Phishing und Social Engineering

lock

Bevorstehend

Phishing-E-Mails erkennen Links prüfen Social Engineering Taktiken verstehen und dich davor schützen.

Ziele dieses Moduls

Die SuS können Phishing-E-Mails anhand typischer Merkmale erkennen und Social-Engineering-Taktiken beschreiben.
Verstehen
Die SuS können Massnahmen gegen Phishing und Social Engineering anwenden und Links auf ihre Echtheit prüfen.
Anwenden

Wie erkennt man Phishing-E-Mails und gefälschte Websites? In diesem Modul lernst du die Warnsignale übst das Erkennen von Phishing und verstehst wie Social Engineering funktioniert.

Was ist Phishing?

Phishing ist eine Angriffsmethode bei der Angreifer versuchen dich dazu zu bringen persönliche Daten preiszugeben Passwörter Kreditkartennummern persönliche Informationen. Das geschieht meistens über gefälschte E-Mails Websites oder Nachrichten.

Das Wort kommt von "Password Fishing" Angeln nach Passwörtern.

Arten von Phishing

E-Mail-Phishing: Gefälschte E-Mails die von bekannten Firmen stammen sollen
Spear-Phishing: Gezielt auf eine Person zugeschnitten
Smishing: Phishing per SMS
Vishing: Phishing per Telefonanruf

Merkmale von Phishing erkennen

Typische Warnsignale

Dringlichkeit: "Ihr Account wird in 24 Stunden gesperrt!"
Absender-Adresse: support@g00gle.com (mit Nullen statt O)
Links prüfen: Link-Text zeigt google.com aber der eigentliche Link führt zu einer anderen Seite
Rechtschreibung: Fehler im Text (aber: KI macht Phishing immer fehlerfreier!)
Allgemeine Anrede: "Sehr geehrter Kunde" statt deinem Namen
Unerwartete Anhänge: Rechnungen die du nicht erwartest

So prüfst du einen Link

Hover über den Link (nicht klicken!) zeige die echte URL
Prüfe die Domain: Ist es wirklich die offizielle Domain?
Achte auf Subdomains: login.google.evil-site.com ist NICHT Google!

Du erhältst eine E-Mail von "support@paypa1.com" (mit der Ziffer 1 statt l). Die E-Mail fordert dich auf dein Passwort zu ändern da "verdächtige Aktivität" auf deinem Account festgestellt wurde. Was tust du?

Auf den Link klicken und das Passwort ändern Sicherheit geht vor!

Die E-Mail ignorieren und direkt paypal.com im Browser öffnen um dort zu prüfen

Antworten und nachfragen ob die E-Mail echt ist

Das Passwort ändern aber nur über den Link in der E-Mail

Wähle eine Antwort

Lokal gespeichert — Login, um Antworten dauerhaft zu sichern.

Social Engineering

Phishing ist nur eine Form von Social Engineering dem Ausnutzen menschlicher Schwäche statt technischer Schwachstellen.

Häufige Taktiken

Authority: "Hier spricht der IT-Administrator ich brauche Ihr Passwort"
Urgency: "Wenn Sie nicht sofort handeln verlieren Sie Ihren Zugang!"
Familiarity: Angreifer gibt sich als Kollege aus
Consensus: "Alle anderen haben schon zugestimmt"

Gegenmassnahmen

Verify: Immer verifizieren zurückrufen offiziellen Kanal nutzen
Slow down: Nicht unter Zeitdruck handeln
Question: Auch "Offizielles" hinterfragen

Du bekommst einen Anruf von jemandem der behauptet vom IT-Support deiner Schule zu sein. Er sagt es gebe ein dringendes Sicherheitsproblem und er brauche dein Passwort um deinen Account zu schuetzen. Wie reagierst du und warum?

Antwort wird geladen...

Lokal gespeichert — Login, um Antworten dauerhaft zu sichern.

Reflection

Zusammenfassung

Phishing versucht dich zur Preisgabe von Daten zu verleiten
Immer Links prüfen (hover!) und Absender kontrollieren
Social Engineering nutzt psychologische Tricks aus
Die wichtigste Regel: Niemals unter Druck handeln immer verifizieren