Blog

Häufige Phishing-Betrügereien und wie man sie erkennt und vermeidet

So vermeiden Sie häufige Phishing-Betrügereien



Phishing ist eine Möglichkeit für Identitätsdiebe, Betrüger und Betrüger, Informationen zu stehlen. Sie tun dies durch den Einsatz von Social Engineering oder Täuschung. Das Ziel besteht darin, Sie dazu zu verleiten, vertrauliche oder persönliche Informationen preiszugeben, die dann für betrügerische Zwecke wie Identitätsdiebstahl verwendet werden können.

Sie benötigen genügend Informationen, um sich in der virtuellen Welt des Internets oder in einer modernen Bank als Sie auszugeben oder sogar zu ersetzen. Diese Informationen können so einfach sein wie Ihr vollständiger offizieller Name, Ihre Sozialversicherungsnummer und Ihre Wohnadresse. Es kann auch so detailliert sein wie Bankkontonummern, Online-Banking-Zugangsdaten, den Mädchennamen Ihrer Mutter und sogar die geheimen Fragen und Antworten für Ihr Online-Banking oder PayPal-Konto.



Inhalt [ verstecken ]

Die verschiedenen Arten von Phishing

Es gibt verschiedene Arten von Phishing, die sich an unterschiedliche Gruppen richten. Die häufigste Art von Phishing ist eine einfache E-Mail, in der behauptet wird, von jemandem zu stammen, der glaubhaft Informationen von Ihnen benötigt, um etwas zu erreichen, das für Sie von Nutzen ist. Es gibt Ansprüche auf Gelder, die auf Ihr Bankkonto überwiesen werden müssen, Geldstrafen, die bezahlt werden müssen, um Sie vor dem Gefängnis zu bewahren, Anfragen nach Steuer- und Finanzdokumenten oder so ziemlich alles andere, was dazu führen würde, dass Sie dem Angreifer was auch immer sie schicken Bitte um. Neben den allgemeinen Angriffen gibt es hier einige gezieltere Varianten von Phishing-Angriffen.



Speerfischen

Speerfischen ist eine gezielte Form des Phishings. Bei einem Spear-Phishing-Angriff verfügt der Angreifer über einige Informationen über Sie, bevor er Ihnen etwas sendet. Sie überwachen Ihre Social-Media-Präsenz, um zu sehen, ob Sie etwas über Ihre letzten Einkäufe posten. Sie halten Ausschau nach Erwähnungen von Online-Händlern, bei denen Sie eingekauft haben, von online gekauften Produkten oder sogar von Dating-Seiten.

Wenn Sie twittern, dass Sie gerade die neueste iWatch von Best Buy gekauft haben, haben sie einen Köder für ihre Falle. Da sie Ihre Social-Media-Präsenz bereits beobachten, wissen sie ein wenig über Sie, wie Ihren Namen und wahrscheinlich zunächst einmal die Stadt, in der Sie leben.

Anschließend können sie ihr Wissen über Sie nutzen, um eine E-Mail zu verfassen, die vorgibt, von Best Buy zu stammen. In dieser E-Mail wird möglicherweise darauf hingewiesen, dass bei Ihrem letzten Einkauf ein Problem mit Ihrer Kreditkarte aufgetreten ist und dass Sie das Online-Formular ausfüllen müssen, um Ihre Karteninformationen zu bestätigen. Oder er könnte behaupten, ein Freund von Ihnen zu sein und wissen wollen, ob Sie diese wirklich coole App für Ihre neue iWatch installiert haben. Wenn nicht, steht Ihnen ein einfaches Registrierungsformular zur Verfügung, das Sie ausfüllen können, um die App zu erhalten. Möglicherweise geben sie sich sogar als jemand von der Dating-Website aus und behaupten, dass Ihr Profil vervollständigt werden muss, bevor Sie weitere Aufrufe erhalten.

Die Möglichkeiten sind hier nahezu endlos und können, wie wir Anfang des Jahres berichteten, Erpressung einschließen .

Walfang oder CEO-Phishing

Da es beim Phishing vor allem darum geht, sich unbefugten Zugriff auf Informationen zu verschaffen, warum nicht diejenigen angreifen, die im Besitz der meisten Informationen sind? Angreifer, die hochrangige Führungskräfte in Unternehmen ins Visier nehmen, tun dies, um Zugriff auf das E-Mail-Konto einer Autoritätsperson zu erhalten. Mit vollem Zugriff auf dieses Konto können sie auf die Daten aller Mitarbeiter zugreifen, betrügerische Überweisungen veranlassen oder in nahezu jeder Abteilung des Unternehmens Chaos anrichten.

Nicht viele Leute werden noch einmal überprüfen, ob der Vertriebsleiter wirklich alle HR-Dateien des gesamten Vertriebsteams benötigt. Wann haben Sie realistisch gesehen das letzte Mal auf eine Anweisung Ihres Chefs mit „Wirklich?“ geantwortet. Bist du sicher, dass du das brauchst?“ Es passiert einfach nicht.

Verwandt:CEO-Betrug und wie man ihn vermeidet.

