„Hallo, hier ist der Support von Microsoft. Sie haben einen Virusbefall auf Ihrem PC, den wir schnellstmöglich mit Ihnen zusammen beseitigen müssen. Bitte installieren Sie folgende Software auf Ihrem System…“ – gerade fragen uns einige Menschen nach Rat, wie sie mit so einem Anruf umgehen sollen.
Bei dem Wort ‚Virus‘ schaltet unser Verstand aus, wir geraten in Panik. Einen Virus wollen wir auf jeden Fall sofort und vollumfänglich los werden. Und genau darauf setzen Übeltäter und spielen ihr Spiel mit uns. Wir haben euch die Tipps, die wir auf die Anfragen gaben, in diesem Beitrag zusammengefasst.
„Vertrau mir…“
Mehr und mehr nehmen Kriminelle jenseits der professionellen Nutzer ganz normale Menschen in den Fokus ihrer Aktivitäten. Unsere Geräte sind häufig gut geschützt, daher wird versucht die Nutzenden geschickt zu manipulieren und zur freiwilligen Herausgabe sensibler Daten zu verleiten. Diese Vorgehensweise wird als „Social Engineering“ bezeichnet, denn hier setzt der Angriff auf bestimmte menschlichen Eigenschaften ab: auf unsere Angst, unsere Hilfsbereitschaft gegenüber anderen Menschen oder unser Vertrauen zu anderen Menschen.
Das altbekannte Vorgehen des Täuschens und Verleitens ist ebenso digitalisiert worden: Betrüger bringen mit geschickter Gesprächsführung am Telefon oder mit perfekten Nachahmungen elektronischer Nachrichten vertrauenswürdiger Quellen die Angesprochenen dazu, vertrauliche Daten zu nennen, Zugriffe zu erteilen oder bösartige Software auf dem eigentlich abgesicherten Computer zu installieren.
Drohkulisse Virusbefall
Mit mächtig viel Druck jetzt rasch handeln zu müssen ging in unserem Bekanntenkreis der Anruf los. Der Virus drohe schliesslich alles zu zerstören. Erst bei der Aufforderung, die Kreditkarten-Daten zur Belastung einer kleinen Service-Pauschale zu nennen, wurde es der angerufenen Person mulmig. Sie legte auf. Leider zu spät: Die Festplatte des beruflich genutzten Computers war bereits gelöscht, das angehängte Backup dazu.
Das ganze Drumherum mit dem vorgeblichen Virus dient nur als Kulisse, damit die eigentliche Phishing-Attacke, nämlich das Ausspähen der Kreditkartendaten, Bankdaten oder gar Passwörter nebenbei passiert und vom Opfer kaum wahrgenommen wird. Es hat Vertrauen gefasst, schliesslich telefoniert es ja schon fast eine Stunde lang mit dem freundlichen Team bei Apple, Google oder Microsoft. Und das kümmert sich ja aufmerksam und höchstdringlich darum den Computer zu ‚pflegen‘.
Tipps vor dem Klick
Auch die so wohlmeinenden Mails von meiner Bank, bekannten Online-Shops oder von Bekannten möchten mir helfen: Fast perfekt nachgeahmt rufen sie zur dringenden Aktion per Klick auf einen praktischen Link oder eine angehängte –auf den ersten Blick harmlos wirkende– Datei ein. Stop! Hinter diesen vermeintlich arglosen PDF-Dateien oder Word-Dokumente kann sich durchaus Schadsoftware verbergen.
Vor irgendeinem Klick auf Anhang oder Link innehalten und überlegen:
- Absender prüfen: Stammt die Mail wirklich vom angegebenen Absender? Wenn nicht, Mail als Spam markieren und löschen.
- Passt der Textstil zum Absender? Ist die Sprache gutes Deutsch? Gerade Firmen legen in ihrer Korrespondenz grossen Wert auf fehlerfreie Sprache! Ist das unpassend, Mail als Spam markieren und löschen.
