So schützen Sie sich vor Phishing

Foto: MEV-Verlag

06.07.2008 – KÖLN (MedCon) – Das Internet ist aus dem Praxisalltag kaum mehr wegzudenken. So lassen sich mit wenigen Klicks aktuelle Behandlungsleitlinien einsehen oder eilige Schreiben via E-Mail verschicken. Wer darüber hinaus auch seine Privat- und Praxiskonten online verwaltet, sollte sich allerdings vor „Internetfischern“ schützen.

Über E-Mails, die den Anschein erwecken, als kämen sie von der Onlinebank, locken so genannte Phisher ihre Opfer auf gefälschte Onlinebanking-Seiten, um an Onlinebanking-Daten, also TANs und PINs zu gelangen. Mit den geklauten Daten räumen sie dann das Konto leer.

Seit einiger Zeit setzen die Internetfischer zunehmend auch Trojanersoftware ein, die auf dem Zielrechner oft zusätzliche Software herunterlädt, sich vor Virenscannern versteckt und im Verborgenen Überweisungen tätigt. Eine neue Variante des Internetbetrugs ist auch das so genannte Vishing, eine Phishing-Attacke per Telefon.

Dabei erhält das Opfer eine Mail, vermeintlich von seiner Bank oder seinem Kreditkarten-Institut, in der es gebeten wird, eine Telefonnummer anzurufen, um ein Problem zu beseitigen. Wer die angegebene Telefonnummer gutgläubig wählt, wird aufgefordert, die gleichen Daten einzugeben, die in einem Phishing-Angriff sonst per Webseite abgefragt werden: Sozialversicherungs-, Kreditkarten- und PIN-Nummern.

Allerdings ist kein Internetnutzer diesen Gefahren schutzlos ausgesetzt. Wer die „zehn Gebote“ der Arbeitsgruppe Identitätsschutz im Internet e.V. berücksichtigt, braucht sich vor Datenklau im Netz nicht zu fürchten:

- Pflegen Sie die Browser-Software regelmäßig mit aktuellen Sicherheits-Updates.

- Überprüfen Sie das Sicherheitszertifikat der Web-Seite.

- Überprüfen Sie, ob die Website gesichert ist, bevor kritische Daten eingegeben werden: Die URL sollte mit "https://" und nicht nur mit "http://" beginnen.

- Gehen Sie niemals über einen angebotenen Link zu der gewünschten Website, geben Sie stattdessen immer die entsprechende URL in den Browser ein.

- Deaktivieren Sie Javascript im Browser, um Cross-Site-Scripting zu vermeiden, und den Windows Skripting Hosts (WSH), um die Ausführung von ungewollten Skripten zu unterdrücken.

- Öffnen Sie möglichst keine Mails von unbekannten Absendern und wenn doch, klicken Sie auf keinen darin enthaltenen Link und bestätigen Sie niemals Kontonummern, Passwörter oder andere geheime Daten nach einer Mail-Aufforderung - entsprechende Institute oder Firmen würden ein solches Vorgehen aus Sicherheitsgründen nie wählen.

- Verifizieren Sie auffällige Mails von vertrauten Adressaten (wie zum Beispiel der eigenen Bank) mit einem kurzen Anruf.

- Schließen Sie den Browser, falls die gewünschte Website in der Regel eine Authentifizierung verlangt und plötzlich ohne eine solche auszukommen scheint.

- Installieren Sie Webfilter, die ihren Sperrkatalog ständig um gefälschte Web-Seiten erweitern.

- Setzen Sie aktuelle Anti-Virenprogramme und Firewalls ein. Verwenden Sie die neuesten Signaturen.

Quelle: Arbeitsgruppe Identitätsschutz im Internet e.V.