W2-Phishing

Eine noch gezieltere Variante des Whalings besteht darin, dass ein Angreifer das E-Mail-Konto einer Führungskraft nutzt oder manipuliert, nur um an die W2-Nummern von Mitarbeitern oder die W9-Nummern von Auftragnehmern zu gelangen. Die Steuersaison ist die schlimmste Zeit für solche Angriffe, da die Lohn- und Gehaltsabteilungen der meisten Unternehmen es gewohnt sind, solche Anfragen zu erhalten.

Diese Anfragen müssen nicht einmal von einem Unternehmensleiter kommen. Sie können so gefälscht werden, dass sie scheinbar vom IRS, dem Hersteller einer bestimmten Marke beliebter Steuersoftware oder sogar von einem CPA-Büro stammen. Die effektivsten Antworten scheinen von einer hochrangigen Führungskraft innerhalb des Unternehmens zu kommen, aber der Anschein, vom IRS zu kommen, kann gerade genug Angst schüren, um einer genauen Prüfung zu entgehen.

Phishing zur Verbreitung von Ransomware

Im Jahr 2016 wird das geschätzt neunzig Prozent der Phishing-E-Mails irgendeine Form von Ransomware in sich trug. Während das Ziel von Phishing darin besteht, sich Zugang zu Informationen zu verschaffen, beginnen die Angreifer, ein Ransomware-Paket zu bündeln, um ihre Einnahmen aus diesen Angriffen zu erhöhen.

Das wirklich Heimtückische daran ist der Glaube dieser Angreifer, dass jeder, der leichtgläubig genug ist, Opfer von Phishing zu werden, wahrscheinlich auch das Lösegeld zahlen wird, wenn seine Dateien und Fotos gesperrt wurden. Leider stützen die Statistiken am Ende dieses Artikels diese Annahme.

Wünschen

Mit der zunehmenden Beliebtheit von Voice-over-IP-Technologien (VoIP) sind einige Phisher dazu übergegangen, Menschen einfach anzurufen, um durch Phishing an ihre Informationen zu gelangen. Ein VoIP-Server kann so eingerichtet werden, dass er nahezu jede Entität nachahmt, als die sich ein Phisher ausgeben möchte, von einer Bank bis zu einer Zweigstelle der Regierung. Der Himmel ist hier wirklich die Grenze.

Die Möglichkeit, die vom Server bereitgestellten Anrufer-ID-Informationen zu ändern, kombiniert mit der Möglichkeit, die Vorwahl auszuwählen, von der aus der Server anruft, macht es für einen Betrüger zum Kinderspiel, sich am Telefon als jemand anderes auszugeben. Berücksichtigt man das Ausmaß des Outsourcings heutzutage, ist es nicht einmal erforderlich, Englisch als Muttersprache zu haben, um dabei einigermaßen erfolgreich zu sein.

Siehe auch: Was ist Vishing? und wie man es vermeidet.

Schmunzelnd

Laut a Bericht aus dem Jahr 2010 90 Prozent der Textnachrichten werden innerhalb von drei Minuten nach Erhalt gelesen, und 99 Prozent der Textnachrichten werden gelesen. Es ist kein Wunder, dass SMS-Nachrichten zu einem weiteren Mittel für Betrüger geworden sind, um ihre Opfer ins Visier zu nehmen.

Wie bei jeder anderen Phishing-Kampagne sendet der Betrüger eine Massen-SMS an Hunderte oder sogar Tausende von Telefonnummern mit Behauptungen wie „Ihre Kredit-/Debitkarte wurde aufgrund verdächtiger Aktivitäten deaktiviert.“ Bitte rufen Sie unsere gebührenfreie Nummer an, um Ihre Daten zu überprüfen.“ oder „Sie wurden ausgewählt, um einen Einkaufsbummel im Wert von 1.000 US-Dollar zu gewinnen.“ Seien Sie einfach einer der ersten 100 Besucher dieser Webseite, die Ihren Preis einfordern.“ Auch hier zielen die Taktiken darauf ab, schnell zu reagieren und so viele Informationen wie möglich über das Opfer zu sammeln.

Verwandt: Was ist SMiShing? und wie kann es vermieden werden.

Was sind die häufigsten Taktiken für Phishing-Angriffe?

Die am häufigsten eingesetzten Taktiken werden per E-Mail übermittelt, wobei die E-Mails vorgeben, von PayPal, einer der großen Banken oder sogar vom FBI, der CIA oder dem Heimatschutzministerium zu stammen, um nur einige zu nennen. Die E-Mails enthalten alle offiziell aussehenden Logos der imitierten Entität, aber auch zwei sehr wichtige Werbegeschenke:

  1. Es besteht ein starkes Gefühl der Dringlichkeit, das Sie dazu zwingt, sofort Maßnahmen zu ergreifen, um zu verhindern, dass Ihnen etwas Schlimmes passiert, wie z. B. die Beschlagnahme von Vermögenswerten, die Sperrung Ihres Kontos oder sogar eine Verhaftung
  2. Sie erhalten entweder eine angehängte Datei, die Sie ausfüllen müssen, oder einen Link zu einer Website mit Feldern für persönliche Informationen, die Sie ausfüllen müssen

Bedenken Sie, dass das Ziel eines Phishers darin besteht, Informationen zu sammeln, die Sie nicht an irgendjemanden weitergeben würden. Dazu müssen Sie davon ausgehen, dass Sie es mit einer Autoritätsperson zu tun haben und dass sie einen triftigen Grund für die Erhebung dieser Informationen haben.

