Phishing-Attacken waren bereits vor der Corona-Pandemie ein großes Sicherheitsproblem, denn Cyberkriminelle nutzen jede Gelegenheit aus. Während der Corona-Pandemie zielen sie mit COVID-19-Phishing-Attacken auf die Angst der Menschen ab. Kriminelle verschicken massenweise Phishing-E-Mails, Hacker versuchen, mithilfe automatisierter Skripte Schwachstellen in Websites auszunutzen. Dort integrieren die Angreifer etwa Links zu COVID-19-Phishing-Websites. So stehlen sie Daten, übernehmen Rechner und Smartphones und installieren beispielsweise Ransomware. Die Angriffe erfolgen auf unterschiedlichen Wegen. Erfahren Sie jetzt, wie Sie COVID-19-Phishing erkennen, welche Methoden zum Einsatz kommen und wie Sie Ihre Website wirksam schützen.
Was ist Phishing?
Der Begriff „Phishing“ setzt sich aus den drei englischsprachigen Wörtern „Password, Harvesting und Fishing“ zusammen. Grob übersetzt spricht man vom Abfischen oder Ernten sicherheitsrelevanter Daten aus geschäftlichen oder persönlichen Lebensbereichen.
Die Cyberkriminiellen fordern dazu auf, vertrauliche Informationen wie Passwörter, Zugangsdaten oder Kreditkartennummern preiszugeben. Bereits wenige Angaben reichen aus, um mithilfe von Social Engineering erfolgreich Angriffe durchzuführen.
Info: Google meldete zum Beispiel in der Hochzeit von Corona im April 2020, dass die hauseigenen Systeme täglich rund 18 Millionen Malware- und Phishing-Gmail-Nachrichten mit Bezug zur Corona-Pandemie entdeckten.
Wie gehen Cyberkriminelle beim COVID-19-Phishing vor?
Ob Kreditkartendaten, Bankverbindungen oder Passwörter für Firmenkonten: Um an Ihre Daten und damit letztlich an Ihr Geld zu gelangen, nutzen Cyberkriminelle beim COVID-19-Phishing unterschiedliche Methoden. Die Wege in die Falle sehen häufig wie folgt aus: Folgen Sie diesem Link, geben Sie bitte hier Ihre Daten ein, stimmen Sie hier mit „Ja“ zu.
Zu den verbreiteten Methoden gehören:
- Phishing-E-Mails: E-Mails, die angeblich von der World Health Organisation (WHO) oder dem Bundesamt für Gesundheit (BAG) oder anderen legitimen Institutionen stammen und Sie auffordern, einem Link zu folgen und Ihre Daten einzugeben. Sicherheitsexperten haben zum Beispiel eine interaktive Karte mit Corona-Fällen entdeckt, die Kriminelle als exe-Datei verschicken. Bei Ausführung der Datei wird im Hintergrund die Malware AZORult heruntergeladen, die unter anderem im Browser gespeicherte Passwörter ausspioniert. Die Verbraucherzentrale NRW warnt vor gefälschten E-Mails der Sparkasse, die Kunden zur Eingabe persönlicher Daten auffordert. Das Bundeskriminalamt weist auf eine Phishingwelle hin, bei der sich Cyberkriminelle als Mitarbeiter von Förderbanken ausgeben.
- Betrügerische Spendenaufrufe: Wohltätigkeitsorganisationen rufen zu Spenden auf, um einen Impfstoff gegen COVID-19 zu entwickeln. Eingabemasken auf Landingpages fordern Ihre Kontodaten inklusive Abbuchungserlaubnis oder Kreditkartendaten an.
- Fake-Shops für medizinische Produkte: Onlineshops, auf denen medizinische Produkte wie beispielsweise Atemschutzmasken, Desinfektionsmittel usw. angeboten werden. Sie können Ihre Bestellung zwar durchführen und per Kreditkarte oder Direktüberweisung bezahlen, erhalten aber keine Ware.
- Coronavirus Maps: Im Web kursieren zurzeit manipulierte Websites und interaktive Karten, die vermeintlich laut Bundesamt für Sicherheit in der Informationstechnik (BSI) über die Verbreitung des Coronavirus informieren. Beim Besuch dieser Websites oder Corona-Karten kann bereits durch das Anklicken einer Funktion ein Download von Malware ausgelöst werden.
- Voice Phishing: Anrufe im Namen oder Auftrag des Bundesamtes für Gesundheit (BAG) oder anderer Behörden, um an Ihre persönlichen Informationen zu gelangen.
