Certainity
reliable.
trustworthy.
bespoke.
office@certainity.com


Phishing-Awareness Kampagne

Lieber Benutzer,

der von dir angeklickte Link ist Teil einer Phishing-Kampagne die CERTAINITY im Rahmen einer Sicherheitsüberprüfung durchgeführt hat.

Wir möchten dich zunächst beruhigen: Jeder kann einmal in die Situation geraten, unbeabsichtigt auf einen Link zu klicken, der nicht sicher ist. Es ist wichtig zu wissen, dass dies häufiger vorkommt, als man denkt, und nicht direkt eine Ursache von mangelnder Aufmerksamkeit oder Vorsicht ist. Wir leben in einer digitalen Welt, in der solche Gefahren lauern, aber gemeinsam können wir effektiv darauf reagieren und daraus lernen. Nichtsdestotrotz sollte man Phishing nicht auf die leichte Schulter nehmen. Jährlich entstehen für Firmen Verluste in Milliardenhöhe durch erfolgreiche Phishing-Kampagnen, daher ist es essenziell zu wissen, wie man in einer solchen Situation reagiert.

In den nächsten Schritten möchten wir dich darüber informieren, wie du am besten vorgehen solltest, um deine Daten zu schützen und ähnliche Situationen in Zukunft zu vermeiden.

Melden

Natürlich mag das einem im ersten Moment unangenehm sein auf einen Phishing-Link geklickt zu haben oder sogar irgendwo seine Benutzerdaten eingegeben zu haben und vielleicht möchte man es am liebsten einfach ignorieren und auf das Beste hoffen. Genau das sollte man aber niemals tun! Es ist wichtig, dass du den Verantwortlichen für die IT-Sicherheit in deinem Unternehmen darüber informierst. Auch wenn du eine Phishing-Mail erkannt hast und du auf nichts geklickt hast, hilfst du mit dem Melden deinen Kollegen. Diese können gewarnt werden, dass bösartige Mails im Umlauf sind oder die IT kann dann eventuell sogar vollständig verhindern, dass weitere bösartige Mails zugestellt werden.

Bitte informiere dich über die internen Prozesse in deiner Firma zum Melden von Phishing-Mails

Passwörter Zurücksetzen und 2FA

Viele Angreifer haben es auf die Zugangsdaten zu internen Systemen und Benutzern abgesehen, daher ist das Zurücksetzten von Passwörtern eine sehr effektive Maßnahme, um die gesammelten Zugangsdaten unbrauchbar zu machen. Sollten die Systeme erlauben dein Passwort direkt zurückzusetzen, solltest du dies unmittelbar machen.

Sollten die Logins einen zweiten Faktor wie eine Authenticator-App unterstützen (2FA), ist dies ebenfalls ein sehr effektiver Weg, den Zugang für Angreifer zu erschweren. Auch wenn es nicht unmöglich ist 2FA-Zugänge zu phishen, erhöht es die Wahrscheinlichkeit, dass ein Phishing nicht erfolgreich ist. Die oberen Schritte sollten trotzdem weiterhin befolgt werden, auch wenn 2FA aktiviert ist.

Wie kann ich Phishing erkennen?

Hochqualitative Phishing-Mails sind äußerst schwer zu erkennen. Generell gibt es aber folgende Punkte, die helfen können:

  • Sei skeptisch gegenüber unerwarteten E-Mails, besonders wenn sie zu dringenden Handlungen wie der Eingabe persönlicher Informationen auffordern oder mit Konsequenzen drohen.
  • Achte auf die Anrede und Sprache in der E-Mail. Besonders wenn Angreifer vorgeben interne Mitarbeiter zu sein, kann man ein gutes Bauchgefühl dafür bekommen, ob Texte zu formell sind oder zu viele Fehler enthalten. Wenn du dir unsicher bist, kanns du die Kollegen auch kontaktieren und nachfragen. Allerdings sollten keine Informationen aus der Mail selbst verwendet werden. Suche dir die entsprechende Telefonnummer oder E-Mail-Adresse in den internen Verzeichnissen.
  • Überprüfe den Absender im E-Mail-Kopf, ob er von einer unerwarteten E-Mail-Adresse gesendet worden ist. Falls nur ein Name angezeigt wird, kann man (je nach E-Mail-Programm) mit einem "Mouse-Over" oder per Rechtsklick auf den Absender die vollständige E-Mail-Adresse sehen. Besondere Aufmerksamkeit ist hier bei minimalen Änderungen geboten wie unauffälligen Schreibfehlern (z.B. n zu m oder 1 zu l), zusätzlichen Wörtern (z.B. "app" oder "info") und veränderten Domain-Endungen (z.B. .net statt .com).
  • Klicke nicht auf Links in E-Mails oder Nachrichten, wenn du dir nicht sicher bist, ob sie legitim sind. Der angezeigte Link ist eventuell nicht für die Seite, die beim Klicken aufgerufen wird. Mit einem "Mouse-Over" kann der wirkliche Link angezeigt werden. Achte auch hier auf ähnliche Manipulationen wie im vorherigen Schritt. Wenn du dir unsicher bist, rufe die Website des vermeintlichen Absenders direkt über deinen Browser auf, indem du die originale URL manuell eingibst oder über ein Lesezeichen darauf zugreifst​. Verwende niemals die Informationen aus den verdächtigen E-Mails.
  • Achte nicht nur auf E-Mails, sondern auch auf SMS-Nachrichten mit ähnlichen Indikatoren.

Das folgende Video des Bundesamts für Sicherheit in der Informationstechnik (BSI) veranschaulicht diese Schritte noch einmal: