Daten-Phisher nutzen bestehende Sicherheitslücken in Browsern, Mailprogrammen, aber auch andere Software aus. Die meisten Hersteller veröffentlichen daher in kurzen Abständen Aktualisierungen, die die bekannt gewordenen Lücken schließen („Patches“). Sie sollten diese Sicherheits-Aktualisierungen unbedingt schnellstmöglich installieren. Viele Hersteller informieren automatisch. Weitergehend informiert auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Newsletter „Sicher • Informiert“, den das BÜRGER-CERT des BSI https://www.buerger-cert.de/ alle zwei Wochen veröffentlicht.
Diese Punkte sind dabei besonders wichtig:
Achten Sie auf das Schlosssymbol in der Statuszeile Ihres Browsers. Nur wenn dieses Symbol auftaucht, werden Ihre Daten verschlüsselt (mit dem SSL Verfahren) übertragen. Wenn Sie auf das Schlosssymbol klicken, öffnet sich ein Fenster („Zertifikat“) mit Informationen über den Betreiber der Webseite. Der dort angegebenen Namen der Webseite muss mit jenem in der Statuszeile übereinstimmen. Außerdem muss das Zertifikat von einer anerkannten Stelle ausgestellt worden sein. Es existiert mittlerweile eine große Zahl an privaten wie öffentlichen Anbietern von Zertifikaten. Die Bundesnetzagentur ist als Behörde zuständig und veröffentlicht auf ihrer Webseite die Namen jener Anbieter, die von ihr geprüft wurden. Ihr Browser zeigt eine Warnmeldung an, wenn ein Zertifikat abgelaufen ist oder eine unsichere Herkunft hat.
Achten Sie unbedingt darauf, dass die in der Adresszeile angegebene Webadresse (URL, Uniform Resource Locator) mit „https“ und nicht wie sonst üblich mit „http“ beginnt – das ist ein deutlicher Hinweis dafür, dass eine durch SSL gesicherte Verbindung aufgebaut wurde. Leider können Betrüger auch das „https“ in der URL fälschen. Als Sicherheitscheck hilft es hier, nach einem Klick mit der rechten Maustaste den Bereich „Seiteninformationen“ aufzurufen und die Quelle dort nachzuschlagen.
Nutzen Sie das NoPhish-Training der SECUSO Forschungsruppe auf
https://secuso.aifb.kit.edu/betruegerische_nachrichten_erkennen.php
Schauen Sie sich die Anti-Phishing-Videos der SECUSO-Forschungsgruppe auf YouTube an.
Weitere Informationen hier: der SECUSO-Forschungsgruppe an der TU Darmstadt
Banken, Online-Shops und sonstige seriöse Anbieter kennen natürlich die Tricks der Phisher und schicken daher niemals E-Mails mit Links mit der Aufforderung, dort vertrauliche Daten einzugeben. Wenn Sie eine solche Aufforderung per E-Mail bekommen, können sollten Sie sie gleich löschen. Wenn Sie unsicher sind, rufen Sie einfach bei Ihrem Geschäftspartner an und fragen nach – aber klicken Sie niemals einfach auf Links in E-Mails. Das gleiche gilt natürlich für Telefonanrufe – geben Sie niemals Passwörter, PIN oder TAN per Telefontastatur oder Sprachcomputer ein, wenn jemand sie anruft und dazu auffordert.
Klicken Sie nicht auf in E-Mails enthaltene Links, sondern tippen Sie die Internetadressen der Seiten, die Sie aufrufen wollen, immer manuell ein!
Reagieren Sie nicht auf vermeintliche Anrufe Ihrer Bank oder eines angeblichen Geschäftspartners, in denen Sie zur Eingabe von PIN oder TAN aufgefordert werden – etwa mit der Behauptung, Ihre Kreditkarte sei verloren gegangen.
Schalten Sie in Ihrem Browser die Funktion „Aktive Inhalte ausführen“ generell aus. Wenn Sie darauf nicht verzichten wollen oder können (weil mache Webseiten ohne aktive Inhalte nicht funktionieren), so stellen Sie Ihren Browser so ein, dass er in jedem Einzelfall bei Ihnen anfragt, ob Aktive Inhalte ausgeführt werden dürfen.
Öffnen Sie E-Mails und darin enthaltene Anhänge nur dann, wenn Sie aus vertrauenswürdiger Quelle stammen.
Setzen Sie eine Firewall und Virenschutzsoftware ein und achte Sie auf regelmäßige Aktualisierung.
Sorgen Sie dafür, dass alle Softwareaktualisierungen für Betriebssystem und auch andere Software zeitnah nach Erscheinen installiert werden, nutzen sie die angebotenen automatischen Updates!
Schauen Sie sich die Anti-Phishing/Betrugs-Videos der SECUSO-Forschungsgruppe auf YouTube an.
Als Angehöriger der TU Braunschweig informieren Sie umgehend das GITZ über den Service-Desk! Die für Sicherheitsfragen zuständigen Mitarbeiter können den Vorfall verfolgen und prüfen, ob Schaden entstanden ist. Ansonsten: Falls tatsächlich bereits Summen unberechtigt überwiesen worden sind, so wenden Sie sich bitte umgehend an die Polizei – unter Einhaltung der Vorschriften Ihres Arbeitgebers, falls zutreffend.
Siehe auch:BSI - Spam, Phishing & Co (bund.de)
Hier können Sie testen, ob Ihre E-Mail Adresse in einem der bekannten Daten-Leaks/Hacks auftaucht: