Die größte Gefahr im Internet: Phishing!

Eine neue Studie von Google zeigt die größte Gefahr im Netz: Phishing!

Die Studie ist in Zusammenarbeit mit der Berkeley Universität angefertigt worden und wurde auf der CCS vorgestellt. Zahlreiche Accounts sind betroffen, Schutzmaßnahmen kann jeder umsetzen! Google schützt mithilfe der Informationen rund 67.000.000 Google Accounts.

25.000 Phishing- und Keylogging Tools gefunden!

Sobald man sich mit gestohlenen Daten beschäftigt, kommt man über kurz oder lang nicht am Darknet vorbei. Das haben sich auch die Forscher gedacht und automatisiert in bekannten Untergrundforen nach genau solche Daten gesucht. Und zwar von März 2016 bis März 2017.

Dabei sind sie auf 25.000 Tools gestoßen die dabei helfen die Account Credentials von jemandem zu erhalten. Dazu kommen noch 788.000 gestohlene Daten per Keylogger und 12.000.000 per Phishing. Das ganze wird nur von den Daten getoppt, die über Drittanbieter gestohlen worden sind. Davon sind nämlich 3.3 Milliarden Accounts betroffen. Von denen eignen sich übrigens 7% zur Wiedernutzung.

Die Top 5 Passwörter aus dem MySpace Datendiebstahl sind übrigens folgende:

  1. 123456
  2. password
  3. 123456789
  4. abc123
  5. password1

Wer sich schon einmal mit Passwörtern beschäftigt hat, der wird nicht überrascht sein. Eine aktuelle Studie vom HPI zeigt das Problem bezogen auf .de TLDs.

Google nutzt Erkenntnisse um Accounts zu schützen!

Solche Studien werden natürlich nicht ohne „Hintergrund“ angefertigt. Ziel der Studie ist es die Accounts der Benutzer besser schützen zu können. Von einem kompromittiertem Account schließlich weder Google noch der Nutzer etwas.

Google ergreift mithilfe von Safe Browsing u.a. präventive Maßnahme zur Verhinderung von erfolgreichen Phishing Attacken. Jeder kennt vielleicht die Seite, die mit einem dezenten Hinweis darauf aufmerksam macht, dass man sich auf dem bestem Wege befindet eine Phishing Website zu betreten.

Eine sehr deutliche Warnung – auch bei Websites für Phishing Attacken (Quelle:blog.google)

Für Personen die einem erhöhtem Sicherheitsrisiko ausgesetzt sind steht übrigens das „Advanced Protection Product“ zu Verfügung. Aber auch der Nutzer selbst hat Möglichkeiten das eigene Sicherheitsniveau signifikant zu erhöhen. Google weist auf den Security Checkup hin.

Mein Tipp um kein Opfer einer Phishing Attacke zu werden!

Falls man Google Produkte benutzt, kann man bei den meisten Services die sog. Zwei-Faktor-Authentifizierung einsetzen. Ich persönlich hinterlege bei wichtigen Diensten meine Handynummer als zweiten Faktor. Das dient gleichzeitig als „Alarm“. Erhalte ich plötzlich eine SMS, dann weiß ich: Es hat sich jemand erfolgreich mit Username & Passwort eingelogt.

Als Backup bei fehlendem Mobilfunk habe ich mir noch den Google Authenticator eingerichtet. Mittlerweile haben sich dort auch zahlreiche Accounts zur Erstellung eines OTP (One-Time-Password) eingefunden. Ein bisschen mehr tun als schlechte Passwörter zu verwenden und einen zweiten Faktor bringt meiner Meinung nach schon ein erhebliches Plus an Sicherheit.

Weitere Quellen und Informationen

[1] Data Breaches, Phishing, or Malware? Unterstanding the Risks of Stolen Credentials (googleusercontent.com) [2] Data breaches, phishing or malware? – abstact (research.google.com) [3] Google-Studie: Phishing grö0te Gefahr für Acoount-Übernahme (heise) [4] Die Top Ten deutscher Passwörter (hpi.de)

Der Beitrag Die größte Gefahr im Internet: Phishing! erschien zuerst auf technique Blog • IT & IT Security Blog.