Allgemein, Datenschutz - 15/06/2018

Wie schützt Du Dich am besten vor Social Engineering?

Social Engineering oder auch Social Hacking ist in aller Munde. Wir wollen Euch darüber aufklären, was hinter diesem Phänomen steckt und wir ihr Euch davor schützen könnt!

Social Engineers spionieren ihre Opfer aus um an geheime Informationen zu gelangen:

Was genau ist eigentlich Social Engineering?

Sicher habt ihr von diesem Begriff schon des Öfteren gehört: Social Engineering kann man als „soziale Manipulation“ übersetzen. Was das genau heißt? Cyberkriminelle nutzen menschliche Eigenschaften, wie z.B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität derart aus, dass Menschen beispielsweise zur Preisgabe von vertraulichen Informationen, dem Kauf eines Produktes oder aber zur Freigabe von Finanzmitteln verleitet werden.

Social Engineering kann beispielsweise in Form von Phishing Mails mit ominösen Dateianhängen oder aber auch gefälschten Telefonanrufen auftreten.
Wenn sich beim Social Engineering in ein fremdes Computersystem gehackt wird, um vertrauliche Daten einzusehen, nennt man dies auch Social Hacking. Dieses Phänomen ist besonders fatal, wenn Mitarbeiter von Unternehmen davon betroffen sind.

Wie kommt es, dass sich Menschen von Social Engineers ausnutzen lassen?

Social Engineers spionieren zielgerichtet das persönliche Umfeld ihrer Opfer aus oder täuschen Identitäten vor um an geheime Informationen zu gelangen: Social Engineers benutzen bei ihren Täuschungsversuchen zahlreiche Details und Informationen, sodass man an der Identität der Absender meist nicht zweifelt. Zudem kommen beispielsweise gefälschte Telefonanrufe oft ungelegen – so wie beim Wochenendeinkauf oder bei anderen Freizeitaktivitäten.

Was kann man tun, um  sich vor Social Engineering zu schützen?

Neben einem gesunden Misstrauen gegenüber Unbekannten oder vermeintlich bekannten Personen in Bezug auf Deine persönlichen Daten sollte man seine Passwörter regelmäßig ändern und darauf achten, eine sicheres Passwort zu erstellen. Ein weiterer wichtiger Tipp, der in Zeiten von Social Media oft mal vergessen wird: Immer kritisch hinterfragen, ob die sozialen Netzwerke wirklich die passende Plattform für bestimmte Informationen sind. Und im Zweifel: Einfach mal nichts posten! 🙂

Um euch über Social Engineering auf dem Laufenden zu halten, könnt ihr zum Beispiel auf die Website der Verbraucherzentrale schauen: Dort werden Merkmale von Phishing Mails nochmals aufgelistet und vor aktuellen Betrügern gewarnt. Außerdem informiert sie zu betrügerischen Telefonanrufen.

Weitere Informationen zu dem Thema findet ihr außerdem beim Bundesamt für Sicherheit in der Informationstechnik.

Allgemein, Datenschutz - 15/01/2018

„Passwortsicherheit wird ziemlich oft unterschätzt!“ – Im Gespräch mit unserer IT Security

„Sicherheit im Internet“ wird uns auch in diesem Jahr wieder auf dem Blog begleiten. Den Auftakt machen wir mit einem sehr wichtigen Thema, das leider sehr oft stiefmütterlich behandelt wird: Passwortsicherheit. Wir haben unseren Kollegen Franz vom Team IT Security nach seinen Tipps und Tricks rund um Passwörter gefragt.

Passwortsicherheit ist ein sehr wichtiges Thema! Mein Kollege Franz von der IT Security gibt uns gute Tipps rund um sichere Passwörter.

Julia: Was ist der wichtigste Tipp, den du uns rund um das Thema Passwörter geben kannst?

Franz: Auf keinen Fall nur eines verwenden! Stell es dir so vor: Ein Passwort ist wie der Schlüssel zu einem Haus, in dem viele wertvolle und private Dinge liegen. Wer nur einen Schlüssel für viele Häuser verwendet muss damit rechnen, dass in alle Häuser eingebrochen wird, wenn dieser Schlüssel gestohlen wird. Ob es also um dein E-Mail-Postfach, deinen Online-Banking-Zugang, dein eBay, Amazon oder PAYBACK Konto handelt: Verwende andere Schlüssel – sprich Passwörter.

J: Am besten also für jeden Account und für jedes Konto ein eigenes Passwort. Wie sollten die denn aufgebaut sein, damit sie so sicher wie möglich sind?