Beispiele:

  1. PayPal hat Ihnen per E-Mail mitgeteilt, dass auf Ihrem Konto verdächtige Aktivitäten festgestellt wurden. Aus Höflichkeit wird Ihr Konto gesperrt, bis Sie genügend Informationen bereitstellen, um zu beweisen, dass Sie der rechtmäßige Eigentümer des betreffenden Kontos sind. Sie tun dies entweder, indem Sie das beigefügte Formular ausfüllen und auf die Schaltfläche „Senden“ klicken oder indem Sie auf die E-Mail mit Antworten auf eine Liste von Fragen antworten, z. B. „Wie lautet der Mädchenname Ihrer Mutter?“ und „Welche Bank nutzen Sie für Ihre persönlichen Girokonten?“ und sogar „Wie lauten Ihre Bankkontonummern für alle Ihre Girokonten?“
  2. Wells Fargo hat verdächtige Aktivitäten mit Ihrer Kreditkarte festgestellt und Ihr Konto gesperrt. Um Ihr Guthaben freizuschalten, müssen Sie das beigefügte Dokument ausfüllen und es über den im Dokument bereitgestellten Link per E-Mail an das Unternehmen zurücksenden
  3. Das FBI hat illegale Aktivitäten an der IP-Adresse Ihres Computers verfolgt. Wenn Sie das beigefügte Formular nicht ausfüllen und keine Kaution (in der Regel einen Bitcoin) hinterlegen, wird Ihrer örtlichen Strafverfolgungsbehörde ein Haftbefehl ausgestellt, der Sie festnimmt und Sie bis zu Ihrem Prozess festhält.
  4. Sie haben eine Lotterie gewonnen, für die Sie nie ein Los gekauft haben.

Phishing-Websites sind auch ein wirksames Mittel, um ahnungslose Benutzer dazu zu bringen, Informationen preiszugeben, die sie normalerweise nicht preisgeben würden. Hierbei kann es sich um gefälschte Anmeldeseiten handeln, die so gestaltet sind, dass sie genau einem beliebten oder gewöhnlichen Unternehmen ähneln. Laut Symantec Benutzern des beliebten Cloud-Dateispeicherdienstes Dropbox wurde eine gefälschte Anmeldeseite angezeigt, die von demselben Cloud-Dateispeicherdienst gehostet wurde.

Eine wirklich komplexe Version dieser Taktik besteht darin, an die Anmeldeinformationen des Benutzers zu gelangen, die von der gefälschten Anmeldeseite im Klartext aufgezeichnet werden, damit der Angreifer sie später verwenden kann. Der Browser des Benutzers wird dann mit den übermittelten Anmeldeinformationen zur Anmeldeseite der echten Website weitergeleitet. Der Gesamteffekt besteht darin, dass der Benutzer angemeldet ist, ohne dass Anzeichen dafür vorliegen, dass seine Daten gerade gestohlen wurden.

Der Angreifer kann sich dann nach Belieben in das Konto des Benutzers einloggen und damit frei herumspielen. Sie können dieselben Anmeldeinformationen auch mit anderen Online-Diensten vergleichen, um festzustellen, ob der betreffende Benutzer dieselbe Kombination aus Benutzername und Passwort anderswo verwendet hat, beispielsweise bei Gmail, Yahoo!, eBay oder allen großen Online-Banking-Websites.

Das Internet ist nicht das einzige Medium für Phishing. Mit der zunehmenden Beliebtheit von Smartphones ist auch die Nutzung von SMS-Nachrichten und Telefonanrufen an Mobiltelefonnummern mit Informationsanfragen gestiegen. Es ist möglich, dass ein Angreifer die Anrufer-ID ändert, um falsche Informationen preiszugeben, oder sogar eine VoIP-Telefonnummer mit einer lokalen Vorwahl des potenziellen Opfers verwendet.

Sie können dann behaupten, eine Bank, ihr Kreditkartenabwickler oder sogar eine örtliche Strafverfolgungsbehörde zu sein. Da es sich bei ihnen um Betrüger handelt, ist keine Behauptung zu unverschämt, solange sie funktioniert.

So vermeiden Sie, süchtig zu werden

Erstens: Keine Panik. Egal, was in der E-Mail, im Telefonanruf oder auf der Website steht, so schlimm ist es nie. Wäre dies der Fall, würden Sie im Internet keine Benachrichtigung per vorab aufgezeichneter Nachricht in einem Telefonanruf, einer E-Mail oder über eine Pop-up-Anzeige erhalten.

Wenn Wells Fargo verdächtige Aktivitäten auf Ihrem Konto feststellt, lehnt das Unternehmen normalerweise die verdächtige Transaktion ab und lässt Sie von seinem Betrugspräventionsteam telefonisch anrufen, um herauszufinden, ob es sich um einen legitimen Kauf handelt.

Bei Problemen sperrt PayPal gelegentlich Konten, sendet Ihnen jedoch niemals einen Anhang zum Ausfüllen und Zurücksenden. Sie werden Sie auch niemals nach Details wie dem Mädchennamen Ihrer Mutter fragen, außer vielleicht als Geheimfrage für den Fall, dass Sie Ihr Passwort vergessen haben.

