Ihr habt sicher schon lustige eMails erhalten von Hoster, Dienstleister, Banken und Versicherungen, wo man nach den Passwörter von diesen Diensten gefragt wird. Da diese eMails gar nicht von diesen Stellen kommt, sondern von Gaunern nennt man diese Art des eMail eine Phishing-EMail.

Es gibt aber auch ganze Webseiten die gefälscht werden und wo man schnell reinfallen kann – das sind dann Phising Webseiten.

Unter dem Begriff Phishing (Neologismus von fishing, engl. für ‚Angeln‘) versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten beispielsweise Kontoplünderung zu begehen und den entsprechenden Personen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird.

Nun gibts natürlich immer mehr Firmen die sich darauf spezialisiert haben, solche Kampagnen zu bekämpfen und das geht vorallem wenn man die Mechanismen erkennt mit denen die Leute auf solche eMails reinfallen. Und darum gibts immer wieder Kampagnen die von diesen Sicherheitsfirmen gemacht werden, die aber täuschend echt sind mit den echten Phishing Kampagnen. Auch machen manche Firmen solche Phishing Kampagnen um ihre Leute vor dieser Gefahr zu warnen, immerhin ist in einer Firma der eigene Mitarbeiter das grösste Sicherheitsrisiko (und das muss nicht mal aus Bösartigkeit so sein)

Da ja die Hoster und staatliche Stellen auf sowas sehr sensibel reagieren und schnell und harte Massnahmen gegen solche Kampagnen ergreifen, sollte man als Firma die entsprechenden Stellen vorher informieren – sonst wirds teuer.

Wie der IT Anwalt Martin Steiger auf seinem Blog schön schreibt, sollte man zuerst MELANI (Die Melde- und Analysestelle Informationssicherung MELANI ist eine Organisation der Bundesverwaltung der Schweiz. ) informieren, bevor man so eine eigene Kampagne startet.

Behörden und andere Sicherheitsakteure müssen vorgängig über MELANI per E-Mail an awareness@antiphishing.ch informiert werden

MELANI hat dafür Leitlinien ausgearbeitet, an die man sich halten sollte – dies hat der Martin in seinem Blog beschrieben

LINKTIPP: Phishing-Tests: MELANI gibt Empfehlungen für die Praxis