Vorsicht vor bösartigen WordPress Phishing E-Mails

Neue Phishing Methode attackiert WordPress Seiten

Diese Info ist für WordPress Seitenbetreiber sehr wichtig: Aktuell nutzen Betrüger eine Phishing Methode, um in den Besitz von WordPress Logindaten zu kommen. Dabei bekommen WordPress Seitenbetreiber E-Mails gesendet, die täuschend echte WordPress Design-Elemente enthalten und auch vom Inhalt her sehen die sog. Scam E-Mails wie eine legitime Nachricht aus. Diese Mails sind jedoch Kopien der realen Systemmeldungen, die Benutzer darüber informieren, dass eine Aktualisierung ihres WordPress Systems fällig ist. Wenn man nicht genau hinsieht, kann es gefährlich werden und im schlimmsten Fall dazu führen, dass man seine WordPress Logindaten an fremde Personen übermittelt.

Die Profis des WordPress Hosting Anbieters HostPress beschreiben in Ihrem Blogbeitrag wie genau diese Methode abläuft (mit Screenshots) und erklären auch wie man sich davor schützen kann.

Hier geht’s zum Blogbeitrag:

Achtung: Aktuell WordPress Phishing E-Mails im Umlauf

Als Startup mit innovativer Geschäftsidee verfolgt HostPress das Ziel, der kundenfreundlichste und schnellste WordPress Hoster Deutschlands zu werden.

Kontakt
HostPress GmbH
Marcus Krämer
Koßmannstraße 7
66571 Eppelborn
0688193629620
info@hostpress.de
https://www.hostpress.de

Erfolgreiche Phising-Kampagne durch CCVOSSEL bei der Lebenshilfe abgeschlossen

Echt aussehende E-Mails verführen zum Öffnen – was soll man beachten?

BildBerlin, 06.06.2018 – Sie sahen absolut echt aus: Die E-Mails, die Mitarbeiter der Lebenshilfe gGmbH angeblich von einem großen Online-Kaufhaus bekamen. Ãœber 300 ausgewählte Mitarbeiter erhielten eine Mail mit dem Text „Vielen Dank für Ihre Bestellung“ und die Bestätigung, dass erfolgreich ein Rezeptbuch bestellt wurde. Sinn dieser durch die CCVOSSEL GmbH ausgeführten Kampagne war es zu ermitteln, ob die Mitarbeiter*innen solche gefälschten E-Mails auf den ersten Blick erkennen und sie somit ungeöffnet löschen. Denn das wäre die richtige Reaktion. Ungünstiger ist es, diese Mails im Affekt und trotz des Wissens, dass man nichts bestellt hat, zu öffnen oder gar auf den Anmeldelink zu klicken und somit nichtsahnend seine Zugangsdaten preiszugeben. Damit wäre Hackern Tür und Tor geöffnet.

Bei der Lebenshilfe gGmbH sollte evaluiert werden, wie hoch der Aufklärungs- und Schulungsbedarf innerhalb der Belegschaft ist. Auch eine zweite Mail, angeblich vom Lohnbüro, war dazu gedacht, das Sicherheitsbewusstsein der Mitarbeiter zu testen. Nach Auswertungen der anonymisierten Öffnungsrate war das Ergebnis insgesamt als ermutigend einzustufen. Viele Mitarbeiter kannten die Gefahren und gingen mit den Phishing-Mails richtig um. Durch eine Aufklärungskampagne wurden nun alle Mitarbeiter auf solche Angriffsszenarien und insbesondere auf den Umgang mit Phishing-Mails vorbereitet. Die Mitarbeiter der Lebenshilfe gGmbH sind nun sensibilisiert und die Wahrscheinlichkeit von erfolgreichen Phishing-Angriffen konnte auf ein Mindestmaß reduziert werden.

Leider erfahren wir auch von Fällen in anderen Unternehmen, die ihre Mitarbeiter nicht ausreichend sensibilisieren. Der Schaden ist oft unvorhersehbar und trifft durchaus auch versiertes IT-Personal.

Die Durchführung einer Phishing-Kampagne mit einer nachgeschalteten Informationskampagne stellt eine sehr gute Möglichkeit zur Sensibilisierung der Mitarbeiter dar und hilft das Sicherheitsniveau in Unternehmen zu erhöhen.

