Social Engineering
Per E-Mail oder SMS tauschen wir sekundenschnell Informationen mit Personen in aller Welt aus. Das hat allerdings seinen Preis: Cyberkriminelle können genauso leicht mit Ihnen in Kontakt treten. Mithilfe von sogenanntem "Phishing" (E-Mails), "Smishing" (SMS-Nachrichten) oder "Vishing" (Anrufen) versuchen diese, an Ihre Informationen zu kommen.
Die Betrüger schicken Ihnen scheinbar legitime E-Mails oder SMS, in denen Sie aufgefordert werden, bestimmte Angaben zu machen, einen Link anzuklicken oder einen Anhang zu öffnen. Tun Sie dies nie. Melden Sie diese E-Mails über die Schaltfläche "Verdächtige E-Mail melden".
Wie kann ich mich vor Phishing schützen?
Phishing ist ein Betrug, bei dem ein Krimineller mit gefälschten oder unvollständigen Informationen versucht, jemanden zur Preisgabe von Passwörtern oder anderen vertraulichen Informationen zu verleiten. Um zu vermeiden, dass Sie auf solche Betrügereien hereinfallen, ist es wichtig zu wissen, was Phishing ist und wie Sie sich schützen können.
Phishing ist seit langem eine beliebte Taktik, um wertvolle Informationen von Benutzern zu stehlen. Die erfolgreichsten Phishing-E-Mails sind in der Regel so getarnt, dass sie aussehen, als kämen sie von einer bekannten oder seriösen Quelle. Diese E-Mails enthalten in der Regel Anhänge oder Download-Links zu bösartiger Software.
Auch wenn wir betonen, dass die Verwendung von LastPass Ihre gespeicherten Daten sicherer macht, gibt es dennoch einige bewährte Praktiken, die Sie befolgen sollten, um die Sicherheit Ihrer vertraulichen Informationen weiter zu schützen.
Geben Sie Ihr LastPass Master-Passwort NIEMALS an andere weiter LastPass-Vertreter werden Sie niemals auffordern, Ihr Master-Passwort per E-Mail, Telefon, Fax oder über einen anderen Kanal zu übermitteln, egal aus welchem Grund.
Verwenden Sie immer Antiviren-, Antimalware- und Firewall-Software Stellen Sie außerdem sicher, dass Sie diese Arten von Sicherheitssoftware so oft wie möglich auf allen von Ihnen genutzten Computern ausführen und dass die Listen Ihrer Virendefinitionsdateien auf dem neuesten Stand sind.
Klicken Sie niemals auf Links in E-Mails, deren Zusendung Sie nicht ausdrücklich angefordert haben Wenn Sie eine E-Mail mit einem Link erhalten, der Sie auffordert, Ihr Passwort zurückzusetzen oder sich auf einer Website anzumelden (was Sie nicht ausdrücklich angefordert haben), klicken Sie nicht auf die Links in der E-Mail.
Gehen Sie niemals davon aus, dass eine E-Mail, die Sie erhalten, tatsächlich von dem angegebenen Absender stammt Achten Sie auf allgemein gehaltene Informationsanfragen. Betrügerische E-Mails sind oft nicht personalisiert. Für Angreifer ist es jedoch sehr einfach, E-Mail-Signaturen zu fälschen. Selbst wenn Sie eine E-Mail von LastPass erhalten, gibt es keine Garantie dafür, dass die E-Mail tatsächlich von LastPass gesendet wurde - sie könnte genauso gut von einem Kriminellen gesendet worden sein, der sich als LastPass ausgibt. Als Sicherheitsmaßnahme identifiziert LastPass die IP-Adresse des Absenders, der die Anfrage am Ende jeder Sicherheits-E-Mail-Benachrichtigung von gestellt hat. Sie können die Reputation der IP-Adresse des Absenders auch über den Return Path's Sender Score auf der Website abrufen. Je niedriger die Punktzahl, desto wahrscheinlicher ist es, dass es sich bei der E-Mail um einen Phishing-Versuch handelt.
Achten Sie auf verräterische Zeichen in E-Mails, die verdächtig erscheinen Es gibt gemeinsame Merkmale und Taktiken, die von Spammern bei betrügerischen E-Mail-Betrügereien verwendet werden, wie z. B.: Der gesamte Nachrichtentext ist ein Bild, um den Benutzer zu verfolgen und Spam-Filter zu umgehen.
Schlechte Rechtschreibung und/oder Grammatik in der E-Mail-Nachricht. Einige dieser Nachrichten wurden schlecht aus anderen Sprachen übersetzt oder verwenden Buchstaben aus dem Alphabet, um bestimmte Symbole zu ersetzen (eine gängige Taktik, um Spam-Filter zu umgehen).
Fahren Sie mit der Maus über einen Link in der E-Mail (ohne tatsächlich auf den Link zu klicken), um festzustellen, ob die echte Website-Adresse mit der in der Nachricht eingegebenen URL übereinstimmt. Wenn der Link die tatsächliche Webadresse preisgibt, zu der der Benutzer weitergeleitet wird, sieht die URL-Zeichenkette im Text nicht wie die Webadresse aus, zu der der Benutzer geleitet wird.
Phisher verwenden gerne Einschüchterungstaktiken und können damit drohen, ein Konto zu deaktivieren oder Dienste zu verzögern, bis Sie bestimmte Informationen aktualisieren. Die meisten Phishing-Kampagnen enthalten eine Aufforderung zum Handeln. Wenn der Inhalt irgendeine Art von Dringlichkeit vermittelt, wie z. B. "Sie müssen jetzt in Ihr Konto klicken", handelt es sich möglicherweise um Betrug.