Das FBI hat den Ruf, illegale Websites zu schließen und ihre Homepage durch eine eigene Warnseite zu ersetzen. Der Besuch einer dieser Websites stellt jedoch keine illegale Aktivität dar, sodass Ihnen für den Besuch einer Website keine Geldstrafe auferlegt werden kann.

Wenn die E-Mail einen Link enthält, führt dieser zur Haupthomepage oder möglicherweise zu einer Anmeldeseite. Um den Link zu überprüfen, platzieren Sie einfach Ihren Mauspfeil über dem Link, klicken Sie jedoch nicht darauf. Wenn Ihr Mauspfeil über einem Link „schwebt“, erscheint am unteren Rand des Fensters ein kleines Popup, das anzeigt, wohin dieser Link führt.

Nur weil Sie PayPal in blauer Schrift mit einer Unterstreichung im E-Mail-Text sehen, heißt das nicht, dass die Website, die geöffnet wird, die von PayPal ist. Es könnte „Bob’s Famous Rip Offs and Scams, Inc.“ sein.

Die angegebenen Links verweisen auf die URL unten

Auf Mobilgeräten können Sie beim Lesen der E-Mail einen Link in der E-Mail gedrückt halten, um zu sehen, wohin sie geht. Anschließend haben Sie die Möglichkeit, die URL zu kopieren, im Standardbrowser Ihres Geräts zu öffnen oder die Auswahl abzubrechen.

Option zum Kopieren der URL
Manchmal wird die URL durch Websites wie verschleiert bit.ly . Websites wie diese sind dazu gedacht, URLs zu kürzen, um sie in Tweets oder Mikroblog-Beiträge einzufügen, bei denen die Anzahl der Zeichen für Ihren Beitrag begrenzt ist. Es gibt keinen Grund, die Ziel-URL für eine legitime Korrespondenz zu verbergen, die per E-Mail zugestellt wird.

Bei betrügerischen Websites müssen vor allem die tatsächliche Website-Adresse, das Vorhandensein eines Sicherheitszertifikats und die Gültigkeit eines solchen Zertifikats überprüft werden.

Website-Sicherheitszertifikat

Das grüne Vorhängeschloss-Symbol im obigen Beispiel zeigt an, dass die in der Adressleiste angezeigte URL mit der im Sicherheitszertifikat eingebetteten URL übereinstimmt und dass das Sicherheitszertifikat von einem seriösen Zertifikatsaussteller stammt. Weitere Informationen finden Sie unter Wie erkennt man sichere Websites? Hier.

Insbesondere bei E-Mails ist es hilfreich zu lernen, wie man die E-Mail-Header-Details überprüft, insbesondere bei E-Mails, die sofortiges Handeln erfordern. Auch die Unterlagen Ihres Chefs sollten Sie sicherheitshalber noch einmal überprüfen. Sie werden erstaunt sein, wie einfach es für einen Phisher ist, eine E-Mail-Adresse zu „fälschen“, die einer Person gehört, die Sie kennen und der Sie vertrauen. Dabei handelt es sich eher um einen Spear-Phishing-Angriff, der aber dennoch recht einfach durchzuführen ist.

Wenn die E-Mail einen Link enthält, der seriös erscheint, sollten Sie dennoch vermeiden, darauf zu klicken oder Anhänge zu öffnen. Große Unternehmen wie PayPal und Großbanken versenden keine E-Mails mit Anhängen. Stattdessen werden alle wichtigen Dokumente entweder per Post verschickt oder Ihrem Online-Konto beigefügt. Ihre E-Mails informieren Sie lediglich darüber, dass es eine Nachricht für Sie gibt, und fordern Sie auf, sich bei Ihrem Konto anzumelden, um herauszufinden, was diese Nachricht enthält.

Beachten Sie außerdem, an wen die E-Mail adressiert ist. Wenn die E-Mail rechtmäßig von Ihrer Bank oder von jemandem stammt, bei dem Sie tatsächlich ein Konto haben, wird sie an Sie adressiert. Nicht zu „Sehr geehrter Kunde“ oder „Sehr geehrte Damen und Herren“ oder gar „Sehr geehrter Kontoinhaber“.

Es stimmt zwar, dass es zu massiven Datenlecks bei Konten gekommen ist, doch die meisten Phisher und Betrüger machen sich nicht die Mühe, diese Datenbanken zu kaufen. Sie verlassen sich auf veraltetere Methoden, weil sie leider immer noch funktionieren.

Eine Ausnahme hiervon bildet der Fall von Spear-Phishing. Diese E-Mails werden an Sie adressiert, da der Spear-Phisher gezielt Sie ins Visier genommen hat. Seien Sie deswegen nicht zu paranoid. Sie überwachen wahrscheinlich mehrere Hundert Menschen, die nur darauf warten, dass sie irgendwo etwas posten, das als Köder verwendet werden kann.

Selbst wenn sie nur eine Rendite von einem Prozent erzielen, sind das immer noch Hunderte gestohlene Identitäten oder sogar Kreditkarten, die jetzt im Dark Web verkauft, zur Eröffnung von Kreditlinien, zur Erhebung unverschämter Gebühren für bestehende Kreditlinien oder einfach nur verwendet werden können Machen Sie sie für andere Betrügereien wie den inzwischen berüchtigten nigerianischen 419-Betrug ins Visier.

