Gerade erst in der vergangenen Woche wurde Cisco von einer Ransomware-Gruppe gehackt, die behauptet, 2,8 GB an Daten erbeutet zu haben, wie ein Artikel auf Forbes.com berichtet. Das ist beunruhigend. Noch erschreckender ist, dass Cisco laut dem Artikel angab, dass der erste Zugriff durch erfolgreiches Phishing eines persönlichen Google-Kontos eines Mitarbeiters erfolgte, was letztendlich zur Kompromittierung seiner Zugangsdaten und zum Zugriff auf das Cisco VPN führte. Ja, richtig gelesen: Das Phishing eines einzigen Mitarbeiters – noch dazu über sein privates Konto – führte zu diesem Debakel.
Es ist immer Zeit für Phishing-Schulungen
Obwohl ich schon unzählige Male über Phishing und die Notwendigkeit, Ihre Benutzer zu schulen, gepostet habe, hier noch einmal eine kurze Auffrischung. Teilen Sie mit ihnen die folgenden Informationen und stellen Sie sicher, dass sie diese nicht nur für geschäftliche, sondern auch für private Konten anwenden.
Achten Sie auf die Anzeichen!
Mein Rat heutzutage, wenn Sie eine E-Mail, eine SMS oder eine Sprachnachricht erhalten: Seien Sie von vornherein misstrauisch. Ich weiß, ich weiß, das klingt zynisch, aber es ist das, was ich tue, und bisher (auf Holz klopfend) wurde ich noch nicht erfolgreich gephished. Aber abgesehen von dieser grundlegenden (und leider notwendigen) “Denkweise”, hier sind einige spezifische Dinge, auf die Sie achten sollten:
Gespielt auf Emotionen: Hacker nutzen Neugier, Angst und Verlangen, um Sie zum Klicken auf einen Link oder zur Preisgabe vertraulicher Informationen zu bewegen.
Dringlichkeit: Sie wissen, dass je mehr Sie zur Eile getrieben werden, desto wahrscheinlicher ist es, dass Sie verräterische Anzeichen eines Betrugs ignorieren. Deshalb verwenden sie beängstigende Formulierungen, um Sie zu drängen: “Handeln Sie jetzt … oder es ist zu spät!”
Schlechte Rechtschreibung (oder Grammatik): Während Amazon, FedEx oder Ihre Bank wahrscheinlich keine Wörter in einer offiziellen Mitteilung an Sie falsch schreiben würden, sind Cyberkriminelle – insbesondere diejenigen, deren Muttersprache nicht Englisch ist – nicht die sorgfältigsten mit der Rechtschreibprüfung.
Aufforderung zum Klicken auf “Hier klicken” oder “Anhang öffnen”: Klicken Sie niemals auf Links oder öffnen Sie Anhänge in Nachrichten von Personen, die Sie nicht kennen. ODER selbst von Personen, die vorgeben, jemand zu sein, den Sie kennen, aber deren Nachricht unerwartet ist. Melden Sie sich separat (oder rufen Sie an) bei der tatsächlichen Person, von der die Nachricht zu stammen scheint. Oder, wenn von einem angeblichen Unternehmen oder einer Regierungsbehörde, besuchen Sie deren offizielle Websites, um die Anfrage oder Behauptung zu überprüfen.
Anforderung vertraulicher Informationen: Ein riesiges Warnsignal! Geben Sie niemals (wirklich niemals) sensible persönliche Informationen als Antwort auf eine E-Mail oder SMS preis. Jede legitime Einrichtung (Bank, Einzelhändler, Regierungsbehörde) würde Sie niemals nach dieser Art von Informationen per E-Mail oder SMS fragen.
Gefälschte Websites: Geben Sie nur dann vertrauliche Informationen auf einer Website ein, wenn Sie zu 100 % sicher sind, dass Sie sich auf einer legitimen Seite befinden. (Mit anderen Worten, es ist am besten, eine Website direkt aufzurufen, indem Sie die URL selbst eingeben, nicht indem Sie auf einen Link in einer E-Mail klicken.)