F: Auf jeden Fall sollte dein Passwort mindestens aus acht Zeichen bestehen, also Klein- und Großbuchstaben, Zahlen und Symbolen. Je mehr Zeichen, desto besser. Sehr praktisch ist außerdem folgender Tipp: Bilde ein Passwort aus Sätzen, beispielsweise: Ias2JbPub;)d! – Dieses Passwort hat 11 unterschiedliche Zeichen und bedeutet: „Ich arbeite seit 2 Jahren bei PAYBACK und bin glücklich darüber!“ Darüberhinaus kannst du jetzt noch Buchstaben durch Zahlen oder Symbole austauschen, zum Beispiel s durch $, i durch /, o durch 0, a durch @, E durch €. Der Satz von oben könnte dann heißen: /@$2JbPub:)d!

J: Mir wurde während des Studiums trotz eines sicheren Passwortes mein E-Mail-Konto gehackt. Was könnte da passiert sein?

F: Hast Du Dich an einem fremden Gerät in dein E-Mail-Konto eingeloggt? Möglicherweise an einem PC in einem Internet-Café? Gut möglich, dass das Gerät mit schädlicher Software infiziert ist, die Passwörter mitliest und dann stiehlt. Etwas vorsichtig sollte man auch bei öffentlichen WLANs sein, beispielsweise in Cafés oder Flughäfen sein. Die sind hin und wieder sehr unsicher und Hacker können sich über diese unsichere Verbindung Zugang zu deinen Passwörtern verschaffen. Wenn du kannst, vermeide also, dein Passwort in so einem unsicheren WLAN einzugeben.

J: Und dass man seine Passwörter für sich behält, ist ja eh klar, oder?

F: Tatsächlich gibt es einige Menschen, die ihre Passwörter ihren Partnern oder sogar Freunden verraten. Ärgerlich und vor allem gefährlich kann es aber werden, wenn die Beziehung oder die Freundschaft in die Brüche geht. Wenn du sehr viele Passwörter verwalten muss, kann dir ein Passwortmanager helfen, den Überblick zu behalten. Wenn du einen Passwortmanager verwendest, kannst du sehr sichere Passwörter auch komplett zufällig durch den Manager generieren lassen. Du musst sie dir ja dann sowieso nicht mehr merken, weil das der Passwortmanager für dich übernimmt.

Danke für das Interview, Franz!

Allgemein, Datenschutz - 08/12/2017

Sicher punkten am PAYBACK Service-Point!

Sicherheit beim EinkaufenHeute geht es wieder um ein ganz wichtiges Thema: Sicherheit & Datenschutz und vor allem Sicherheit an den PAYBACK Service Terminals.

Gerade jetzt in der Vorweihnachtszeit kauft man noch schnell ein paar schöne Weihnachtsgeschenke und natürlich sind da auch ein paar unserer Offline PAYBACK Partner dabei. Was man beim fleißigen Punktesammeln aber leider ganz schnell vergisst und auf was wir immer wieder hinweisen: Achtet bitte auch  an den PAYBACK Service Terminals auf den Schutz eurer PAYBACK Daten.

Denn das Passwort oder die PIN gehören nicht auf die Rückseite Eurer PAYBACK Karte oder in den Geldbeutel gelegt! Ihr wollt euch euer Passwort trotzdem aufschreiben? Dann bewahrt den Zettel an einem separaten Ort auf und überlegt euch einen Hinweis für das Passwort, der nicht gleich zu erraten ist.

Passt außerdem auf, dass euch beim Anmelden am Terminal niemand über die Schulter schaut  und verdeckt am besten den Bildschirm bei der Eingabe eurer Daten. Zusätzlich noch ganz wichtig: Abmelden nicht vergessen!

Wir wünschen Euch auch weiterhin ganz viel Freude und Sicherheit beim Punkten: online, offline und mobil.

Hier gibt es noch weitere Beiträge zum Thema Datenschutz und Sicherheit im Internet!

Allgemein, Datenschutz - 12/09/2017

AUFGEPASST: Phishing-Kampagne mit dem Thema „Datenvalidierung“!

Derzeit ist eine Phishing-Website mit dem Thema „Datenvalidierung“ online. Kunden werden gebeten, ihre Daten einzugeben und zu überprüfen. Bitte klickt weder auf die Seite noch gebt dort Eure Daten ein! 

Diese Seite ist keine PAYBACK Website. Es handelt sich hier um (leider gut gemachte) Seite, durch die sich Kriminelle Zugang zu Punktekonten verschaffen wollen. Das Besondere an dieser Seite ist, dass diese ein gültiges TLS Zertifikat hat und dadurch – wie bei PAYBACK auch – ein „Secure“ in der Adresszeile erscheint.

