Vermeidung von Social-Engineering- und Phishing-Attacken

Geben Sie sen­si­ble Infor­ma­tio­nen an nie­man­den weit­er, auss­er Sie sind sich ganz sich­er, dass die betr­e­f­fende Per­son diejenige ist, für die sie sich aus­gibt, und dass diese Per­son auch tat­säch­lich Zugang zu diesen Dat­en braucht.

Was ist eine Social-Engineering-Attacke?

Um eine Social-Engi­neer­ing-Attacke durchzuführen set­zt ein Angreifer men­schliche Inter­ak­tion ein (soziale Fähigkeit­en), um Infor­ma­tion über eine Organ­i­sa­tion oder ihre Com­put­er­sys­teme zu erhal­ten oder zu kom­pro­mit­tieren. Ein Angreifer erscheint vielle­icht unauf­fäl­lig und respek­ta­bel, behauptet möglicher­weise, ein neuer Mitar­beit­er zu sein, ein Mechaniker oder Forsch­er, und weist vielle­icht sog­ar Papiere oder son­stige Beweis­mit­tel vor, um diese Iden­tität zu stützen. Aber, indem er Fra­gen stellt, kann er sich vielle­icht in die Lage ver­set­zen, genü­gend Infor­ma­tio­nen zusam­men­zustück­eln, um das Net­zw­erk ein­er Organ­i­sa­tion zu infil­tri­eren. Falls ein Angreifer nicht fähig ist, genug Infor­ma­tion aus ein­er Quelle zu beschaf­fen, dann kon­tak­tiert er vielle­icht weit­ere Quellen inner­halb der­sel­ben Organ­i­sa­tion und benutzt dabei die Infor­ma­tio­nen der ersten Quelle, um seine Glaub­würdigkeit zu erhöhen.

Was ist eine Phishing-Attacke?

Phish­ing ist eine Form von Social Engi­neer­ing. Phish­ing-Attack­en benutzen Email oder böswillige Web­seit­en, um per­sön­liche Infor­ma­tio­nen zu sam­meln, häu­fig finanzieller Art. Angreifer senden vielle­icht ein Email, das anscheinend von ein­er Kred­itkarten­fir­ma mit gutem Ruf stammt, oder von einem Finanzin­sti­tut, das Kon­toin­for­ma­tio­nen abfragt, häu­fig mit dem Hin­weis, dass es ein Prob­lem gäbe. Wenn ein Benutzer mit der geforderten Infor­ma­tion antwortet, kann sie der Angreifer dazu benutzen, Zugang zu den Kon­ten zu erlangen.

Wie vermeidet man, ein Opfer zu werden?

• Seien Sie unver­langten Anrufen, Besuchen oder Emails gegenüber mis­strauisch, bei denen Per­so­n­en nach Mitar­beit­ern oder inter­nen Infor­ma­tio­nen fra­gen. Falls ein Unbekan­nter oder eine Unbekan­nte behauptet, von ein­er legit­imern Organ­i­sa­tion zu sein, ver­suchen Sie, seine oder ihre Iden­tität direkt mit der betr­e­f­fend­en Fir­ma zu klären.
• Geben Sie kein­er­lei per­sön­liche Infor­ma­tio­nen her­aus, oder Infor­ma­tio­nen über ihre Organ­i­sa­tion, ein­schliesslich ihrer Struk­turen oder Net­zw­erke, auss­er sie sind sich ganz sich­er darüber, dass die Per­son die Autorisierung hat, über diese Infor­ma­tio­nen zu verfügen.
• Geben Sie keine per­sön­lichen oder finanziellen Infor­ma­tio­nen per Email preis, und reagieren Sie nicht auf Anfra­gen nach diesen Infor­ma­tio­nen. Dieses nicht-Reagieren bedeutet nicht nur, keine Email-Antwort zu senden, son­dern auch, keine im Email angegebe­nen Links anzuklicken.
• Senden sie sen­si­tive Infor­ma­tion nicht über das Inter­net, bevor Sie nicht die Sicher­heit ein­er Web­seite über­prüft haben. Dazu gehört ins­beson­dere die Ãœber­prü­fung der Gültigkeit eines Zertifikats.
• Acht­en Sie auf die URL ein­er Web­seite. Böswillige Web­seit­en sehen vielle­icht genau­so aus wie die legit­ime Seite, aber die URL benutzt wahrschein­liche eine leichte Vari­a­tion in Schreib­weise oder eine ganz andere Domäne (etwa .com gegenüber .net).
• Falls Sie unsich­er sind, ob eine Email-Anfrage legit­im ist oder nicht, ver­suchen Sie, das direkt mit der betr­e­f­fend­en Fir­ma zu klären. Benutzen Sie nicht die Kon­tak­t­in­for­ma­tion, die auf ein­er Web­seite angegeben ist, die im Email erwäh­nt ist. Benutzen Sie stattdessen die Kon­tak­t­in­for­ma­tion aus früher­er Post. Infor­ma­tio­nen über bekan­nten Phish­ing-Attack­en ist auch Online ver­füg­bar von Grup­pen wie der Arbeits­gruppe Anti-Phish­ing (http://www.antiphishing.org/phishing_archive.html).
• Instal­lieren und Updat­en Sie Anti-Virus Soft­ware, Fire­walls, und Email-Fil­ter um eini­gen von diesem uner­wün­scht­en Verkehr zu reduzieren (siehe Under­stand­ing Fire­walls, Under­stand­ing Anti-Virus Soft­ware, und Reduc­ing Spam für mehr Infor­ma­tion dazu).

Was tun, wenn Sie glauben, Sie seien ein Opfer geworden?

• Wenn Sie glauben, Sie hät­ten sen­si­tive Infor­ma­tion über Ihre Organ­i­sa­tion preis­gegeben, dann informieren Sie die zuständi­gen Per­so­n­en inner­halb Ihrer Organ­i­sa­tion, ein­schliesslich der Net­zw­erkad­min­is­tra­toren. Das kann sie auf verdächtige oder ungewähn­liche Aktiv­itäten aufmerk­sam machen.
• Wenn Sie glauben, Ihre Finanzkon­ten seien kom­pro­mit­tiert wor­den, kon­tak­tieren Sie sofort Ihr Finanzin­sti­tut und schliessen Sie alle Kon­ten, die möglicher­weise kom­pro­mit­tiert wor­den sind. Seien Sie auf der Hut vor unerk­lär­lichen Belas­tun­gen auf Ihren Konten.
• Ziehen Sie eine Anzeige bei der Polizei in Betracht.

---

Autor: Min­di McDow­ell. Orig­i­nalar­tikel beim US-CERT
Copy­right 2004 Carnegie Mel­lon University.