Die CCVOSSEL GmbH wurde 1996 von Carsten Christian Vossel gegründet. Ihre Kernkompetenzen liegen in den Bereichen IT-Sicherheit und Digitalisierung. Sie wurde bereits mehrfach mit dem Innovationspreis der Initiative Mittelstand sowie dem Innovationspreis für IT-SECURITY ausgezeichnet, besitzt ein Gold sowie zwei Microsoft Silver Zertifikate sowie die Zertifizierung Sales Specialist. Das Unternehmen ist ISO 9001:2008 zertifiziert und wurde bereits dreimal mit dem Gütesiegel „Software Made in Germany“ ausgezeichnet. 2014 wurde CCVOSSEL beim „Großen Preis des Mittelstands 2014“ Finalist. Ebenfalls in 2014 nominierte der Bezirk Berlin-Pankow die CCVOSSEL GmbH für den „Familienfreundlichen Betrieb Pankow“. CCVOSSEL wurde 2015 beim Wettbewerb „Büro und Umwelt“ für sein Engagement im Umweltschutz im Büroalltag ausgezeichnet. Der Ausbildungsbetrieb ging 2017 Im Wettbewerb „Bester Ausbildungsbetrieb 2017 in Berlin Pankow“ als Gewinner heraus. Das Qualitätssiegel der IHK „Exzellente Ausbildung“ erhielt CCVOSSEL 2016 sowie 2018. Das Unternehmen wächst kontinuierlich und hat mittlerweile über 50 feste und freie Mitarbeiter. Die CCVOSSEL GmbH ist Mitglied in der iTEAM Group, beim Interessenverband für Unternehmen der IT- und Internetwirtschaft in Berlin-Brandenburg (SIBB), sowie beim Bundesverband Mittelständische Wirtschaft e.V. und dem Bundesverband IT-Sicherheit e.V. (TeleTrust) der Hannover IT und dem ProITCar e.V. Seit September 2015 besteht eine Partnerschaft mit der Allianz für Cyber-Sicherheit. Im Juni 2014 eröffnete CCVOSSEL seine zweite Geschäftsstelle in Berlin-Tempelhof.

www.ccvossel.de

Ãœber:

CCVOSSEL GmbH
Frau Liane Thiede
Sredzkistraße 28
10435 Berlin
Deutschland

fon ..: 030-609840920
web ..: http://www.ccvossel.de
email : l.thiede@ccvossel.de

Sie können diese Pressemitteilung – auch in geänderter oder gekürzter Form – mit Quelllink auf unsere Homepage auf Ihrer Webseite kostenlos verwenden.

Pressekontakt:

CCVOSSEL GmbH
Frau Liane Thiede
Sredzkistraße 28
10435 Berlin

fon ..: 030-609840920
web ..: http://www.ccvossel.de
email : l.thiede@ccvossel.de

E-Mail-Adressen vor Spam-Bots verstecken

Die Nennung von E-Mail-Adressen innerhalb der Firmenpräsentation im Internet erleichtert die Kommunikation für Interessenten; die Kontaktaufnahme zu erleichtern, erhöht die Chance, Aufträge von Webseitenbesuchern zu erhalten.

Neben seriösen Interessenten werden Internetseiten jedoch auch von automatischen Datensammlern, sogenannten Bots, besucht. Diese interessieren sich ebenso für Kontaktdaten, die mit weiteren von Bots ausgelesenen Informationen legal oder illegal massenhaft verkauft werden, um sie zukünftig für die Überflutung mit Werbung (Spam) zu nutzen.

Eine Emailadresse allein ist nicht besonders wertvoll. Eine Emailadresse in Verbindung mit einem Firmennamen bzw. Arbeitgeber und idealer Weise auch noch der Funktion im Unternehmen oder weiteren Kontaktdaten kann bereits mehrere Euros Wert sein.

Diese 5 Wege können helfen, für seriöse Interessenten angezeigte E-Mail-Adressen vor Spam-Bots zu verstecken:
Darstellung der E-Mail-Adresse als Bild statt Text (1)
Ihre Webbesucher sehen so weiterhin die Emailadresse, können sie jedoch nicht einfach anklicken, sondern müssen sie abtippen, um eine Email zu schreiben. Der Spam-Bot könnte das Bild per Texterkennung auslesen und dennoch verwenden, was jedoch komplizierter ist und seltener geschieht.
Verschleierung der E-Mail-Adresse durch HTML-Kommentare (2)
Wird die E-Mail-Adresse mustermax@mahr-edv.de im HTML-Code statt
<a href=“mailto:mustermax@mahr-edv.de“>mustermax@mahr-edv.de</a>
als kommentierter Text wie bspw.
muster<!– kommentar@falle –>max@mahr-ed<!– kommentar@falle –>v.de
dargestellt, können Interessenten die Emailadresse lesen und kopieren, jedoch nicht immer anklicken, während die meisten Spam-Bots daran scheitern sollten.
Verschleierung der E-Mail-Adresse durch JavaScript (3)
Mit JavaScript kann ein höheres Schutzniveau erreicht werden. Die Realisierung erfordert jedoch schon etwas mehr Programmierkenntnisse:
<a href=“mailto:musterFALLEmaxMAILmahr-edvPUNKTde“
onclick=“this.href=this.href
.replace(/FALLE/,“)
.replace(/MAIL/,’@‘)
.replace(/PUNKT/,’.‘)“
>E-Mail senden</a>