Wir haben bereits den Prozess angestoßen, um die Seite abschalten zu lassen und arbeiten zu dem Thema eng mit den zuständigen Behörden zusammen.

Allgemein, Datenschutz, Prämien - 07/08/2017

Regelmäßig Punktestand überprüfen!

Zum Thema „Sicherheit im Internet“ findet Ihr auf dem Blog mittlerweile schon einige Tipps.

Der einfachste Ratschlag aber ist und bleibt: Überprüft regelmäßig Euren Punktestand! Ihr stellt etwas fest, das Euch komisch vorkommt? Dann kann es sein, dass sich ein Betrüger Zugang zu Eurem Konto verschafft hat.

Wie das passieren kann? Zum Beispiel durch Phishing-Mails, das sind gefälschte E-Mails, durch die Hacker an Nutzerdaten und Passwörter gelangen wollen. Es gibt aber leider auch noch andere Wege, wie Internet-Betrüger an Daten kommen können.

Damit es nicht so weit kommt, solltet Ihr für ein sicheres Passwort sorgen – hier haben wir neun Tipps für Euch, wie Ihr Euer Konto am besten schützt. Und falls Ihr den Verdacht habt, dass Euer Konto gehackt wurde, meldet Euch bitte beim Kundenservice. Wir prüfen jeden Fall.

Bald steht übrigens wieder der Punkteverfall vor der Tür. Und was macht man am besten mit vielen Punkten auf dem Konto? Genau, in coole Prämien eintauschen! 🙂

Allgemein, Datenschutz - 14/06/2017

4 Maßnahmen gegen E-Mail-Hacking

Habt Ihr schon unseren neuesten Sicherheits-Post zum Thema „E-Mail-Hacking“ entdeckt? Ganz ähnlich wie auch bei Phishing-Mails können sich Internetkriminelle Zugang zu Euren persönlichen Daten beschaffen, sobald sie Euer E-Mail-Konto gehackt werden. Sie erhalten so Nutzerdaten wie Kontonummer, PINs, TANs, können sich damit in Eure Konten und Online-Bezahldienste einloggen oder über Euren E-Mail-Account Trojaner und Spam-Nachrichten verschicken. Im schlimmsten Fall kann das zu einem erheblichen finanziellen Schaden führen.

Wie könnt Ihr euch vor unerlaubtem E-Mail-Hacking schützen? Hier kommen vier Maßnahmen:

  • Ändert regelmäßig Eure Passwörter (Kennt Ihr schon unsere Tipps und Tricks, was ein sicheres Passwort ausmacht?)
  • Installiert auf jedem Rechner eine Antivirensoftware
  • Schaltet die Firewall ein
  • Aktualisiert immer wieder Euer Schutzprogramm und das Betriebssystem

Und was ist denn nun eigentlich der Unterschied zwischen Phishing-Mails und E-Mail-Hacking? Der Phishing-Prozess kann erst dann starten, wenn Ihr auf einen infizierten Link in einer Mail klickt. Alle Informationen rund um Phishing-Mails findet ihr in diesem Post.

 

Allgemein, Datenschutz - 22/05/2017

ACHTUNG: Phishing Mails im Umlauf!

Derzeit sind Phishing Mails mit dem Thema „Eingeschränktes Konto“ im Umlauf – im Betreff steht „Achtung, PAYBACK Konto eingeschränkt“. Kunden werden gebeten, auf einen Link zu klicken, um ihr PAYBACK Konto zu verifizieren.
Diese E-Mails stammen nicht von PAYBACK. Es handelt sich hier um (leider gut gemachte) Betrügermails, durch die sich Kriminelle Zugang zu Punktekonten verschaffen wollen. Die E-Mails enthalten einen Link, der bitte auf keinen Fall angeklickt werden sollte! 

Am besten ist es, diese Mails an phishing@payback.de weiter zu leiten und anschließend direkt zu löschen! Wir arbeiten zu dem Thema eng mit den zuständigen Behörden zusammen.

  • Aus aktuellem Anlass hier auch nochmal unser Blog-Beitrag zum Thema „Phishing-Mails erkennen!“
  • Hier könnt Ihr prüfen, ob Euer E-Mail Konto gehackt wurde!

Allgemein, Datenschutz - 21/04/2017

Sicher punkten am PAYBACK Service-Punkt!


 
In den letzten Blog Posts
zum Thema Sicherheit haben wir Euch vor allem darüber informiert, wie Ihr Euch am besten online und mobil vor unberechtigten Zugriffen schützt.

