01.09.2013
Sicherheit
Vorsichtsmaßnahmen gegen Phishing
Autor: Michael Rupp
Foto: stroemung GmbH
Bei Phishing sind Anwender vor allem auf einen wirkungsvollen Eigenschutz angewiesen, da Sicherheits- und Virenabwehr-Tools bei diesen Betrugsmaschen oft ins Leere laufen.
Neben Viren und Trojanern geht ein großer Teil der Online-Kriminaldelikte auf das Konto von Phishing-Betrügern. Sie versuchen, PC-Nutzer mit fingierten E-Mails von Kreditinstituten, Behörden und Firmen zur Preisgabe von Zugangsdaten zu bewegen, um anschließend Daten zu stehen oder Konten abzuräumen. Der Branchenverband Bitkom, dem viele der in den fingierten Mails genannten Unternehmen angehören, hat Tipps zur Abwehr von Phishing-Angriffen veröffentlicht.
Gesundes Misstrauen bei E-Mails
Banken bitten ihre Kunden nie per E-Mail, vertrauliche Daten im Netz einzugeben. Diese Mails sind gefälscht – am besten sofort löschen. Das Gleiche gilt für dubiose E-Mails von Unbekannten, vor allem, wenn eine Datei angehängt ist oder ein Link, dem der Nutzer folgen soll. Hinter dem Anhang könnte ein Schadprogramm stecken, zum Beispiel ein Phishing-Trojaner.
Verdächtigen Dateien auf keinen Fall öffnen! Hinter dem Link verbirgt sich in der Regel eine präparierte Webseite, die den Rechner beim Aufruf verseucht. Häufig wird in der E-Mail mit einer Kontosperre gedroht. Mit solchen Einschüchterungen wollen Betrüger Bankkunden unter Druck setzen. PC-Nutzer sollten Drohungen ignorieren und Phishing-Mails nie beantworten.
Malware-Prophylaxe
Wichtig ist eine gute Sicherheitsausstattung des Computers. Laut Bitkom Standard sind ein Anti-Viren-Programm und eine Firewall, um den PC vor schädlichen Dateien zu schützen. Die wichtigen Programme eines Computers müssen regelmäßig aktualisiert werden. Updates sind umgehend zu installieren. Datenträger wie Speicherkarten, USB-Sticks oder CDs/DVDs sollten auf Viren geprüft werden. Öffentliche Computer sind für Bankgeschäfte nicht geeignet.
Sicherer Aufruf der Bank-Webseite
Beim Online-Banking sollte die offizielle Adresse der Bank immer direkt eingegeben oder über eigene Lesezeichen (Favoriten) aufgerufen werden. Maßgeblich ist die Adresse, die die Bank in ihren offiziellen Unterlagen angibt. Die Verbindung zum Bankcomputer muss verschlüsselt sein. Das ist erkennbar am „https“ in der Web-Adresse und einem Schloss- oder Schlüssel-Symbol im Browser.
Moderne Transaktions-Verfahren nutzen
Sicherer als Standard-TANs ist das iTAN-Verfahren, bei dem die TAN-Codes nummeriert sind. Ein Zufallsgenerator der Bank bestimmt, welche TAN aus der Liste eingegeben werden muss. Noch weniger Chancen haben Kriminelle beim mTAN-Verfahren: Die TAN wird dem Kunden aufs Handy geschickt und ist nur kurzzeitig gültig. Wichtig ist aber, dass auf dem Handy keine Schadprogramme sind. Weitere Schutzverfahren sind chipTAN und HBCI, bei denen der Kunde als Zusatzgeräte einen TAN-Generator oder ein Kartenlesegerät nutzt.
Mit Geheimzahlen richtig umgehen>
Passwort (PIN) und Transaktionsnummern sollte man nicht auf dem PC speichern. Auch eine automatische Speicherung im Internet-Programm (Browser) ist riskant. Ein frei wählbares Passwort fürs Online-Banking sollte mindestens acht Zeichen lang sein und möglichst aus einer zufälligen Reihenfolge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Fürs Online-Banking unbedingt ein separates Passwort wählen - keines, das auch für andere Dienste im Web genutzt wird. Empfehlenswert ist auch, die PIN rund alle drei Monate zu ändern.
Fazit
Die Anti-Phishing-Tipps der Bitkom enthalten keine neuen Ansatzpunkte, sind in ihrer Zusammenstellung aber dennoch nützlich.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>