Die 11 wichtigsten Tipps zum Schutz vor COVID-19-Phishing-Mails und -Angriffen
Die digitalen Betrüger sind clever und tarnen Ihre Cyberattacken so authentisch wie möglich. Mit den folgenden Tipps sind Sie den Cyberkriminellen auf der Spur und erkennen COVID-19-Phishing-Mails:
- Klicken Sie nicht auf Links und öffnen Sie keine angehängten PDF- oder Word-Dateien in einer E-Mail, deren Absender Sie nicht kennen.
- Anhänge mit Dateiendungen wie .exe oder .scr können Schadsoftware direkt auf Ihr Gerät laden.
- Prüfen Sie die Absenderadresse genau, nicht nur den Namen des Absenders, sondern auch die verwendete E-Mail-Adresse. COVID-19-Phishing-Attacken werden oft unter dem Namen von anerkannten Institutionen oder Behörden versendet. Die WHO und andere Organisationen schicken Ihnen keine E-Mails, wenn Sie sich nicht für einen Newsletter angemeldet haben.
- Schauen Sie genau hin! Fehlerhafte Grammatik und Rechtschreibung sind deutliche Hinweise auf Betrug.
- Geben Sie keine sensiblen Daten, wie Passwörter und E-Mail-Adressen auf einer Ihnen unbekannten Website ein.
Generell gilt:
- Nutzen Sie strikte Sicherheitseinstellungen und ein Antivirenprogramm – auch auf dem Smartphone.
- Aktivieren Sie eine Zwei-Faktor-Authentifizierung (2FA) in Ihren Sicherheitseinstellungen. Um Ihren Account gegen Hackerangriffe zu sichern, arbeitet die Zwei-Faktor-Authentifizierung mit zwei Sicherheitsstufen. Benutzernamen oder E-Mail werden durch Ihr Kennwort gesichert und zusätzlich durch ein weiteres Passwort, das speziell für ein einziges Log-in neu generiert wird. Sie erhalten diesen einmaligen Code, je nach Anbieter, über eine zugehörige App, per SMS oder ein alternatives Programm.
- Benutzen Sie niemals dasselbe Passwort auf mehr als einer Website. Passwort-Manager steigern die Sicherheit.
- Achten Sie auf die Schreibweise von Websites, um nicht auf Phishing-Websites zu landen. Tippen Sie die URL möglichst direkt in die Adresszeile des Browsers ein.
- Geben Sie Angaben zu sensiblen Informationen niemals telefonisch preis. Behörden und Banken fragen diese nicht per Telefon oder E-Mail ab.
Security-Software für mehr Sicherheit vor COVID-19-Phishing auf Ihrer Website
Mit einer zuverlässigen Sicherheitssoftware schützen Sie Ihre Endgeräte vor Phishing-Attacken. Dafür halten unterschiedliche Anbieter auf dem Markt passende Lösungen bereit.
Für Ihre Website bietet Sucuri Website Security umfassenden Schutz vor zahlreichen Angriffsmethoden und scannt Ihre Website regelmäßig auf Gefahren. Sucuri überwacht Datenbanken von Sicherheitsanbietern und informiert Sie, falls auf Ihrer Website ein Problem festgestellt wurde.
Wenn Ihr Blog oder Onlineshop gehackt wurde und Phishing-Seiten enthält, übernehmen die Sicherheitsexperten die Bereinigung. Die Mitarbeiter machen sich innerhalb von zwölf Stunden an die Arbeit. In besonders schwerwiegenden und eiligen Fällen beantragen Sie am besten die Expresshilfe. Dann beginnen die Spezialisten innerhalb von 30 Minuten mit der Bereinigung.
Zusammenfassung – schnelle Maßnahmen auf einen Blick
Mit den folgenden Maßnahmen schützen Sie sich wirksam sich vor COVID-19-Phishing:
- Bei E-Mails genau auf den Absender und Inhalte achten. Anhänge und Links im Zweifel nicht öffnen.
- Strikte Sicherheitseinstellungen auf allen Endgeräten aktivieren.
- Keine weiterführenden Internetlinks aus unbekannten Quellen anklicken.
- Hohe Passwortsicherheit für E-Mail-Konten und Webzugänge sicherstellen.
- Zwei-Faktor-Authentifizierung (2FA) auf allen Endgeräten aktivieren.
Damit Ihre Website nicht gehackt und für COVID-19-Phishing-Attacken missbraucht wird, lohnt die Investition in die Sucuri Website-Security-Lösung. Sie schützt zusätzlich vor Malware, DDoS-, Zero-Day- und Brute-Force-Attacken, Cross-Site-Scripting (XSS) und SQL-Injections. Schützen Sie sich und Ihre Websites, damit weder Sie noch Ihre Seitenbesucher zu Opfern der Attacken werden.
Bild von Gerd Altmann auf Pixabay