Eine Zusammenfassung der roten Flaggen/Gefahrenzeichen

  • Eine der größten Warnsignale, die auf einen möglichen Phishing-Angriff hinweisen können, ist ein falsch geschriebenes Wort oder eine schlechte Grammatik. Alle Unternehmen, die diese Betrüger nachahmen, beschäftigen professionelle Autoren und Redakteure, um sicherzustellen, dass ihre Korrespondenz und ihre Webpräsenz frei von Tippfehlern und grammatikalisch korrekt sind. Wenn Sie einen Fehler entdecken, ist die Wahrscheinlichkeit sehr hoch, dass die E-Mail nicht von dem Unternehmen stammt, von dem sie angeblich stammt, oder dass die Website nicht tatsächlich das aufgeführte Unternehmen repräsentiert. Wenn Sie keine Tipp- oder Grammatikfehler entdecken, bedeutet das nicht unbedingt, dass die Informationen vertrauenswürdig sind.
  • Jedes Unternehmen, das Sie in seiner Datenbank hat, wird alle E-Mails auch direkt an Sie adressieren und nicht an einen allgemeinen oder vagen Empfänger. Wenn Sie über ein PayPal-Konto verfügen, beginnt jede E-Mail, die Sie von PayPal erhalten, mit einer Begrüßung, die Ihren Namen enthält. Wenn dort „Sehr geehrte Damen und Herren“, „Sehr geehrter PayPal-Kontoinhaber“ oder auch „Wen es betrifft“ steht, können Sie sicher sein, dass es nicht von PayPal stammt. Auch im Fall von Spear-Phishing heißt das nicht, dass es legitim ist, nur weil Ihr Name in der Anrede steht.
  • Wenn die E-Mail einen Anhang enthält, löschen Sie diesen und fahren Sie mit anderen Dingen fort. Banken, PayPal und das FBI wissen es alle besser, als einer offiziellen Korrespondenz einen Anhang beizufügen. Öffnen Sie es nicht, antworten Sie nicht auf die E-Mail und klicken Sie auf keinen Fall auf Links in der E-Mail. Es ist ein Betrug und kann getrost weggeworfen werden. Die einzigen Ausnahmen von dieser Regel sinddigitale Signaturen, die manchmal als Anhänge angezeigt werden. Abgesehen davon sind Eigensinne als die unheiligsten aller Unheiligkeiten zu behandeln.
  • In E-Mail-Headern wird aufgezeichnet, woher eine E-Mail stammt, wohin sie gesendet wurde und welche Adresse für Antworten verwendet werden soll. In der Kopfzeile sind noch viele weitere Informationen gespeichert, aber diese drei sind die wichtigsten, um einen potenziellen Betrug zu identifizieren. Es ist tatsächlich sehr einfach, eine E-Mail so aussehen zu lassen, als käme sie von PayPal oder der Bank of America, aber es ist viel schwieriger, die tatsächliche E-Mail-Adresse zu verbergen, von der sie stammt. Wenn in Hotmail eine E-Mail von Microsoft als Junk gekennzeichnet wurde, wird beim Öffnen automatisch die vollständige E-Mail-Adresse des Absenders oben in der E-Mail angezeigt. Wenn die E-Mail nicht als Junk-E-Mail gekennzeichnet wurde, können Sie die E-Mail-Adresse überprüfen, indem Sie die E-Mail öffnen und Ihren Mauspfeil über den Namen des Absenders platzieren. Vollständiges E-Mail-Adressfeld Es öffnet sich ein kleines Feld mit der vollständigen E-Mail-Adresse des Absenders. Wenn es tatsächlich von der Firma stammt, von der es angeblich stammt, sollten Sie den Firmennamen nach dem „@“-Symbol sehen.
  • Gleiches gilt für alle Links innerhalb einer E-Mail. Wenn Sie Ihren Mauspfeil über dem Link platzieren, aber nicht darauf klicken, sehen Sie unten in Ihrem Browserfenster eine kleine Zeile mit der Ziel-URL des Links. Wenn diese URL nicht den Namen des Unternehmens enthält, von dem die E-Mail angeblich stammt, klicken Sie nicht darauf. Schließen Sie diese E-Mail, öffnen Sie Ihren Webbrowser und geben Sie selbst die Webadresse des Unternehmens ein.
  • Jede Behauptung, dass Sie Geld von jemandem außerhalb Ihres Heimatlandes erhalten, ist mit fast hundertprozentiger Sicherheit betrügerisch. Niemand wird dafür bezahlt, alte Akten zu durchforsten, um Geldempfänger zu finden. Kein Banker oder Regierungsbeamter jeglicher Art wird versuchen, Geld aus seinem Land zu schaffen, indem er eine beliebige Person über das Internet kontaktiert und einen Deal aushandelt. Keine Bank, mit der Sie noch nie Kontakt hatten, wird ein Konto auf Ihren Namen haben, das nur darauf wartet, von Ihnen in Besitz genommen zu werden.
  • Eine Website, die behauptet, Viren auf Ihrem Computer gefunden zu haben.Es gibt keine Websites, die Ihren Computer auf Viren scannen können. Computerviren sind heimtückische kleine Dinge, die einen viel größeren Zugriff auf Ihren Computer erfordern, als eine einfache Webseite bewältigen kann. Ein echtes Antivirenprogramm durchsucht nicht nur die Dateien auf Ihrer Festplatte nach Anzeichen einer Infektion, sondern durchsucht auch laufende Programme, aktive Dienste, versteckte Dienstprogramme und alle anderen Bereiche, in denen diese Fehler vermutet werden. Die Überprüfung all dieser Bereiche erfordert Zeit und Ressourcen wie Rechenleistung. Über eine Website ist das nicht möglich.
  • Ein Popup-Fenster des FBI verhängt gegen Sie eine Geldstrafe wegen illegaler Aktivitäten im Internet.Das FBI verwendet keine Popups, um Kriminelle online zu bestrafen. Sie werden Websites schließen, die illegale Waren verkaufen oder an Piraterie beteiligt sind, aber sie können keine Geldstrafen für den Besuch solcher Websites verhängen. Nur ein Richter ist befugt, gegen einen mutmaßlichen Straftäter eine Geldstrafe zu verhängen. Das FBI kann Beweise sammeln, einen Fall aufbauen, einen Haftbefehl gegen einen Verdächtigen beantragen und die eigentliche Festnahme durchführen, wenn ein Haftbefehl von einem Richter unterzeichnet wurde. Sie sind nicht befugt, gegen irgendjemanden Geldstrafen zu verhängen.
  • Eine Website, die Sie regelmäßig besuchen, erscheint höchst verdächtig und fordert Sie zur Anmeldung auf, zeigt aber nicht das grüne Vorhängeschloss an.Eine legitime Unternehmensanmeldung verfügt über ein Sicherheitszertifikat, das mit der URL der Website übereinstimmt. Dies kann dadurch überprüft werden, dass Ihr Browser das zuvor erwähnte grüne Vorhängeschloss-Symbol anzeigt. Für diese Seiten ist es am sichersten, die Seite zu schließen, einen neuen Tab zu öffnen und die tatsächliche URL selbst einzugeben. Alternativ können Sie auch Ihre Favoriten- oder Lesezeichenliste durchgehen und auf den dort hinterlegten Link klicken.
  • Gefälschte Subdomains. Dies ist eine clevere Taktik, bei der der Betrüger eine Website einrichtet, die genau wie die Homepage des Unternehmens oder der Agentur aussieht, als die er sich ausgeben möchte. Leider ist die URL für diese Entität bereits vergeben. Beispielsweise können sie den Domainnamen paypal.com derzeit nicht registrieren, da PayPal diese Domain bereits gesperrt hat. Nehmen wir jedoch an, dass der zukünftige Phisher iamascammer.com bereits als seine persönliche Domain registriert hat. Anschließend kann er versuchen, die Subdomain von paypal.iamascammer.com zu registrieren. Anschließend erstellen sie eine Webseite für diese Subdomain, die genauso aussieht wie die von PayPal, jedoch mit einem zusätzlichen Twist. Immer wenn ein Benutzer seine Anmeldeinformationen eingibt, wird ihm eine Seite angezeigt, auf der er aufgefordert wird, seine Identität zu bestätigen. Der Betrüger kann buchstäblich nach allen Informationen fragen, die er möchte, und es werden genügend Leute auf den Trick hereinfallen, um den Aufwand zu rechtfertigen. Nachdem sie ihre Informationen eingegeben haben, leitet die gefälschte Website dann auf die eigentliche PayPal-Website weiter und stellt die Anmeldeinformationen des Benutzers bereit. Sie wissen nichts davon, werden aber wahrscheinlich etwas ärmer, sobald der Betrüger sein PayPal-Konto bereinigt.

