Aktuelles
Red Flags zum Erkennen von Phishing und Co.: Wie man sich gegen gängige Betrugsversuche schützt
Februar 2024 von Dr. Martin J. Krämer, Security Awareness Advocate, KnowBe4
Während beim Thema Cyber-Security oft die Technologie im Fokus steht, so darf man keinesfalls vergessen, dass bei den allermeisten Cyberattacken der Faktor Mensch ein elementarer Teil der Gleichung ist: Laut dem „Global Risks Report 2024“ des Weltwirtschaftsforums WEF ist bei 95 % aller Vorfälle menschliches Versagen involviert. Cyberangriffe, deren explizites Ziel das Ausnutzen der Unachtsamkeit von Nutzern ist, können unter dem Begriff Social Engineering zusammengefasst werden.
Es gibt verschiedene Formen von Social Engineering-Angriffen, vor denen sich Nutzer schützen sollten. Dazu gehören auch Techniken wie SMS-Phishing (Smishing), Voice-Phishing (Vishing) und Spear-Phishing (gezielte Angriffe, häufig per E-Mail). Oft werden auch Einschüchterungstaktiken angewandt, beispielsweise durch den Versand von Nachrichten oder Betreffzeilen, die ein Gefühl der Dringlichkeit beim Empfänger auslösen. Ein Beispiel dafür sind Betreffzeilen wie „Sie müssen dringend eine Zahlung leisten", „Achtung: Sicherheitsupdate erforderlich“ und ähnliche dringlich wirkende Aufforderungen.
Schutz durch gesteigerte Achtsamkeit: Red Flags auf die es zu achten gilt
Um sich vor diesen Angriffen zu schützen, empfiehlt sich das Einhalten einiger klarer Richtlinien. Dazu gehört die Vorsicht bei verdächtigen Anrufen, bei denen Benutzer aufgefordert werden, persönliche Daten preiszugeben. Statt seine Daten leichtfertig an unbekannte Anrufer preiszugeben, sollte man sich in solchen Situationen am besten an die offizielle Kundendienstnummer des in Frage stehenden Unternehmens wenden. Vorsicht ist besonders bei falsch geschriebenen Web- oder E-Mail-Adressen geboten, da diese oft auf betrügerische Aktivitäten hinweisen.
Eine weiteres Merkmal, an denen Betrugsversuche erkennbar werden, sind ungewöhnliche SMS- oder E-Mail-Anhänge. Diese sollten nie geöffnet werden, da es sich dabei um einen Phishing-Angriff handeln könnte. Außerdem ist wichtig zu wissen, dass Unternehmen niemals proaktiv nach sensiblen Daten wie Passwörtern oder Konto-PINs fragen. Verdächtige Anfragen sollten ignoriert und gelöscht werden. Um auf Nummer sicher zu gehen, sollten sich Nutzer direkt an das jeweilige Unternehmen wenden, um zu gewährleisten, dass es sich um eine legitime Anfrage handelt.
Social Engineering-Angriffe stellen mittlerweile eine weitverbreitete Bedrohung dar, die darauf abzielt, die Unachtsamkeit der Menschen auszunutzen – und damit oft erfolgreich ist. Daher ist es entscheidend, dass Benutzer wachsam bleiben und sich der potenziellen Gefahren bewusst sind. Sie sollten ermutigt werden, sich nicht von vermeintlich dringenden Anfragen oder Bedrohungen einschüchtern zu lassen. Stattdessen gilt es, ihnen das Wissen zu vermitteln, verdächtige Anfragen zu ignorieren und im Zweifelsfall sofortige Schritte zum Schutz ihrer persönlichen Daten einzuleiten.
Letztendlich sollten Nutzer auf ihr Bauchgefühl vertrauen und ungewöhnliche Anfragen an das jeweilige Unternehmen melden, damit die eigenen Sicherheitsvorkehrungen kontinuierlich verbessert werden. Die zuvor geschilderten Richtlinien können jedoch hilfreich sein, um den Schutz persönlicher und vertraulicher Informationen zu gewährleisten.
Security Awareness Schulungen von KnowBe4 sind von entscheidender Bedeutung, damit Unternehmen ihre Mitarbeiter sensibilisieren, Social Engineering-Angriffe zu erkennen und Schaden fernzuhalten. Ein wichtiger Aspekt ist vor allem die Erkennung von Phishing. Dabei helfen simulierte Phishing E-Mails mit Vorlagen, die sich an echten Beispielen orientieren. Laut den regelmäßig aktualisierten vierteljährlichen Phishing Reports sind, wie am Beispiel der Sicherheitsforscher aufgezeigt, vor allem HR- und Personal-Betreffzeilen bei den Angreifern beliebt.
