Phishing (und nein damit ist nicht der Angelsport gemeint) ist allgegenwärtig und global ein Problem. Mit diesem Beitrag möchten wir euch daher erneut für die Thematik sensibilisieren.
Um Phishing und den Kontext der Problematik genauer zu verstehen, lohnt sich der Exkurs in das Social Engineering. Dies bedeutet im eigentlichen Sinne die Berücksichtigung sozialer Bedürfnisse (von Menschen). Im Zusammenhang mit Sicherheit handelt es sich allerdings um die gezielte Beeinflussung von Menschen, Handlungen auszuführen, die sie unter normalen Umständen nicht ausführen würden. Dieses Prinzip funktioniert im realen Lebensumfeld, aber auch vor allem online. Die psychologische Manipulation zielt in der Regel darauf ab, an vertrauliche Informationen zu gelangen, zum Kauf eines Produktes anzuregen oder zur Freigabe von Finanzmitteln zu bewegen (Spoiler: Weiter geht´s zum Thema Social Engineering in den kommenden Tagen hier im Blog).
Im Kontext Internet verhält es sich ähnlich. Tückischer Weise ist die dabei eingesetzte Technik dynamisch und variiert nahezu täglich, um Daten und/oder Geld zu stehlen sowie Schäden innerhalb von Organisationen anzurichten. Diese Art von Angriffen ist daher nur schwierig plan- und bekämpfbar, also sehr gefährlich. All diese Angriffe gehorchen dabei bestimmten Regeln, die auf der emotionalen Natur menschlichen Verhaltens beruhen. Dieses Wissen kann uns Nutzenden helfen, entsprechend zu handeln und achtsamer zu sein.
Eine der geläufigsten Techniken/Vorgehensweisen ist das so genannte Phishing. Es handelt sich dabei um einen systematischen Angriff, bei dem betrügerische E-Mails verwendet werden, um Menschen dazu zu veranlassen, etwas zu tun oder sachdienliche Informationen preiszugeben. Phishing-E-Mails sind so gestaltet, dass sie den Anschein erwecken, von einem legitimen Unternehmen zu stammen. Es kann sich dabei auch um wirklich gute Werbung für ein Produkt handeln. Phishing kann dabei auch auf eine bestimmte Organisation (Spear-Phishing) oder auf die Leitungsperson bspw. den/die CEO einer Organisation (Whale-Phishing) abzielen. Auf diese Weise erhalten Angreifer leider viel zu häufig nicht nur Daten, sondern auch Zugriff auf Kontakte und vieles mehr.
Wie wir schon in unserem Blogbeitrag „Sicherheit geht vor: Vorsicht vor Phishing Mails mit RWTH Namen!“ gewarnt haben, ist Phishing leider keine Seltenheit. Selbst die RWTH bleibt nicht verschont.
Wir rufen euch vor diesem Hintergrund erneut aktiv dazu auf achtsam und sensibel mit empfangenen E-Mails umzugehen. Persönliche oder berufliche Informationen sollten grundsätzlich nicht preisgegeben werden. Vor allem ist Obacht geboten bei unbekannten Links sowie Anhängen. Diese sollten nicht geöffnet werden, wenn man sich nicht sicher ist, von wem die E-Mail stammt. Hinweis: Das IT Center wird euch niemals nach persönlichen Passworten oder ähnlich sensible Daten fragen!
Meldet bitte verdächtige Fälle dem IT Center: Einfach die betreffende E-Mail als Anhang(*) (!!) sowohl an servicedesk@itc.rwth-aachen.de als auch an spam@access.ironport.com weiterleiten. Auf diese Weise könnt auch ihr einen großen Beitrag zur IT-Sicherheit leisten und unsere SPAM-Filter verbessern.
Verantwortlich für die Inhalte dieses Beitrags sind Jens Hektor und Julia-Elena Runkel.