Sei kein Phish!

[Gesichtswurst]

Was haben die Stadt Frankfurt, die Uniklinik Gießen, Merck, Metro AG, und viele andere gemeinsam?

Richtig, sie wurden mit Phishing-Mails gehackt, erpreßt und ausgenommen.

Das hier ist ein kostenloses Sicherheitstraining der Stadt Darmstadt... macht sogar Spaß, und man wundert sich, wie leicht man auf etwas hereinfällt...
„Bleib wachsam, Darmstadt!” - DU bist die Firewall

 

[melnik]

Kein normaler Mensch fällt auf Phishing Mails rein. Nur schlichte Gemüter die auf alles klicken was nicht bei 3 auf den Bäumen ist!

 

[Gesichtswurst]

Das dachte ich auch. Das denken alle. Die Zeiten, in denen miserable übersetzte Schrottmails nur Leute erwischt haben, die auch in RTL-Realityshows auftreten würden, sind doch lange vorbei. Heutige Phishing-Mails wirken oft so echt, dass selbst gewiefte ITler darauf reinfallen.

 

[Dr.No]

Und da wir alle nicht normal sind...

So etwas geht manchmal schneller als man denkt. In der Hektik und Mailflut während der Arbeit. Mehrere Dinge gleichzeitig erledigen wollen, oder sich selbst zu wichtig nehmen (Bsp. Kontaktaufnahme über LikedIn und Xing).

 

[melnik]

Das dachte ich auch. Das denken alle. Die Zeiten, in denen miserable übersetzte Schrottmails nur Leute erwischt haben, die auch in RTL-Realityshows auftreten würden, sind doch lange vorbei. Heutige Phishing-Mails wirken oft so echt, dass selbst gewiefte ITler darauf reinfallen.

Wenn ich keine private oder geschäftliche Beziehung mit dem Emailverfasser habe wird eine Email sofort gelöscht. Bei den empfangenen Emails ist jede Abweichung vom normalen, Üblichem ein Signal für mich nachzuschauen was der Header aussagt, telefonisch nachzufragen, wenn ich unsicher bin. Das man keine Daten in Formulare eingibt, links auf Webseiten nicht nutzt. Anhänge penibel überprüft usw. ist obligatorisch. Schau ich mir an, auf welche angeblich gut gemchten Pishingmails die Leute reinfallen frage ich mich nur noch, haben die nicht mehr alle. Ich habe in 34 jahren keine einzige pishingmail gesehen die man nicht nach wenigen Augenblicken mit etwas Sorgfalt entdecken konnte. Nein, hier spielt sich eine Stadt als "Smartcity" in Neuland auf. Allein schon der Registrierungszwang auf der Seite zeigt das die nichts begriffen haben.

 

[Andi_K]

@melnik , ist Dir schonmal in den Sinn gekommen dass Leute die in IT Fragen weniger versiert sind als Du trotzdem "normale Menschen" sein könnten? Ist Dir in Deinem Leben noch nie was passiert wo jemand der in dem Punkt mehr vom Fach ist als Du vermutlich die Hände über dem Kopf zusammengeschlagen hätte?

Ich bin ja grundsätzlich bei Dir dass man sich bei vielen (nicht allen!) Betrugsversuchen fragt wie da jemand ernsthaft drauf reinfallen kann. Aber es sind halt nur wenige Menschen perfekt. Und nur weil Du es zumindest in dieser Hinsicht zu sein scheinst könntest Du trotzdem etwas weniger von oben herab auf diejenigen blicken die es nicht sind.

 

[Raz3r]

Kein normaler Mensch fällt auf Phishing Mails rein. Nur schlichte Gemüter die auf alles klicken was nicht bei 3 auf den Bäumen ist!

Also sorry, aber geht es denn noch überheblicher? Natürlich fragt man sich, wie es immer wieder passieren kann, dass das nach wie vor funktioniert. Zu urteilen und alle Opfer als dumm hinzustellen, ist aber sicher die falsche Art und Weise, damit umzugehen.

Sogar Profis tappen manchmal in die Falle, siehe z.B. Linus Neumann vom ccc. Wo Menschen sind, menschelt es. Und wenn Abläufe routiniert abgespult werden und man z.B. ein wenig Ressourcen in social Engineering steckt, ist der Absender einer Mail eben kein Unbekannter. Und die Aufforderung, eine Überweisung zu tätigen oder einen Anhang zu öffnen, klingt gar nicht mehr so abwegig.