Gefälschte Telefonnummern: Telefonnummern lassen sich heutzutage ebenfalls leicht fälschen. Deshalb stammen wahrscheinlich die meisten Smishing-Texte (ein anderes Wort für SMS-Phishing) und Voicemails aus Ihrer eigenen Vorwahl. Wenn es lokal aussieht, ist die Wahrscheinlichkeit größer, dass Sie annehmen, es sei jemand, den Sie kennen (oder ein lokales Unternehmen). Leider kommt es wahrscheinlich gar nicht aus Ihrer Vorwahl. Fazit: Wenn die Nummer nicht bereits in den Kontakten Ihres Telefons steht, seien Sie zumindest vorsichtig.
Ungewöhnliche Absenderadresse: Überprüfen Sie die tatsächliche E-Mail-Adresse (im Gegensatz zu nur dem Alias oder dem Namen, den Sie zunächst sehen) in der Zeile “Von” der E-Mail. Diese wird angezeigt, wenn Sie mit dem Mauszeiger darüber fahren. Suchen Sie nach einem legitimen Domainnamen (z. B. “@bankofamerica.com”). Wenn dieser nicht mit dem übereinstimmt, von wem er zu stammen scheint, handelt es sich höchstwahrscheinlich um eine Phishing-Nachricht. Und achten Sie genau hin; Hacker sind gut darin geworden, gefälschte Versionen legitimer Domainnamen zu erstellen, indem sie subtile Tippfehler verwenden. (Zum Beispiel könnte der Buchstabe “l” durch die Zahl “1” oder der Buchstabe “O” durch die Zahl “0” ersetzt werden.)
Diese Nachricht ist verdächtig. Was soll ich damit tun?
Nun, das hängt davon ab. Wenn es die Betreffzeile ist, die Sie misstrauisch macht, löschen Sie sie einfach, ohne sie zu öffnen. Wenn es jedoch der Inhalt der Nachricht ist, der Sie misstrauisch macht, klicken Sie NICHT auf Links und laden Sie keine Anhänge herunter. UND antworten Sie NICHT dem Absender. Normalerweise ist das Löschen der Nachricht der einfachste/sicherste Schritt. Sie möchten jedoch möglicherweise Ihre IT-Abteilung um Rat fragen, was über das bloße Löschen hinaus zu tun ist. Einige Organisationen haben Verfahren zum Kennzeichnen oder Melden verdächtiger Nachrichten.
Oh nein! Ich glaube, ich wurde gephished!
Okay, ich weiß, ich sagte gerade, dass mir das bisher NOCH nicht passiert ist, aber ich kenne einige sehr technikaffine Leute, bei denen es passiert ist. Und Sie wahrscheinlich auch. Ich meine, diese Kriminellen sind wirklich gut darin geworden. Die Quintessenz ist diese: Wenn Sie auch nur leicht vermuten, erfolgreich gephished worden zu sein – selbst wenn es über ein privates Konto geschah, wie bei der Person bei Cisco –, melden Sie den Vorfall sofort Ihrer IT-Abteilung. Denn nicht nur Ihre privaten Daten sind kompromittiert, sondern diese Informationen können auch verwendet werden, um Zugriff auf die sensiblen Daten Ihres Unternehmens zu erhalten. Die IT wird alle kompromittierten Passwörter sofort ändern wollen. Sie werden wahrscheinlich Ihren Computer auf Anzeichen von Malware untersuchen wollen. Wenn der Vorfall über Ihren privaten Computer, Ihr Mobilgerät oder Ihre private E-Mail geschah, sollten Sie ebenfalls die offensichtlichen, sofortigen Maßnahmen ergreifen: Ändern Sie Passwörter und kontaktieren Sie die relevanten Finanzkonten.