Passwort zurücksetzen: Betrug per E-Mail-Benachrichtigung

Anti-Phishing 1×1: Das sollten Unternehmensmitarbeiter über Fake-Benachrichtigungen wissen, um ihre Konten zu schützen

Die meisten Online-Dienste verfügen über ein integriertes Sicherheitssystem, das Sie bei „ungewöhnlichen“ Konto-Aktivitäten unverzüglich warnt. So erhalten Sie beispielsweise Benachrichtigungen über Versuche, die mit dem Konto verknüpfte Telefonnummer, E-Mail-Adresse oder das Passwort zurückzusetzen. Seit derartige Nachrichten gang und gäbe geworden sind, versuchen einfallsreiche Cyberkriminelle, diese Sicherheitsmechanismen zu imitieren, um Firmennutzer anzugreifen.

Beispiel einer Fake-Benachrichtigung

Wenn es sich um einen öffentlichen Online-Dienst handelt, setzen die Angreifer meist alles daran, eine authentische Kopie der originalen E-Mail-Benachrichtigung zu erstellen. Suchen Angreifer jedoch nach Zugriffen auf ein internes System, müssen sie oft ihrer Fantasie freien Lauf lassen, da sie meist nur erahnen können, wie solche E-Mails aussehen könnten.

Beispiel einer Fake-Benachrichtigung über die Aktualisierung der Telefonnummer.

Beispiel einer Fake-Benachrichtigung über die Aktualisierung der Telefonnummer.

Alles an dieser Nachricht schreit förmlich „Fake“: angefangen beim fehlerhaften Satzbau bis hin zur ziemlich zweifelhaften Logik hinter dieser Nachricht – denn in der E-Mail scheint es gleichzeitig um das Verknüpfen einer neuen Telefonnummer und die Anforderung eines Codes zum Zurücksetzen des Passworts zu gehen. Auch die E-Mail-Adresse des Absenders trägt nicht dazu bei, dass die Nachricht glaubwürdiger erscheint: Es gibt keinen plausiblen Grund, warum das E-Mail-Postfach des technischen Supports auf einer fremden Domain (geschweige denn auf einer chinesischen) bereitgestellt werden sollte.

Die Angreifer erhoffen sich, dass ihr Opfer aus Angst um die Sicherheit seines Kontos auf die rote Schaltfläche „DON’T SEND CODE“ klickt. Kommt die Zielperson der Aufforderung nach, wird sie auf eine Fake-Login-Seite weitergeleitet, die ihre Anmeldedaten stiehlt. Das gekaperte Mailkonto kann dann für BEC-Angriffe oder als Informationsquelle für Social-Engineering-Angriffe verwendet werden.

Sicherheitsbewusstsein von Mitarbeitern stärken

Um die Wahrscheinlichkeit zu minimieren, dass Cyberkriminelle an die Anmeldeinformationen von Mitarbeitern gelangen, sollten diese folgende Grundregeln befolgen:

  • Öffnen Sie keine Links in automatischen Sicherheitsbenachrichtigungen, ganz egal, wie authentisch die Nachricht erscheint.
  • Überprüfen Sie Sicherheitseinstellungen und verknüpfte Details beim Erhalt einer solchen Benachrichtigung, indem Sie die Website manuell im Browser öffnen.
  • Eine ungeschickt formulierte Benachrichtigung (wie im Beispiel) wird am besten direkt ignoriert und gelöscht.
  • Sollte die Benachrichtigung authentisch wirken, benachrichtigen Sie den IS-Dienst oder die Sicherheitsbeauftragten Ihres Unternehmens; im schlimmsten Fall könnte es sich hierbei um einen zielgerichteten Angriff handeln.

Mitarbeiter vor Phishing schützen

Generell gilt: Phishing-E-Mails haben nichts in den Posteingängen von Mitarbeitern zu suchen. Deshalb sollten sie (und andere unerwünschte Korrespondenzen, einschließlich Spam, Nachrichten mit schädlichen Anhängen und BEC-E-Mails) im Idealfall bereits auf Gateway-Ebene abgefangen werden. Um derartigen Bedrohungen den Kampf anzusagen, haben wir kürzlich unsere E-Mail-Schutzlösung für Gateways aktualisiert. Weitere Informationen finden Sie auf der Seite Kaspersky Secure Mail Gateway.

Tipps