Mit perfekt gefälschten Websites stehlen Kriminelle die Log-in-Daten zu Bankkonten, Mail-Accounts, sozialen Netzwerken und Online-Spielen. Denn jeder einzelne Zugang ist bares Geld wert. Hier finden Sie 7 Tipps, mit denen Sie Ihre Kunden vor Datendiebstahl schützen.
Ihre Kunden sind eine Zielscheibe für Cyber-Kriminelle, sobald sie einen Online-Account nutzen. Die Gauner können aus nahezu allen gestohlenen Zugangsdaten Profit schlagen. Und sie beschaffen diese auf immer raffiniertere Weise.
So funktioniert Phishing: Fälschen und Betrügen
Phishing wird eine Art von Betrug genannt, die den Diebstahl Ihrer persönlichen Daten zum Ziel hat, etwa von Kreditkartennummern oder Online-Banking-Kennwörtern. Phishing-Attacken erfolgen, indem der Betrüger gefälschte Mails sendet, die angeblich von der Website eines Ihrer legitimen Geschäftspartner stammen – etwa einer Bank. Es sind also Websites, auf denen Sie Log-ins zu Konten haben. Die Mails locken den Anwender unter Vorwänden auf die gefälschten Sites und verleiten ihn dann dazu, seine Zugangsdaten, Kreditkartennummern oder andere Details herauszugeben.
Diese Ratschläge sollten Sie Ihren Kunden auf jeden Fall erteilen:
1. Die Website der eigenen Online-Bank immer direkt aufrufen
Phisher verwenden oft Links in Mails, um ihre Opfer zu einer gefälschten Website zu leiten, deren Adresse ähnlich der echten ist, etwa meinebankonline.de anstelle von meinebank.de. Zudem lässt sich in einer HTML-Mail die tatsächliche Web-Adresse hinter einem beliebigen Text verbergen. Sie sollten deshalb die Web-Adresse Ihrer Bank stets manuell in die Adresszeile des Browsers eintippen.
Konten und Accounts regelmäßig prüfen
2. Auf Mails, die Finanzinfos verlangen, niemals antworten
Kriminelle verwenden oft Sensationsnachrichten oder Warnmeldungen als Lockmittel, um eine sofortige Reaktion zu erhalten. Beispiel ist eine Mail mit der Warnung „Achtung – Ihre Kontendaten wurden wahrscheinlich gestohlen.“ Seriöse Unternehmen fragen ihre Kunden nicht per Mail nach Kennwörtern oder Kontendetails. Selbst wenn Sie glauben, die Mail sei legitim – antworten Sie nicht. Wenden Sie sich per Telefon an das Unternehmen, oder besuchen Sie dessen Website. Verwenden Sie dafür eine Telefonnummer oder Web-Adressse, die sie unabhängig recherchiert haben.
3. Prüfen , ob die besuchte Website wirklich sicher ist
Bevor Sie sich auf Ihrer Bank-Website in Ihr Konto einloggen oder auf einer anderen Website vertrauliche Informationen eingeben, sollten Sie die Verschlüsselung der Website kontrollieren: Prüfen Sie die URL in der Adresszeile des Browsers. Wenn die besuchte Website eine sichere Verbindung anbietet, muss die Adresse mit „https://“ („s“ für Sicherheit) anstelle von „http://“ beginnen. Suchen Sie außerdem in der Statuszeile des Browsers nach einem Schloss-Symbol. Neuere Browser zeigen das Symbol am Ende der der Adresszeile an. Sie können die Verschlüsselungsebene prüfen, indem Sie auf das Symbol klicken. Beachten Sie, dass die Website trotz Verschlüsselung nicht unbedingt legitim sein muss. Es bedeutet nur, dass die Daten verschlüsselt versendet werden.
4. Konten und Accounts regelmäßig prüfen
Melden Sie sich regelmäßig auf Ihren Online-Konten an, und überprüfen Sie Ihre Kontoauszüge. Wenn Sie dort verdächtige Transaktionen feststellen, melden Sie diese umgehend Ihrer Bank oder Ihrem Kreditkartenunternehmen. Loggen Sie sich auch in andere Accounts mit persönlichen Daten regelmäßig ein, und prüfen Sie, ob sich dort etwas verändert hat.
Passwort regelmäßig wechseln
5. Computer immer mit Antimalware-Programmen sichern
Einige Phishin Mails wollen nicht auf eine gefälschte Website locken, sondern enthalten Spyware. Diese speichert Informationen über Ihre Internet-Aktivitäten und öffnet eine Backdoor, um Hackern Zugriff auf Ihren Computer zu gewähren. Ihre Kunden sollten grundsätzlich keine ausführbaren Mailanhänge starten und sogar beim Öffnen von Dokumenten vorsichtig sein. Antiviren-Software hilft beim Erkennen schädlicher Anhänge, sobald Sie diese auf Platte speichern. Empfehlenswert ist etwa das kostenlose Avira Antivir Personal Free Antivirus 9.0 (für XP, Vista und Windows 7).
Ein Filter gegen bekannte Phishing-Websites ist bei aktuellen Browsern bereits eingebaut. Wer noch mehr Schutz wünscht, sollte den Website-Filter Web of Trust (WOT) installieren. Das Plug-in kennt viele betrügerische Websites und warnt vor ihnen. WOT 20090414 für Firefox und Internet Explorer gibt’s unter www.mywot.com.
6. Passwörter regelmäßig wechseln
Für alle Accounts, bei denen Ihr Kunde das Passwort selbst bestimmen darf, sollten Sie ihn regelmäßig dazu auffordern, dieses Passwort zu wechseln. Falls es einem Phisher doch mal gelungen ist, an die Log-in-Daten zu kommen, kann Ihr Kunde ihn so wieder aussperren. Bei der Passwortwahl sollte Ihr Kunde diese Regeln beachten:
Regel 1: Je länger das Passwort ist, desto besser. Denn leistungsstarke Rechner knacken mit Brute Force kurze Passwörter sehr schnell. Acht Zeichen sollten es mindestens sein, zehn sind noch besser. Ideal ist es, wenn Sie eine Passwort-Phrase, also einen ganzen Satz eingeben können. Allerdings erlauben nur wenige Dienste so lange Passwörter.
Regel 2: Nutzen Sie ungewöhnliche Zeichenkombinationen. Wörterbuch-Attacken decken einfache Passwörter schnell auf. Deshalb steht ein gutes Kennwort in keinem Wörterbuch.
Ein Beispiel für ein schlechtes Passwort ist „test123“ – es ist sogar bereits im Virus Conficker gespeichert.
7. verdächtige Aktivitäten immer weitermelden
Wenn Ihr Kunde eine Mail erhält, die ihm nicht geheuer erscheint, sollte er diese E-Mail an das Unternehmen weiterleiten, das wahrscheinlich imitiert wurde (viele Unternehmen haben eine Mail-Adresse, die speziell für das Melden solchen Missbrauchs eingerichtet wurde). Natürlich darf Ihr Kunde dabei nicht die „Antworten“-Funktion des Mailprogramms verwenden, sonst landet die Mail wahrscheinlich nur beim Phisher. (PCW/rw)