberatung tragen maßgeblich zu einem höheren Bewusstsein unter den Mitarbeitenden bei.

Die sieben goldenen Regeln schützen vor Social Engineering

Die aramido GmbH stellt ein Merkblatt mit effektiven Strategien gegen Social Engineering zur Verfügung. Diese helfen dabei Phishing-E-Mails, Vishing-Telefonate und andere Social-Engineering-Angriffe zu identifizieren und erfolgreich damit umzugehen. Nutzen Sie es gerne um Ihre Team- und Familienmitglieder über Social-Engineering-Angriffe aufzuklären und damit aktiv zum größeren Bewusstsein für Cybersicherheit in der Gesellschaft beizutragen.

Merkblatt Sieben goldene Regeln gegen Social Engineering
Ab­bildung 1 Merkblatt „Sieben goldene Regeln gegen Social Engineering" zum Download

Mit dem Merkblatt sowie einer Demonstration des Cold-Boot-Angriffs beteilgt sich aramido am European Cyber Security Month (ECSM). Unter dem Motto „Think Before You Click #ThinkB4UClick“ veranstalten Institutionen der Europäischen Union den diesjährigen Aktionsmonat um Bürger, Un­ter­nehmen und Gesellschaft für Cybersicherheit zu sensibilisieren und über Gefahren be­zieh­ungs­weise Schutzmaßnahmen zu informieren. Dieses Jahr liegen die Themen-Schwerpunkte bei „Digital Skills“ und „Cyber Scams“. In Deutschland wird der Aktionsmonat vom BSI koordiniert. Bisher sind bereits über 200 Aktionen mit einer großen Vielfalt an Themen und Adressaten beim BSI eingegangen.

Banner zum ECSM
Ab­bildung 2 Der ECSM 2020: Wir machen mit!

FIDO2 und WebAuthn: Login ohne Passwort

FIDO2 und WebAuthn erlau­ben eine sichere und phi­shing­re­sis­ten­te Authen­ti­fi­ka­tion bei Web­diens­ten, um einen Daten­ab­fluss zu ver­mei­den. (weiterlesen)

aramido bei der Bunten Nacht der Digitalisierung

aramido ist Partner der Bunten Nacht der Digitalisierung und lädt am 11.10.19 zu Live Hacking-Vorträgen, inter­aktiven Workshops und anregenden Gesprächen ein. (weiterlesen)

Cold Boot-Angriff: Festplattenverschlüsselung ade

aramido demonstriert den aktuellen Stand zum Cold Boot-Angriff und zeigt, wie dadurch die Festplattenverschlüsselung ausgehebelt werden kann. (weiterlesen)

HTTP Security Header schützen Ihre Besucher

Secu­rity Hea­der schü­tzen die Be­nutzer von Web­sei­ten und er­wei­tern die De­fense-In-Depth. Wir zei­gen, wie sie ein­ge­setzt wer­den und welche Wir­kung sie ha­ben. (weiterlesen)

Wie finde ich einen Job in der Informationssicherheit?

Informations­sicher­heit: Ein span­nen­des Feld mit ge­sell­schaft­li­cher Relevanz und vielversprechenden Ver­dienst­aus­sich­ten. Was soll­ten In­teres­sierte mit­brin­gen? (weiterlesen)

Was sind die OWASP Top 10 - 2017?

Die OWASP Top 10 - 2017 be­schrei­ben die zehn häu­figs­ten Sicher­heits­risi­ken für Web­an­wen­dun­gen. Sie helfen Ent­wicklern An­wen­dun­gen sicher um­zu­setzen. (weiterlesen)

Wo ist die Knautschzone von IT-Systemen?

Sol­len Siche­rheits­vor­fälle ver­hin­dert oder er­war­tet wer­den? Die­se Fra­ge be­ant­wortet ara­mido-Ge­schäfts­führer An­dre­as Sperber auf in­for­ma­tik-aktuell.de (weiterlesen)

Keynote: IT-Symposium auf dem Schloss Haigerloch

aramido hielt die Key­note zum 15. IT-Sym­po­sium auf dem Schloss Haigerloch: vier Para­dig­men für die In­for­mations­sicher­heit von morgen. (weiterlesen)

Vertrauen ist gut. Kontrolle ist besser.

Andreas Sperber hat auf der 17. GPN über Ver­trauens­proble­me in PKIs gespro­chen. Mit "Ver­trauen ist gut. Kon­trolle ist bes­ser." ruft er Dienst­betrei­ber zum han­deln auf. (weiterlesen)

Warum vertrauen wir Zertifizierungsstellen?

Zertifizierungs­stellen sind eine wesent­liche Kom­po­nen­te im heu­ti­gen World Wide Web. Wir schen­ken Ihnen großes Ver­trauen trotz besor­gnis­er­regen­der Vor­komm­nisse. (weiterlesen)

Wozu dient ein Penetrationstest?

Durch einen Pene­trations­test wird das Angriffs­poten­tial auf IT-Sys­teme über­prüft. Schwach­stellen wer­den beho­ben und da­durch die IT-Sicher­heit gestei­gert. (weiterlesen)

Workshop: IT-Sicherheit@Mittelstand bei der IHK Gießen-Friedberg

Der IT-Sicher­heits­exper­te Andreas Sperber spricht am 06.10.2016 vor der IHK Gießen-Friedberg zum The­ma IT-Sicher­heit@Mittel­stand und zeigt Wege hierfür auf. (weiterlesen)

Acht Gründe für einen Penetrationstest

Mit einem Pene­trations­test wird die Ver­wund­bar­keit von Sys­te­men ge­prüft. Wir ge­ben acht Grün­de, warum Pene­tra­tions­tests für Un­ter­neh­men wich­tig sind. (weiterlesen)

Was ist ein Penetrationstest?

IT ist ein fes­ter Be­stand­teil un­se­res Le­bens. Ha­cker nu­tzen Schwach­stel­len aus, um da­raus Pro­fit zu schla­gen. Pe­ne­tra­tions­tests ver­bes­sern IT-Sicherheit. (weiterlesen)

Infektion durch einen Kryptovirus

Im aramido Sicher­heits­labor haben wir uns mit einem Ver­schlüs­selungs­tro­janer infi­ziert und zei­gen, was ein Krypto­locker mit Ihren Da­ten an­rich­ten wür­de. (weiterlesen)

Kidnapping 2.0 - Verschlüsselungstrojaner auf dem Vormarsch

Kryptotrojaner richten bei Unter­nehmen große Schäden an. Mit der Artikel­serie zum Thema Ransom­ware berichtet aramido über Hinter­gründe zur akuten Be­drohungs­lage (weiterlesen)

Piwik Security – Webanwendungen sicher analysieren

Das aramido-Best-Practice zu Piwik zeigt, auf was man beim Einsatz des Web­ana­lyse-Tools ach­ten sollte. Die Piwik-Se­cu­rity-Check­liste hilft beim Ab­si­chern Ihrer Piwik-Installa­tion. (weiterlesen)

aramido-Blog für IT-Sicherheit

Der aramido-Blog be­richtet regel­mäßig zur IT-Sicher­heit. Abon­nieren Sie den Feed zu Pen­tests, Sicher­heit von Web­anwen­dungen und weite­ren inte­res­santen The­men. (weiterlesen)