Wo Sie Phishing-E-Mails melden können

Die meisten Leute, die Phishing-E-Mails erhalten, löschen diese einfach, und das ist in Ordnung. Wenn jedoch eine E-Mail durch Ihren Spam-Filter geschlüpft ist und besonders effektiv oder gefährlich erscheint, oder wenn Sie einfach die Nase voll haben und eine proaktivere Rolle bei der Bekämpfung von Phishing übernehmen möchten, können Sie Phishing-E-Mails den Behörden melden.

In den USA gibt es mehrere Orte, an denen Sie Phishing melden können. Leiten Sie die E-Mail weiter an:

Die FTC weist darauf hin, dass es hilfreich ist, den vollständigen E-Mail-Header anzugeben, der die Anzeigenamen und E-Mail-Adressen von Absender und Empfänger, das Datum und den Betreff enthält. Einige dieser Informationen sind bei einigen E-Mail-Clients standardmäßig ausgeblendet. Daher müssen Sie möglicherweise nach einer Möglichkeit suchen, diese Informationen anzuzeigen.

Einwohner des Vereinigten Königreichs können Phishing-Betrug auf der Website melden Action Fraud-Website . Benutzer müssen lediglich ein paar Fragen zum Phishing-Versuch beantworten und wissen, wer sich ausgibt, um die entsprechende E-Mail-Adresse für die Weiterleitung zu erhalten.

