Als ich heute Morgen mehrere Dutzend neu eingegangene E-Mails durchsuchte, bemerkte ich eine von "Provider Inc.". mit "Bestellung bestellen" in der Betreffzeile. "Verdammte Phisher", dachte ich, als ich mich darauf vorbereitete, die Nachricht an den digitalen Müllcontainer zu senden.

Beim zweiten Gedanken fragte ich mich, warum jemand auf eine Nachricht fallen würde, die mir wie ein offensichtlicher Phishing-Versuch erschien. Nun, die Leute reagieren auf Verkaufsbelege, auch wenn sie in letzter Zeit nichts online gekauft haben - niemand möchte für etwas bezahlt werden, das sie nicht gekauft haben.

"Sales Order" war also der erste Haken. Nach dem Öffnen der Nachricht - sorgfältig - waren die Hinweise auf die falsche Natur allgegenwärtig. "Nord-Luigi, AZ"? Willst du mich verarschen? Eine Faxnummer mit dem Präfix "006"? Komm schon. Die traurige Tatsache ist, dass einige der armen Seelen, die die Phisher mit dieser E-Mail anvisieren, den Köder ergreifen werden.

Wie Phishing-Versuche gehen, war dieser ziemlich gut gemacht. Erstens gelang es, die integrierten Phishing-Filter von Google Mail zu verwenden. Zweitens ähnelt es einer echten Rechnung. Sie müssen genau hinschauen, um die Grammatikfehler und andere Fehler zu finden, die eine Fälschung bestätigen: "bis" statt "bis", "doppelte" an, doppelte Straßenadressen und nicht übereinstimmende Postleitzahlen.

Benutzererziehung ist der Schlüssel zur Phishing-Prävention

Phisher sind der Abschaum der Erde. Laut dem Bericht State of Hacked Accounts (PDF) von CommTouch vom Oktober 2011 werden Phishing-E-Mails zunehmend von kompromittierten Konten und nicht von "Zombie" -Adressen verschickt. Dies macht es für Ihren E-Mail-Anbieter schwieriger, die Nachrichten zu blockieren, da diese scheinbar aus vertrauenswürdigen Domänen stammen.

Laut einer CommTouch-Umfrage unter Personen, deren E-Mail-Konten gehackt wurden, waren Yahoo Mail (27 Prozent), Facebook Mail (23 Prozent), Gmail (19 Prozent) und Hotmail (15 Prozent) die Hauptziele von Phishern. Es überrascht nicht, dass 62 Prozent der Umfrageteilnehmer gaben an, dass sie nicht wussten, wie ihr E-Mail-Konto gehackt wurde, während 15 Prozent einen Facebook-Link beschuldigten und weitere 15 Prozent den Finger auf einen öffentlichen WLAN-Hotspot wiesen .

Die Umfrage ergab, dass 54 Prozent der kompromittierten Konten zum Versenden von Spam und 12 Prozent für die Bekanntmachung des Betrugs durch „Freund, der im Ausland feststeckt“ verwendet wurde. 23 Prozent der von CommTouch befragten Opfer gaben an, nicht gewusst zu haben, wie ihr kompromittiertes Konto verwendet wurde.

Das vielleicht aussagekräftigste Ergebnis der CommTouch-Umfrage ist, wie die Leute auf den Phishing-Angriff reagierten: 42 Prozent änderten ihr Passwort, 8 Prozent liefen mit Antivirensoftware, 23 Prozent änderten ihr Passwort und liefen mit Antivirensoftware und weitere 23 Prozent taten nichts. Zu dieser letzten Gruppe kann ich nur sagen: "Danke, dass Sie ein Teil des Problems sind."

Der Internet Threat Trend Report (PDF) von CommTouch vom Oktober 2011 befasst sich eingehender mit den Techniken, die Phisher verwenden, um unsere E-Mail- und Web-Konten zu durchbrechen.

Ändern Sie regelmäßig Ihre Passwörter und nehmen Sie nicht den Link-Köder

Niemand mag Mikromanagement, aber ich muss widerwillig die Weisheit der Richtlinien anerkennen, nach der die Benutzer ihre Passwörter in einem festgelegten Intervall ändern müssen und verhindern sollten, dass sie leicht zu erratende Passwörter verwenden. Im letzten Monat hat Rob Lightner mehrere Dienste beschrieben, die sichere Kennwörter generieren. Einer meiner Lieblingstricks besteht darin, den zweiten, dritten oder letzten Buchstaben in einer gemeinsamen Phrase zu verwenden, beispielsweise in einer relativ obskuren Liedtext oder in einer Filmzeile.

Im Februar 2008 habe ich die Passwort-Gebote beschrieben. Die meisten dieser Tipps waren zum Schutz Ihres Windows-Kontos gedacht und enthalten Anweisungen zum Erstellen einer Kennwortrücksetzdisk in Vista und Windows XP. (Die Schritte dazu sind in Windows 7 fast identisch mit denen von Vista.) In diesem Artikel wird jedoch auch beschrieben, wie gespeicherte Kennwörter in Browsern gelöscht werden.

In der Vergangenheit habe ich Passwortmanager wie RoboForm und Lastpass empfohlen, aber ich benutze sie nicht. Es ist nicht so, dass Passwort-Manager unsicher sind. Ich möchte meine Passwörter lieber im Kopf behalten und sonst nirgendwo. Es gibt auch den Stolzfaktor: Wenn ich ohne Liste zum Lebensmittelgeschäft gehe, möchte ich meinem Gedächtnis vertrauen - zumindest bis sich die Seneszenz durchsetzt.

Nun, über was wollte ich sonst noch schreiben? Ach ja, Linkfallen - diese emotionsgetriebenen Comics, die direkt zu Problemen führen. Natürlich möchte jeder wissen, wer sein Facebook-Profil angesehen hat, aber Sie können es nicht. Zeitraum. Jeder Link, von dem Sie behaupten, dass er Sie zulässt, ist falsch.

Hüten Sie sich ebenfalls vor Angeboten, Bilder oder Videos zu Prominenten und aktuellen Ereignissen zu zeigen. Natürlich versuchen die Gauner von Steve Jobs zu profitieren, wie Graham Cluley im Sophos Naked Security Blog berichtet.

(Danke, Mr. Jobs, dass Sie das Licht meiner Generation sind - möge es leuchten!)

Phisher sind Verbrecher, und Verbrecher verletzen uns alle. Wir sind es einander schuldig, diese Ungeziefer aus dem Geschäft zu werfen. Ändern Sie Ihr Dang-Passwort, halten Sie Ihre Dang-Software auf dem neuesten Stand, achten Sie auf verdächtige E-Mails und glauben Sie nicht an den Link-Hype. Weitergeben.