Ich finde es gut, dass hier mit ein wenig Spaß Aufklärung betrieben wird, um dem Problem zu begegnen. Allgemein ist das schwierig und mühselig, so wie Prävention allgemein, da diese zunächst mal auch nicht messbar ist. Da ist es natürlich leichter, sich anderen überlegen zu fühlen, indem man diese als schlichte Gemüter hinstellt.

Ich wünsche Dir und allen ähnlich Denkenden, niemals in eine solche Situation zu geraten, oder auf eine der vielen Betrügereien hereinzufallen, die es so gibt. Denn dann müsstet Ihr Euch ja so fühlen, wie die, über die ihr Euch mit solchen Aussagen erhebt. Und das wünscht man ja eigentlich niemandem, oder?

 

[melnik]

@Andi_K @Raz3r mit IT haben pishingmails nichts zu tun. E-Mail, also elektronische Post ist nichts anderes als der Brief nur über einem anderen Medium. Nach eurer Aussage stellt es kein versäumins dar und ist normal in einem Brief mit fremden Absender, vom Hörensagen bekamnnten Absender Kontodaten, Passwörter zur Verifizierung, zum Abgleich an den fremden Absender zurückzusenden. Dieses beim bekannten Absender, hier der Bank das ebenfalls zu tun, obwohl bei Beginn des Geschäftsverkehrs, in jedem Schreiben der Bank darauf hingewiesen wird das in keinem Fall nach solchen Daten gefragt und in keinem Fall darauf reagiert werden soll. Es ist also normal die in einem Brief genannte unbekannte Adresse anzuschreiben und dem Empfänger die angeforderten Daten mitzuteilen. Oder diese Daten bekanntzumachen weil der Brief von einer bekannten Adresse kommt aber es offensichtlich ist das die Daten in keinem Fall notwendig sind. Oder einen Brief im Brief zu lesen und daraufhin zu handeln. Pishing ist ein Problem, es ist die Arroganz sich nicht mit den Möglichkeiten der Gefährdung auseinandersetzten zu wollen.

 

[styyx]

Also sorry, aber geht es denn noch überheblicher? Natürlich fragt man sich, wie es immer wieder passieren kann, dass das nach wie vor funktioniert. Zu urteilen und alle Opfer als dumm hinzustellen, ist aber sicher die falsche Art und Weise, damit umzugehen.

In vielen Fällen stimmt es aber einfach. Wenn ich als Beispiel kein Paypal nutze, brauche ich auch keine Mail von denen öffnen. Da gibt es zig Beispiele. Oder von einer fremden Bank usw. usw. Wenn eine seriöse Bank etwas will, dann meldet die sich noch ganz altmodisch per Post. Selbst die Onlinebanken.
Oder nur die Enkeltricks usw. Es wurde so oft darüber berichtet und trotzdem fallen noch Leute darauf rein. Da hält sich mein Mitleid aber sehr stark in Grenzen. Gerade Tage kam ein Bericht über eine Frau, die sogar ihr Haus verkaufte. Wie doof muss man sein?

Entweder ich kann noch alleine leben, dann sollte man sowas wissen/merken oder man kann es nicht mehr und man hat einen Betreuer an der Seite.

 

[Dr.No]

Eher Unkenntnis und menschliche Naivität. Die einen reagieren auf Pishingmails, wo andere nur den Kopf schütteln und den Delete-Knopf betätigen. Andere geben wild fremden Menschen viel Geld, weil diese Ihnen erzählen sie seien ihr Enkelkind oder von der Polizei. Und wiederum andere gehen auf Singlebörsen und glauben den Quatsch.

@styyx Phishingmails werden meistens nicht gezielt auf eine Person ausgerichtet. Masse statt Klasse. Unter den vielen Empfänger gibt es bestimmt den ein oder anderen der PayPal, Amazon oder die entsprechende Bank nutzt.

 

[styyx]

Ja, klar. Aber dennoch lässt sich sowas oft leicht vermeiden. Ich habe letztens auch eine Mail von Amazon bekommen, nur auf einen Account, wo es keine Verknüpfung zu Amazon gibt.

 

[Gesichtswurst]

@Dr.No Die Kriminellen werden da immer besser:

https://www.kaspersky.de/resource-center/definitions/what-is-a-whaling-attack

Die richtig großen Beutezüge beginnen oft auf diese Art. Das Führungspersonal ist oft so beschäftigt, dass Sicherheitsregeln außer Acht gelassen werden, da klickt man eben, wenn die Mail von einem Mitarbeiter zu kommen scheint.