Viele Menschen denken, dass ein Virenscanner vollumfänglichen Schutz für den Computer und das Smartphone bietet. Oft wird daher für einen vermeintlich besonders guten Virenscanner auch ordentlich Geld ausgegeben, in der Hoffnung, der Schutz sei dann noch besser. Doch in der Welt der Cyberkriminalität arbeiten die Angreifer längst mit anderen Werkzeugen, nicht jede Bedrohung lässt sich durch eine Antiviren-Software blockieren. Zwar gibt es durchaus Betrugsmethoden, die ein Virenscanner verhindern kann. Allerdings sind die wirklich besorgniserregenden und „erfolgreichen“ Betrugsmethoden solche, die nicht durch einen Virenscanner verhindert werden können. In solchen Fällen ist auch der teuerste und beste Virenscanner machtlos. Wir beleuchten drei mögliche Angriffspunkte, bei denen ein Virenscanner allein nicht ausreicht, und zeigen auf, welche zusätzlichen Sicherheitsvorkehrungen stattdessen sinnvoll sind.
1. Phishing – Betrug durch Täuschung
Das englische Kunstbegriff „Phishing“ ist eine der häufigsten Betrugsmethoden im Internet und funktioniert fast ausschließlich über psychologische Manipulation. Dabei senden Kriminelle gefälschte E-Mails oder Nachrichten, die wie offizielle Mitteilungen von Banken, Dienstleistern oder anderen vertrauenswürdigen Quellen aussehen. Oft werden die Opfer dabei sogar persönlich angesprochen/angeschrieben, was den Erfolg dieser Methode ausmacht. Man soll dazu verleitet werden, sensible Daten preiszugeben, etwa Passwörter für Internetseiten oder zum Beispiel Kreditkartendaten. Dabei wird alles so gut getarnt und getäuscht, dass man oft gar nicht bemerkt, wie man selbsttätig die eigenen Daten preisgibt und eintippt. Weil solche Phishing-Nachrichten keinen Virus enthalten, bleibt ein Virenscanner oft wirkungslos. Man sollte Links in E-Mails stets hinterfragen und im Zweifelsfall nicht anklicken. Statt einem Virenscanner hilft hier eher der Spam-Filter im E-Mailprogramm, doch auch dieser erkennt die gefälschten Mails nicht immer. Die beste Waffe gegen diese psychologischen Betrugsmethoden sind also keine Schutzprogramme, Spam-Filter oder Virenscanner, sondern der menschliche Verstand.
Das Wort Phishing stammt übrigens vom englischen Wort „fishing“ (Angeln). Es wird bewusst mit „ph“ statt „f“ geschrieben, um es vom herkömmlichen „fishing“ abzugrenzen. Beim Phishing „angeln“ die Cyberkriminellen im übertragenen Sinne nach persönlichen Daten, wie Passwörtern, Bankinformationen oder anderen sensiblen Informationen. Das Besondere beim Phishing ist, dass das Opfer seine Daten am Ende freiwillig preisgibt, ähnlich wie der Fisch, der freiwillig auf den Köder beißt. Und dies kann ein Virenscanner nicht verhindern.
2. Social Engineering – Vertrauen ausnutzen
Beim sogenannten Social Engineering manipulieren Angreifer ebenfalls unmittelbar auf psychologischer Ebene den Menschen und nicht auf technischer Ebene den Computer. Man könnte es auch mit sozialer Manipulation übersetzen. Dies kann telefonisch, per Chat, SMS oder sogar persönlich geschehen. Ein häufiger Trick ist es, dass die Betrüger sich als Mitarbeiter einer bekannten Firma oder als IT-Support ausgeben, um an sensible Informationen wie Passwörter oder Zugangsrechte zu kommen. Auch hier ist ein Virenscanner machtlos, da der Angreifer keine Schadsoftware nutzt und nicht auf technischer Ebene agiert. Um sich zu schützen, ist es wichtig, generell erstmal keine vertraulichen Informationen herauszugeben und solche Anfragen immer kritisch zu hinterfragen. In solchen Fällen nehmen sich die Betrüger oft viel Zeit, um Vertrauen aufzubauen. Es wird ein Gespräch geführt, in dem es anfangs vielleicht auch erstmal um ganz andere Dinge geht, bevor dann irgendwann der Betrug eingeleitet wird. Man kennt dieses Verfahren aus der „analogen nicht digitalen Vergangenheit“ zum Beispiel von Heiratsschwindlern oder auch vom Enkeltrick. Diese Methoden werden mittlerweile auch angewendet, um an Passwörter oder andere Zugangsdaten zu kommen oder eine freiwillige Zahlung an die Betrüger zu veranlassen.
3. Account Takeover – Die Übernahme von Benutzerkonten
Beim sogenannten „Account Takeover“ nutzen Angreifer gestohlene oder schwache Zugangsdaten (schlechte Passwörter mit wenigen Stellen, keinen Zahlen und Ziffern), um sich in fremde Online-Konten einzuloggen, etwa auf sozialen Netzwerken, bei Online-Shops oder bei E-Mail-Diensten. Die Zugangsdaten stammen oft aus großen Datenlecks oder werden sogar manchmal durch Ausprobieren erraten, wenn Nutzer zu einfache Passwörter verwenden. Da auch hierbei keine Schadsoftware auf dem Gerät des Opfers installiert wird, hat auch in diesem Fall ein Virenscanner keine Chance, diesen Angriff zu bemerken. Um sich zu schützen, ist es entscheidend, starke, einzigartige Passwörter für jeden Online-Dienst zu verwenden oder nach Möglichkeit die Zwei-Faktor-Authentifizierung einzurichten, sofern sie angeboten wird. Ein gutes Passwort besteht aus 12 Zeichen, besitzt große Buchstaben, kleine Buchstaben, Ziffern und Sonderzeichen. Und jedes Passwort darf nur für einen Zweck verwendet werden, also nicht an mehreren Stellen/Internetseiten genutzt werden. Passwortmanager können dabei helfen, die vielen komplizierten Passwörter zu verwalten.
Die Levato-Mitgliedschaft bietet über 900 hilfreiche Erklärfilme zu Computer, Internet und Smartphone.
Hier erhalten Sie einen Gutschein, um die Mitgliedschaft einen Monat lang kostenfrei zu testen – ohne Abonnement, ohne Risiko.
In einer Zusammenarbeit zwischen diesem Magazin und Levato verfassen Andreas Dautermann und Kristoffer Braun regelmäßig Beiträge für diesen Blog. Ihre Themen: Computer, Internet und Smartphone. Auf www.levato.de helfen sie älteren Menschen beim Umgang mit neuen Medien und Technologien. Dafür wurden sie bereits mehrfach ausgezeichnet. Weitere Hilfestellungen zu Computer, Internet und Smartphone gibt es auf www.levato.de.
Dieser Beitrag stammt von:
Um ihnen ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn sie diesen Technologien zustimmen, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn sie ihre Zustimmung nicht erteilen oder zurückziehen, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.