- Vorgang prüfen: Bitte NIEMALS den praktischen Link in der Mail anklicken. Stattdessen Telefon-Joker ziehen und den Absender anrufen. Falls das nicht möglich ist, die bekannte Website des Dienstes aufrufen, einloggen und prüfen, ob es dort eine entsprechende Erfordernis des Handels gibt.
Tipps bei Anrufen
Diese umsichtige Verhalten empfiehlt sich genauso am Telefon. Falls euch jemand aus einer Firma anruft, weil schlimme Dinge drohen wenn nicht unmittelbar etwas getan wird – das solltet ihr am Telefon tun:
- Zeit gewinnen: „Sorry, das ist ja furchtbar! Nur ist es so, ich stehe gerade in der Tiefgarage, aber ich rufe gleich am Computer gerne zurück“ oder „Ach du liebe Zeit, jetzt habe ich gerade das Baby im Badewasser, in einer Viertelstunde melde ich mich am PC zurück.“
- Interesse heucheln: Nachfragen, unter welcher Vorgangsnummer das erfolgt für den Rückruf. Unter welcher Telefonnummer zurückgerufen werden kann. Seriöse Anbieter fragen NIEMALS nach Zugangsdaten oder Passwörtern am Telefon!
- Falls nicht aufgelegt wurde, Daten prüfen: Mit den Kontaktdaten des vorgeblichen Unternehmens vergleichen, bei Bedarf anrufen und mit der Vorgangsnummer nachfragen, ob der Anruf tatsächlich aus der Firma stammt und um was es genau gehe. In nahezu allen Fällen ist es ein nachgeahmter Anruf.
Eine winzigkleine Genugtuung kam uns zu Ohren kurz nachdem der Datenbestand im Computer der Bekannten gelöscht wurde: Ein Daten-Abfischer rief das ‚richtige‘ Telefon an…
Am anderen Ende sass nämlich ein IT-Spezialist, der quasi eine Packung Popcorn aufriss um mit den gleichen Mitteln des Angreifers zurückzuschlagen. Der Profi liess den Angreifer in einem geschützten Gehege des Rechners sein bösartiges Spiel treiben, um ihm am Ende jedoch gleichfalls ein unangenehmes Programm unterzujubeln. Nachzulesen hier auf Twitter: twitter.com/grauhut/status/1082650738927591425
Zur Vertiefung
- Informations-Video des Bundesamts für Sicherheit in der Informationstechnik (BSI) „Drei Sekunden für mehr E-Mail-Sicherheit“ https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Onlinekommunikation/E-Mail-Sicherheit/e-mail-sicherheit_node.html
- BSI „Sichere Passwörter erstellen“ https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html
- Phishing-Quiz von Google (englisch) phishingquiz.withgoogle.com
- Meine Blogbeiträge „Unterwegs sicher arbeiten – VPN @ Work“: Teil 1 Wlan und Hotspots & Teil 2 Virtual Private Network (VPN)
Nachtrag:
Für den Service-Artikel „So lassen sich die eigenen Daten im Internet am besten schützen“ freuten wir uns, die Redakteurin des Mallorca Magazins mit praktischen Tipps unterstützen zu können.
Illustrationen: DoSchu / Rayaworx u.a. mit Foto von Abel Lopez / abelopez.es
3 Antworten zu „Per Anruf Datenklau: Tipps zum Schutz“
[…] In unserem Blog zum Coworking Space haben wir über sichere Passworte gebloggt sowie erklärt, wie mit Anrufen wegen Sicherheitsproblemen umgehen: „Datenklau – Tipps zum Schutz“ rayaworx.eu/blog/post/datenklau-tipps-zum-schutz […]
[…] ↪rayaworx.eu/blog/post/datenklau-tipps-zum-schutz […]
[…] Datenklau: Tipps zum Schutz rayaworx.eu/blog/post/datenklau-tipps-zum-schutz […]