Behebung des Schadens nach dem Haken

Wenn Sie auf cleveres Phishing hereingefallen sind, müssen Sie etwas Schadensbegrenzung betreiben. Behandeln Sie dies zunächst als einen Fall von Identitätsdiebstahl, vor allem weil es dazu führen kann, wenn Sie nicht handeln.

Fahren Sie Ihren Computer sofort herunter, für den Fall, dass im Phishing-Angriff ein Ransomware-Paket enthalten ist. Wenn Sie glauben, dass eine Ransomware-Infektion wahrscheinlich ist, holen Sie sich professionelle Hilfe. Wenn es sich bei dem PC um einen Arbeitscomputer handelt, informieren Sie umgehend Ihr IT-Team. Zögern Sie hier nicht. Eine Infektion dieser Art kann sich schnell auf die Server des Unternehmens und die Datenspeicher im Netzwerk ausbreiten und verheerende Schäden anrichten.

Wenn es sich um einen Personalcomputer handelt, benötigen Sie immer noch Hilfe. Fragen Sie Ihr IT-Team am Arbeitsplatz, ob es Ihnen helfen kann. Die Chancen stehen gut, dass sie es vielleicht nicht tun, aber fragen Sie trotzdem. Wenn sie nicht helfen können, kennen sie vielleicht jemanden in Ihrer Nähe, der das kann, zum Beispiel einen örtlichen Freiberufler oder Auftragnehmer. Das Ziel besteht hier darin, die Hilfe von jemandem zu erhalten, der entweder Ihre wichtigen Daten wiederherstellen oder noch nicht gesperrte Daten schützen kann.

Ihre zweite Aktion muss genauso unmittelbar erfolgen. Sie müssen mit einem anderen Computer online gehen und mit der Änderung Ihrer Passwörter beginnen. Beginnen Sie mit Ihrem Online-Banking und gehen Sie alle Seiten durch, die etwas mit Ihren Finanzen zu tun haben. Sobald Ihre Finanzen sicher sind, können Sie zu Ihren E-Mail-Konten, Dateispeicherdiensten, Social-Media-Konten und allen anderen Websites übergehen, die eine Anmeldung erfordern. Wenn Sie sich nicht an alle Websites erinnern können, für die eine Anmeldung erforderlich ist, schalten Sie Ihren Computer zur Überprüfung nicht wieder ein, bis er von einem kompetenten Techniker überprüft wurde.

Als potenzielles Opfer eines Identitätsdiebstahls sollten Sie sich auch an die großen Kreditauskunfteien wenden und eine Betrugswarnung auf Ihrem Kreditkonto einrichten. Dies hält einen Identitätsdieb zwar nicht davon ab, Ihre Identität auszunutzen, macht es aber einfacher, den Schaden an Ihrer Kreditwürdigkeit im Nachhinein zu beseitigen. Sie sollten in den nächsten Jahren auch damit beginnen, Ihre Kreditwürdigkeit sehr genau zu überwachen. Je schneller Sie auf einen Fall von Identitätsdiebstahl reagieren, desto einfacher ist es, die Kontrolle über Ihre Identität zurückzugewinnen, wenn etwas schief geht.

Wenn Sie Ihre Debit- oder Kreditkartendaten preisgegeben haben, rufen Sie Ihre Bank an und melden Sie die Karte als gestohlen. Sie sollten auch das Konto, mit dem die Karte verknüpft war, sorgfältig überwachen. Wenn dem Angreifer die Kontonummer selbst mitgeteilt wurde, bitten Sie Ihre Bank, dieses Konto zu schließen und ein neues zu eröffnen und dabei Ihr Geld auf das neue Konto zu überweisen. Behalten Sie Ihre Kontoauszüge im Auge und achten Sie auf verdächtige oder nicht autorisierte Einkäufe.

Wenn Ihr PayPal- oder eBay-Login gefährdet ist, versuchen Sie, sich bei Ihrem Konto anzumelden. Wenn möglich, ändern Sie Ihr Passwort und alle Sicherheitsfragen. Die Einrichtung der Zwei-Faktor-Authentifizierung wird für alle Konten, die dies zulassen, dringend empfohlen, da sie dazu beiträgt, das Risiko zu verringern, dass ein Angreifer Ihr Konto kapern kann, selbst wenn er über die Anmeldeinformationen verfügt.

Wenn Sie sich nicht mehr bei Ihrem Konto anmelden können, müssen Sie sich an das Unternehmen wenden und einen Kontodiebstahl meldensofort. Je länger Sie damit warten, Maßnahmen zu ergreifen, desto größer kann der Schaden für Ihre Konten sein.

Statistiken

Das Problem von Phishing und Online-Betrügereien ist so schlimm geworden, dass derzeit mehrere Unternehmen damit beauftragt sind, Fakten über diese Art von Angriffen zu sammeln und zu melden. Laut a Aktueller Bericht Ungefähr 30 Prozent der Phishing-E-Mails werden geöffnet. Dies wird als konservative Schätzung angesehen, die auf der Datenstichprobe eines Unternehmens basiert. Es gibt andere, die behaupten, dass diese Zahl bis zu 50 Prozent betragen kann, aber es fehlen konkrete Zahlen, um ihre Behauptung zu untermauern. In noch ein Bericht Im Jahr 2016 kam es zu einem starken Anstieg der versendeten Phishing-E-Mails.