Denkt aber auch an Eure Sicherheit an unseren PAYBACK Service Punkt! Euer Passwort oder die PIN gehört nicht auf die PAYBACK Karte oder ins Portemonnaie. Wenn Ihr sie Euch aufschreiben wollt, bewahrt den Zettel an einem separaten Ort auf. Passt außerdem auf, dass Euch beim Anmelden am Terminal niemand über die Schulter schaut und ganz wichtig: Abmelden nicht vergessen!

Wir wünschen Euch auch weiterhin ganz viel Spaß und Sicherheit beim Punkten: online, offline und mobil.

Allgemein, Datenschutz - 16/03/2017

Warum ist das Bezahlen mit PAYBACK PAY sicher?

Mit unserer PAYBACK App könnt Ihr nicht nur Punkte sammeln und Coupons aktivieren, sondern seit vergangenem Jahr auch Eure Einkäufe bezahlen. Die Sicherheit eurer Daten? Steht für uns natürlich wie immer an oberster Stelle.

Hier sind unsere vier Gründe, warum das Bezahlen mit PAYBACK PAY sicher ist:

Grund 1: Die persönliche PAY PIN
Die geheime Kennzahl ist vor jeder Zahlung mit dem Smartphone einzugeben. So ist die Transaktion vor Missbrauch geschützt – sogar, falls das Telefon gestohlen wird. Bei neuen Geräten funktioniert alternativ auch der Fingerabdruck.

Grund 2: Unabhängiger, zertifizierter Abrechnungspartner
Die Bankdaten sind weder für PAYBACK noch für die PAYBACK Partner zugänglich. Sie werden verschlüsselt an einen zertifizierten Abrechnungspartner weitergeleitet und ausschließlich dort gespeichert – niemals im Smartphone.

Grund 3: Zahlungsprüfung
Geld fließt erst dann, wenn der PAYBACK Abrechnungspartner die Transaktion geprüft und freigegeben hat.

Grund 4: Aktuelle Standards
Die PAYBACK App nutzt Sicherheits- und Verschlüsselungsmechanismen nach neuestem Bankenstandard. Zusätzlichen Schutz gewährleistet das Sicherheitskonzept nach ISO 27001:2013 / ISO 27002:2013.

Wusstet ihr schon? Auch auf PAYBACK.de/sicherheit informieren wir euch monatlich über wichtige Themen und Ereignisse rund um die Sicherheit Eures PAYBACK Kontos.

Allgemein, Datenschutz - 07/02/2017

Safer Internet Day – So erkennt ihr Phishing Mails!

PhishingMails Internetbetrug, Identitätsdiebstahl und das Ausspähen von Daten im Netz sind mittlerweile leider an der Tagesordnung. Ein beliebtes Mittel von Internet-Betrügern sind Phishing-Mails. Cyberkriminelle versenden diese Spam-E-Mails, um persönliche Daten von Internetnutzern wie Passwörter, PINS, TANs und Konto- oder Kreditkartennummern abzugreifen. Das Gefährliche an diesen E-Mails: In ihrer Aufmachung, also Design und Layout, ähneln sie (teilweise täuschend echt!) den Original-E-Mails der eigentlichen Absender.

Für euch haben wir anlässlich des Safer Internet Days ein paar Tipps gesammelt, wie ihr Phishing-E-Mails erkennen könnt:

  • Vertrauliche Daten wie Passwörter, PINs, TANs werden abgefragt.
  • Die E-Mail verwendet meist eine nicht-personalisierte Anrede wie „Sehr geehrte Damen und Herren“ oder auch eine falsche Ansprache.
  • Im E-Mail-Text werden unterschiedliche Schriftarten und –größen verwendet und/oder der Hintergrund hat eine andere Farbe. Der Grund dafür ist, dass die Phishing-E-Mails häufig im HTML-Code geschrieben werden.
  • Die Absenderadresse sieht untypisch und „komisch“ aus, beispielsweise service@www.poybock.pw.
  • Aufgepasst bei Hinweisen, dass ihr eure Daten binnen einer knappen Zeitspanne eingeben beziehungsweise ändern müsst.
  • Fährt man ohne zu klicken mit der Maus über den Link („Mouse-Over-Test“), zeigen viele Webmailer und E-Mail-Programme, wo der Link genau hinführt. Bei Phishing-Mails kann man so oft erkennen, dass die E-Mail nicht vom vermeintlichen Absender geschickt wurde.

Ihr habt eine Mail erhalten, die euch misstrauisch macht, weil einer oder mehrere der oben genannten Punkte zutreffen? Dann solltet ihr auf keinen Fall auf den Link in der Mail klicken, sie sofort löschen und den Absender blockieren. Nur so könnt ihr sicher gehen, dass eure Daten geschützt bleiben.

Mehr Infos rund um die Sicherheit bei PAYBACK findet Ihr hier.