Angezeigt wird die E-Mail-Adresse in diesem Beispiel zwar nicht, aber sie ist für den Webseitenbesucher einfach klickbar. Diese Variante bietet einen höheren Schutz vor Spam-Bots.
E-Mail-Adressen mit reCAPTCHA! nur für echte Menschen anzeigen (4)
Das reCAPTCHA Modul von Google stellt sehr zuverlässig sicher, dass Funktionen wie bspw. die Anzeige von E-Mail-Adressen oder das Absenden von Formularen nur für Menschen erfolgt. Die Nachteile bestehen darin, dass der Webseitenbesucher im besten Fall nach einem weiteren Klick die E-Mail-Adressen angezeigt bekommt, sich im schlimmsten Fall jedoch durch das Abtippen von Worten oder Lösen einfacher Bildaufgaben als Mensch beweisen muss. Vorteilhaft ist das hohe Schutzniveau, welches von Google immer auf aktuellem Stand gehalten wird. Weitere Informationen bietet die Google reCAPTCHA Webseite.
Kontaktformulare statt der Anzeige von E-Mail-Adressen (5)
Durch den Einsatz von Kontaktformularen sieht weder der Webseitenbesucher noch ein Spam-Bot die Emailadressen. Der Webseitenbesucher kann eine Nachricht mit geringem Aufwand senden, muss jedoch Informationen wie dessen E-Mail-Adresse eintippen. Diese Variante ist sowohl für eine zentrale als auch individuelle E-Mail-Adresse möglich, kann durch das o.g. reCPATCH gegen Missbrauch geschützt werden, um beispielsweise im Rahmen einer Nachrichteneigangsbestätigung weitere Kontaktdaten an den Interessenten zu übermitteln. In vielen Content-Management-Systemen sind derartige Kontaktformulare bereits eingebaut und auch ohne Programmierkenntnisse verwendbar.
Fazit
Wie so oft in der IT muss ein Kompromiss zwischen Komfort (einfache Anzeige sowie Klickbarkeit) und Sicherheit (Schutz vor Spam) gefunden werden.

Unabhängig von der möglichen Veröffentlichung von E-Mail-Adressen, ist die Verwendung eines Spam-Filters zu empfehlen, da früher oder später auch bei vertraulichster Behandlung der eigenen Kommunikationsdaten unvermeidlich Spam und Viren ins Postfach gelangen werden, die nicht nur wegen des resultierenden Arbeitsaufwands für den Empfänger, sondern auch zu Gunsten der Sicherheit vorab gefiltert werden sollten.

Spätestens, sobald auch die E-Mail-Adressen im Impressum der Homepage verschlüsselt oder versteckt werden sollen, ist besondere Vorsicht geboten. Denn: Wenn der nach TeleMedienGesetz erforderliche einfache Abruf der vorgeschriebenen Kontakt- bzw. Anbieterinformationen nicht mehr gegeben ist, droht eine teure Abmahnung wegen dieser Pflichtverletzung, weshalb die Einholung vorherigen juristischen Rats, den wir nicht anbieten, zusätzlich zur IT-technischen Beratung durch uns zu empfehlen ist.

Mahr EDV ist der Computerspezialist für alle Belange rund um die IT-Struktur von Unternehmen ab fünf Rechnern: Wartung und Support, Consulting und Implementierung, Cloud-Dienste, Server Monitoring und vieles mehr – in Berlin, Potsdam, Düsseldorf und der jeweiligen Umgebung.

Firmenkontakt
Mahr EDV GmbH
Fabian Mahr
Paulinenstraße 8
12205 Berlin
030-770192200
thomas.maul@mahr-edv.de
https://www.mahr-edv.de

Pressekontakt
Mahr EDV GmbH
Thomas Maul
Paulinenstraße 8
12205 Berlin
030-770192200
thomas.maul@mahr-edv.de
http://www.mahr-edv.de