JPMorgan Chase habe 2015 einen Test durchgeführt um zu sehen, wie viele ihrer Mitarbeiter auf einen Phishing-Betrug hereinfallen würden. Ganze 20 Prozent öffneten die Phishing-E-Mail. Das ist eine ziemlich beeindruckende Erfolgsquote. Mehr als genug, um die Erstellung einer einzelnen E-Mail und deren Weiterleitung über ein Massen-E-Mail-Programm an eine Liste mit Hunderttausenden E-Mail-Adressen zu rechtfertigen.

Der Anti-Phishing-Arbeitsgruppe identifizierte Anfang 2016 123.555 einzigartige Phishing-Websites. Im letzten Quartal 2016 sie berichteten 95.555 einzigartige Phishing-E-Mail-Kampagnen gingen allein bei ihren Kunden ein. In diesem Bericht wird außerdem festgestellt, dass Unternehmen aus dem Finanzdienstleistungssektor in 19,6 Prozent der Fälle die bevorzugten Ziele dieser Kampagnen waren.

Man muss nicht viel rechnen, um zu erkennen, dass eine Großbank wie JPMorgan potenziell Opfer von knapp 4.000 dieser Kampagnen werden kann. Das sind möglicherweise etwas unter 4.000erfolgreichPhishing-Kampagnen in nur einer Bank.

Zusammenfassung

Die wichtigste Regel bei E-Mails ist, sie alle mit Vorsicht zu genießen. Wenn Ihre Bank Ihr Konto wirklich sperren muss, ruft sie Sie an. Wenn PayPal ein Problem mit Ihrer Kontoaktivität hat, werden Sie darüber benachrichtigt, aber nicht um weitere Informationen gebeten, als bereits vorhanden sind. Und sie werden Sie mit Sicherheit niemals dazu auffordern, Ihre Kontodaten in einem Anhang zu bestätigen, den Sie ausfüllen und an sie zurücksenden müssen.

Die meisten Institutionen haben strenge Richtlinien gegen das Versenden von E-Mail-Anhängen. Außerdem sind alle E-Mails, die von der tatsächlichen Entität stammen, an Sie adressiert, enthalten Ihren Namen oder Benutzernamen für Ihr Konto und verfügen über eine Antwortadresse, die Teil der tatsächlichen Webpräsenz dieser Entität ist.

Seien Sie bei Websites vorsichtig, wenn Websites in einem neuen Browserfenster oder einer neuen Registerkarte angezeigt werden. Vor allem, wenn Sie Websites durchsuchen, die Bilder von Hasen mit Pfannkuchen auf dem Kopf enthalten.

Jeder kann eine Website so einrichten, dass sie genauso aussieht wie eine andere Website. Sie können sich sogar ein Zertifikat ausstellen lassen, aus dem hervorgeht, dass die URL tatsächlich das ist, was sie vorgibt zu sein. Wenn die Website jedoch https://www.barikofamerica.com/ lautet, können Sie sicher sein, dass sie nicht tatsächlich mit der Bank of America verbunden ist, auch wenn sie möglicherweise genau wie deren Homepage aussieht.

Bitte beachten Sie, dass https://www.barikofamerica.com/ zum Zeitpunkt der Erstellung dieses Artikels keine tatsächliche Website ist. Es wird hier lediglich als eine Möglichkeit verwendet, einen Rechtschreibfehler zu nutzen, um eine potenzielle Phishing-Site zu verschleiern.

Während ich diesen Artikel schrieb, erhielt ich eine E-Mail von Herrn Robert Pridemore von der National Security Agency in New York. Der Absender behauptet, er sei von der Bundesregierung nach Nigeria geschickt worden und ihm sei eine Akte mit einem roten Kreuz ausgehändigt worden, was bedeutet, dass mein Geld nicht überwiesen wurde.

Die E-Mail-Adresse des Absenders wird als „[email protected]“ angezeigt, die in der E-Mail angegebene physische Postanschrift stammt offenbar von der Chase Bank in Oakland Gardens, NY, und die Telefonnummer hat die Vorwahl von San Fernando Valley, CA. Schließlich stellte mir dieser angeblich offizielle Vertreter der NSA eine Gmail-E-Mail-Adresse zur Verfügung, über die ich ihn direkt kontaktieren konnte. Er oder sie hat nicht einmal versucht, die E-Mail-Adresse über einen gefälschten „mailto:“-Link zu verschleiern.

Leider ist dies das Mindestmaß an Raffinesse, das erforderlich ist, damit eine Phishing-Kampagne funktioniert. Obwohl ich Mr. Pridemore niemals kontaktieren würde, tun es doch zu viele Leute da draußen und werden am Ende für Hunderte, wenn nicht Tausende Dollar pro Person durchnässt oder ihre Identität wird gestohlen und an viel skrupellosere Charaktere verkauft.

Was für Dinge haben Sie gesehen, die entweder zu schön um wahr zu sein schienen oder einfach zu verdächtig waren? Hinterlassen Sie unten einen Kommentar und teilen Sie Ihr Beispiel eines Phishing-Angriffs.

^