Keine nicht vertrauenswürdigen Computer oder Netzwerke verwenden Auf nicht vertrauenswürdigen Computern kann ohne Ihr Wissen Keylogging-, Screen-Capture- oder Traffic-Analyse-Software vorinstalliert sein.
Lassen Sie sich nicht beeindrucken, wenn jemand, der behauptet, LastPass zu sein, persönliche oder vertrauliche Informationen über Sie hat Die einzige Information, die LastPass hat, um Sie zu identifizieren, ist Ihr Benutzername (Konto-E-Mail-Adresse). LastPass verfolgt bei der Passwortverwaltung ein Null-Wissen-Sicherheitsmodell - das bedeutet, dass Sie zwar vertrauliche Informationen in Ihrem LastPass-Vault speichern (z. B. Zahlungskarten, Bankkonten, Sozialversicherungsnummern, Adressinformationen usw.), LastPass aber niemals die Möglichkeit hat, Ihre gespeicherten Daten einzusehen.
Verwenden Sie immer LastPass, um die Anmeldedaten für die von Ihnen besuchten Websites automatisch auszufüllen Die Verwendung von LastPass schützt Sie vor Phishing-Angriffen mit gefälschten Websites, da LastPass automatisch nur Ihre Anmeldedaten für die tatsächliche Website ausfüllt. Nehmen wir zum Beispiel an, die Website Ihrer Bank befindet sich unter und die gefälschte Website eines Kriminellen, die genauso aussieht wie die Website Ihrer Bank, befindet sich unter Wenn Sie Opfer eines Phishing-Betrugs werden und unwissentlich auf weitergeleitet werden, wird LastPass NICHT automatisch die Anmeldedaten Ihrer Bank-Website eingeben.
Dauerbrenner Phishing: So schützen Sie sich
Das ist Phishing
Beim Phishing durchforsten Cyberkriminelle das Internet nach Mobilnummern und E-Mail-Adressen, zum Beispiel von Verkaufsplattformen, Kleinanzeigen, Jobbörsen oder Dating-Portalen. An diese Nummern und Adressen werden dann SMS oder Mails verschickt, die einen Link zu einer Webseite enthalten.
Oft geben sie sich als Nachrichten von einer Bank, von Logistikunternehmen wie DHL oder vom Internet-Provider aus. Wer auf den Link klickt, wird bei einem Phishing-Angriff meistens dazu aufgefordert, geheime Zugangsdaten einzugeben. Folgt man der Aufforderung, haben Kriminelle Zugang zum betreffenden Konto.
Alternativ werden Nutzer*innen per Phishing-SMS oder E-Mail animiert, eine Webseite aufzusuchen und von dort Apps herunterzuladen und zu installieren. Diese Apps können sich auch als Update oder Sicherheitszertifikat ausgeben und enthalten meist Schadprogramme oder Adware.
Wird die App heruntergeladen und installiert, kann das Schadprogramm das Kontaktverzeichnis des Opfers durchgehen und den Schadlink per SMS weiter senden. Weil die SMS dann von einer Person stammt, die dem Empfänger oder der Empfängerin bekannt ist, ist die Erfolgsrate viel höher.
Daneben können die Schadprogramme noch viele andere Dinge tun, zum Beispiel SMS an Premium-Dienste versenden.
Was Schadprogramme sind und wie sie auf Mobilgeräte gelangen, erfahren Sie im Text Schadprogramme auf dem Handy
Wer, wo, wann?
Die Strategie ist weit verbreitet und wird per SMS, aber auch per E-Mail, Messenger und Facebook praktiziert. Besonders oft werden Nachrichten von Amazon, PayPal und DHL gefälscht. Auch angebliche Nachrichten von WhatsApp, zum Beispiel mit "Ihr Konto wird Kostenpflichtig", oder vermeintliche Gutscheine sind beliebt.
Nutzer*innen von iPhones oder iPads sollten auch bei der Eingabe ihrer Apple-ID und des zugehörigen Passwortes vorsichtig sein. Wie ein IT-Experte 2017 beschrieben hat, ließe sich die typische Systemmeldung von iOS leicht von einer App imitieren. Dieser Trick wurde bisher allerdings nur theoretisch beschrieben.
Das können Sie tun
Klicken Sie niemals auf Links von unaufgefordert zugeschickten Nachrichten per Mail, SMS, Messenger oder aus sozialen Netzwerken. Laden Sie niemals etwas herunter, das Ihnen auf Seiten angeboten wird, die Sie über solche Links erreicht haben.
Achten Sie auf die Absenderadresse. Enthält sie kryptische Namen und Zeichenfolgen wie zum Beispiel "adebolajibolaji@xxx" oder "xxx@infymailz.info"? Dann sollten Sie misstrauisch werden.
Wenn Sie über einen solchen Link auf einer Seite landen, die angeblich der Firma xy gehört, dann können Sie eine Fälschung an der Internetadresse erkennen. Achten Sie dabei auf Tippfehler, Bindestriche, oder ungewöhnliche Endungen wie zum Beispiel oder Im Zweifel tippen Sie den Firmennamen in eine Suchmaschine, und rufen die Seite dann aus den Suchergebnissen auf.
Sonderfall homographisches Phishing
Achtung: Beim sogenannten homographischen Phishing sind die gefälschten Webadressen mit bloßem Auge nicht zu erkennen. Dabei werden sogenannte Unicode-Zeichen verwendet, die für das Auge genauso aussehen, wie ein bestimmter Buchstabe, vom Computer aber als etwas anderes gelesen werden. So kann es passieren, dass Sie zum Beispiel die Adresse lesen, diese aber trotzdem nicht Apple gehört.