Phishing mit falschen Online-Speichern

Empfehlungen

Melani empfiehlt Firmen und Privatanwendern, folgende Massnahmen zu ergreifen, die sowohl technischer als auch organisatorischer Art sind:
  • Nutzen Sie eine Zwei-Faktor-Authentifizierung wo immer diese verfügbar ist.
  • Es wird empfohlen, einen Dienst zu wählen, der genügend Logging-Funktionalität bietet und die Logs in geeigneter Form für Kunden zur Verfügung stellt.
  • Den Unternehmen wird empfohlen, nach anormalen Aktionen bei den Konten der Mitarbeitenden zu suchen: Zugang von ungewöhnlichen Orten oder zu unüblichen Zeiten, Hinzufügen von E-Mail-Weiterleitungen, etc.
  • Mails sollten (zumindest intern) immer digital signiert sein und Benutzer darauf trainiert werden, Mails ohne eine entsprechende Signatur besonders vorsichtig zu behandeln.
  • Beim Versand von legitimen E-Mails mit hohem Missbrauchspotential für Phishing, wie z.B. der elektronische Versand von Rechnungen, sollte darauf geachtet werden, dass die Links nicht hinter HTML-Text versteckt sind und dass die Mails und/oder Dokumente digital signiert sind.
  • Damit die eigene Domain weniger einfach für Phishing-Versuche missbraucht werden kann, sollten SPF-, DKIM- und DMARC-Protokolle eingerichtet werden. Dies ist auch bei einigen der grossen Collaboration-Providern möglich, wie z.B. bei Office 365.
  • Zudem sollten die Mitarbeitenden bezüglich des Phishing-Phänomens sensibilisiert werden: Es ist unerlässlich, dass die Mitarbeitenden in der Erkennung und dem Umgang mit suspekten und betrügerischen E-Mails geschult werden. Sensibilisierte Mitarbeitende wissen, dass sie bei suspekten oder betrügerischen E-Mails auf keine Links klicken oder Anhänge öffnen sollen, sondern umgehend die Vorgesetzten oder die IT-Verantwortlichen informieren sollten.
  • Ebenfalls sind die vom Unternehmen definierten Prozesse und risikominimierenden Massnahmen zu jeder Zeit einzuhalten. Insbesondere sollten sämtliche Prozesse, welche den Zahlungsverkehr betreffen, firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden (z.B. Vier-Augen-Prinzip, Unterschrift kollektiv zu zweien, Prozesse gemäss internem Kontrollsystem).
Daneben ist es sicher auch ratsam, nicht die populärsten Dienste zu verwenden. Gerade bei den Online-Speichern gibt es eine Reihe Schweizer Alternativen zu Dropbox und Co.


Das könnte Sie auch interessieren