Phishing ist eine Technik, bei der sich Betrüger als vertrauenswürdige Marken, darunter auch Ihre, ausgeben, um Menschen dazu zu verleiten, sensible Informationen wie Passwörter, Zahlungsdaten oder Zugangsdaten preiszugeben.
Da Duda-Kunden Websites für ihre eigenen Klienten erstellen und verwalten, können Phishing-Angriffe im Duda-Ökosystem mehrere Ebenen angreifen: Sie direkt oder Ihre Klienten durch die Vortäuschung der Identität Ihres Unternehmens. Diese Anleitung bietet praktische Schritte zum Schutz Ihres Duda-Kontos und Ihrer Kunden.
Die Systeme von Duda wurden nicht kompromittiert. Diese Phishing-Kampagnen werden von externen Akteuren durchgeführt, die öffentlich zugängliche Geschäftsinformationen nutzen, um sich als Duda-Kunden auszugeben. Diese Anleitung dient ausschließlich Informationszwecken und stellt keine Übernahme von Verantwortung oder Haftung seitens Duda dar.
-
Duda wird Sie niemals per E-Mail, Telefon oder Chat nach Ihrem Kontopasswort fragen.
-
Duda wird niemals über E-Mail-Links nach Zahlungsinformationen fragen.
-
Duda wird Sie oder Ihre Kunden niemals über die Formulare Ihrer Website oder Ihr CRM- tool kontaktieren.
Wenn Sie eine Nachricht erhalten, die eine der oben genannten Aussagen enthält, stammt sie nicht von Duda.
-
Überprüfen Sie die E-Mail-Adresse des Absenders. Achten Sie auf Rechtschreibfehler, zusätzliche Zeichen oder Domains, die legitimen Adressen ähneln (z. B.
support@dudda.costatt@duda.co). -
Achten Sie auf Dringlichkeit oder Bedrohungen. Nachrichten, die Druck ausüben, „sofort zu handeln“, oder vor einer Kontosperrung warnen, sind gängige Taktiken.
-
hover bevor Sie klicken. Linkziele in der Vorschau anzeigen, ohne darauf zu klicken – wenn die URL nicht auf eine Ihnen bekannte Domain verweist, klicken Sie nicht darauf.
-
Unabhängig überprüfen. Wenn eine Nachricht angeblich von Duda stammt, loggen Sie sich zur Bestätigung direkt in Ihr Duda-Konto ein (nicht über die E-Mail).
-
Nutzen Sie SSO, sofern verfügbar, um die Zugriffsverwaltung zu zentralisieren und die Sicherheitsrichtlinien Ihrer Organisation durchzusetzen.
-
Aktivieren Sie mindestens die Zwei-Faktor-Authentifizierung (2FA) für Ihr Duda-Konto und alle damit verbundenen Dienste – E-Mail, Domain-Registrar, Hosting und Zahlungsabwickler.
-
Verwenden Sie für jeden Dienst sichere, individuelle Passwörter. Tauschen Sie sie sofort aus, wenn Sie den Verdacht haben, dass sie kompromittiert sein könnten.
-
Überprüfen Sie regelmäßig die Benutzerberechtigungen und entziehen Sie allen Nutzern den Zugriff, die ihn nicht mehr benötigen.
Eine korrekt konfigurierte E-Mail-Authentifizierung ist eine der effektivsten Methoden, um zu verhindern, dass Angreifer E-Mails versenden, die scheinbar von Ihrer Domain stammen:
-
SPF (Sender Policy Framework) – legt fest, welche Mailserver berechtigt sind, E-Mails für Ihre Domain zu versenden.
-
DKIM (DomainKeys Identified Mail) – signiert ausgehende E-Mails kryptografisch, damit Empfänger überprüfen können, ob sie tatsächlich von Ihrer Domain stammen.
-
DMARC (Domain-based Message Authentication, Reporting & Conformance) – weist empfangende Mailserver an, wie mit Nachrichten umzugehen ist, die die SPF/DKIM-Prüfung nicht bestehen, und gibt Ihnen Einblick in nicht autorisierte Absender.
Überprüfen Sie regelmäßig Ihre DMARC-Berichte, um die unbefugte Nutzung Ihrer Domain zu erkennen.
-
Halten Sie Betriebssysteme, Browser und Plugins auf dem neuesten Stand.
-
Verwenden Sie seriöse Antiviren-/Endpoint-Protection-Software.
-
Aktivieren Sie die Festplattenverschlüsselung auf allen Geräten, die zur Verwaltung der Client-Website verwendet werden.
-
Beschränken Sie Browsererweiterungen auf vertrauenswürdige und notwendige Erweiterungen – bösartige Erweiterungen sind ein häufiger Einfallstor für den Diebstahl von Zugangsdaten.
Da Phishing-Angriffe Ihre Kunden ins Visier nehmen können, indem sie sich als Ihr Unternehmen ausgeben, empfehlen wir Folgendes:
-
Sagen Sie Ihren Kunden, was Sie tun werden und was nicht. Teilen Sie ihnen mit, dass Sie niemals per E-Mail nach Passwörtern oder Zahlungsinformationen fragen werden.
-
Ermutigen Sie Ihre Kunden, dies vor dem Handeln zu überprüfen. Sollten sie eine unerwartete E-Mail erhalten, die scheinbar von Ihrem Unternehmen stammt, sollten sie Sie direkt über eine bekannte Telefonnummer oder E-Mail-Adresse kontaktieren – und nicht über Links in der verdächtigen Nachricht.
-
Bitten Sie Ihre Kunden, verdächtige E-Mails an Sie weiterzuleiten, damit Sie diese prüfen, melden und gegebenenfalls andere Kunden alarmieren können.
-
Ändern Sie umgehend alle Passwörter der betroffenen Konten.
-
Wenden Sie sich an Ihren Domain-Registrar, um den Domainzugriff zu sichern und Sperren auf Registrar-Ebene zu aktivieren.
-
Führen Sie auf allen Geräten, die möglicherweise mit den Phishing-Inhalten in Kontakt gekommen sind, einen vollständigen Malware-/Virenscan durch.
-
Benachrichtigen Sie die betroffenen Kunden und raten Sie ihnen, ihre Konten zu überwachen und sich mit ihren Finanzinstituten in Verbindung zu setzen.
-
Bitte melden Sie die Phishing-Kampagne an Duda unter [spezielle Phishing-E-Mail/Formular], damit wir die Kampagne verfolgen und Ihnen helfen können.
-
Erstatten Sie Anzeige bei den zuständigen Behörden (z. B. FBI IC3 unter ic3.gov, FTC unter reportfraud.ftc.gov oder Ihrer lokalen Entsprechung).
Diese Anleitung dient ausschließlich Informationszwecken und ist eine Ressource für Duda-Kunden. Es handelt sich hierbei nicht um Rechts-, Cybersicherheits- oder sonstige professionelle Beratung. Duda gibt keine Zusicherungen oder Gewährleistungen hinsichtlich der Vollständigkeit oder Wirksamkeit dieser Empfehlungen ab und übernimmt keine Verantwortung oder Haftung für die Handlungen von Drittakteuren, die Bedrohungen darstellen, oder für Verluste, die aus Phishing-Kampagnen, unberechtigtem Zugriff oder anderen Sicherheitsvorfällen entstehen.