Unter dem Begriff “Phishing” versteht man den Versuch, sich über z.B. gefälschte Webseiten oder E-Mails Zugang zu persönlichen Daten von Internetnutzern – wie etwa Benutzernamen, Passwörter oder Kreditkarteninformationen – zu verschaffen. Leider treten auch hierzulande immer öfter solche Fälle der Online-Kriminalität auf.
Im ersten Quartal 2016 sind laut APWG Phishing-Attacken um ganze 250% angestiegen (Quelle: The State of Security).
Dave Jevans, Vorsitzender der APWG, wies außerdem darauf hin, dass die Angreifer mit immer raffinierteren und aggressiveren Methoden arbeiten, um an Benutzerdaten heranzukommen. Beispiele von Angriffen auf Google und Dropbox-Konten zeigen, wie viel sich seit der Zeit getan hat, als Hacker noch mit schlecht imitierten E-Mails die Bankdaten von Kunden stehlen wollten.
Auch Esendex ist kürzlich Opfer eines solchen Phishing-Angriffs geworden. Gerade deswegen möchten wir diese Problematik auch hier nochmals thematisieren, um Bewusstsein für die Vorgehensweise der Angreifer zu schaffen. Wir wollen zeigen, wie Sie sich am besten davor schützen können – auch falls Ihr Unternehmen einmal Zielscheibe eines solchen Angriffs werden sollte.
Halten Sie Ausschau nach Domainnamen mit eigenartigen Endungen
Im März vergangenen Jahres gab es bereits 882 unterschiedliche Domainendungen und während jede einzelne prinzipiell legal von Unternehmen genutzt werden kann, stellt diese große Vielfalt auch eine attraktive Gelegenheit für Hacker dar, sich selbst als Unternehmen auszugeben (Quelle: European Domain Centre).
Genau dieser Fall ist bei Esendex eingetreten, als Hacker die Domainnamen .pro, .me, .top und .pw kauften und damit Kunden auf ihre imitierte Esendex-Webseite zu locken. Beide Seiten sahen identisch aus, wie dieser Screenshot zeigt:
Grafik vergrößern
Bei genauerem Hinsehen werden minimale Unterschiede sichtbar – wie der Domainnamen, die Nutzung von https, das Verschlüsselungssymbol und der Copyright-Hinweis.
Die Möglichkeiten sich vor einer solchen Attacke zu schützen sind beschränkt. Sie können dem Domain-Name-Registrar, einer Organisation die die Registrierung von Online-Domains durchführt, den Fall weiterleiten. Unter https://www.whois.net/ können Sie herausfinden, wer der Registrar ist; Dieser sollte sich dann darum kümmern, die betrügerische Webseite aus dem Verkehr zu ziehen.
Die beste Vorsorge ist unserer Erfahrung nach jedoch Bewusstsein für das Thema zu schaffen. Weisen Sie Ihre Kunden auf die Problematik hin und stellen Sie sicher, dass diese die richtige URL zu Ihrer Webseite und Ihren Services kennen. Die Esendex Webseite sollte beispielsweise nur über https://www.esendex.de/ aufgerufen werden. Um sich in Ihr Esendex-Konto einzuloggen, benutzen Sie bitte immer den Link oben rechts auf der Seite – oder melden Sie sich direkt unter https://login.esendex.com/ an.
Fazit: Orientieren Sie sich an bekannte Domainendungen wie .de, .at, .ch oder .com.
Schenken Sie Google Anzeigen kein blindes Vertrauen
Wie viele andere Unternehmen investiert Esendex im Rahmen seiner Online-Marketingaktivitäten Geld in seinen eigenen Markennamen, um bei Suchanfragen die sich auf Esendex beziehen ganz oben auf der Seite mit den Google Suchergebnissen zu erscheinen. Diese bezahlten Links sind durch einen grünen “Anzeige”-Hinweis gekennzeichnet.
Nichts desto trotz können andere Unternehmen nicht davon abgehalten werden, auch Geld auf Esendex oder andere Markennamen zu setzen. Google hat diese Einschränkung vor einigen Jahren aufgehoben was zu einem Ergebnis wie dem untenstehenden führen kann:
Grafik vergrößern
Ob Sie Google Adwords für Ihr Marketing verwenden oder nicht – Sie sollten sich dessen stets bewusst sein. Bitcoin wurde 2016 auf genau diese Art und Weise attackiert und ironischerweise wurde sogar Google Adwords selbst Opfer eines ähnlichen Hacker-Angriffs.
Sie können und sollen derartige Vorfälle Google melden – so kann das Unternehmen das Adwords-Konto der Betrüger schließen.
2015 musste Google 7.000 Phishing-Seiten offline nehmen – mit großer Wahrscheinlichkeit war diese Zahl 2016 bereits deutlich höher.
Wie bereits erwähnt ist es sinnvoll, Ihre Kunden daran zu erinnern, nur über einen bestimmten Link auf Ihren Service zuzugreifen – und nicht etwa über die Google Suchergebnisse. So können Sie verhindern, dass Betrüger auf diese Weise auch Ihre Daten stehlen.
Ändern Sie regelmäßig Ihr Passwort
Wenn Sie herausfinden möchten, ob Ihre E-Mail Adresse in den letzten Jahren von einem Hackerangriff betroffen war, ist diese Seite eine nützliche Quelle: https://haveibeenpwned.com/
Dieses Tool überprüft gestohlene Datenbanken und findet heraus, ob Ihre E-Mail Adresse im Rahmen einer Phishing-Attacke gestohlen wurde. Falls das der Fall ist, sollten Sie Ihr Passwort für alle online Dienste ändern. Bestenfalls sollten Sie aber:
1. Ihre Passwörter alle sechs Monate ändern
2. Verschiedene Passwörter für all Ihre Online-Dienste verwenden
3. Passwörter vermeiden die leicht erraten werden können
Ist Ihr Unternehmen schon einmal Opfer einer Phishing-Attacke geworden? Bitte teilen auch Sie Ihre Erfahrungen mit anderen und helfen Sie mit, das Netz für uns alle sicherer zu machen.
