Mit dem Starter-Phishing haben Cyberkriminelle und Hacker eine neue Social-Engineering-Methode gefunden, um sich unbefugten Zugriff auf sensible Daten oder sogar ganze Systeme zu verschaffen.
Wir werden nun verraten, wie neues Starter-Phishing funktioniert und was der letzte Jahreswechsel damit zu tun hat.
Phishing für Neueinsteiger — Jobwechsel als Türöffner
Haben Sie es auch bemerkt? Pünktlich zum 1. Januar eines jeden Jahres nimmt die Zahl der Kontakte, die ihre Jobwechsel in den beruflichen Netzwerken Xing und LinkedIn bekannt geben, deutlich zu. Im Prinzip passiert das natürlich auch in jedem zweiten Monat, aber aufgrund verlängerter Kündigungsfristen, Auszeit und der allgemeinen „Neues Jahr, neues Glück, neuer Job“ -Euphorie ist der Januar von solchen Meldungen besonders geprägt. Das wissen auch Cyberkriminelle, die ihr Portfolio an Social-Engineering-Methoden nun um das sogenannte Neustarter-Phishing erweitert haben.
Datendiebe und Hacker nutzen nicht nur bewusst die Freude am neuen Job und das Bedürfnis nach Kommunikation aus, sondern auch die natürliche Unwissenheit des Neuzugangs über die Abläufe und Abläufe bei seinem neuen Arbeitgeber. Im Folgenden erklären wir Ihnen ausführlich, wie die neue Masche funktioniert und warum sie so erfolgreich ist.
Es ist nicht mehr nur Facebook, das in erster Linie von Social Engineering betroffen ist. Bild: Pexels/Tobias Dziuba
Xing und LinkedIn — Social Engineering auch in Jobnetzwerken
Wer bisher dachte, Social Engineering im Allgemeinen und Phishing im Speziellen beschränke sich primär auf Facebook oder Instagram, der irrt. Und genau das ist einer der Erfolgsfaktoren hinter der steigenden Zahl von Angriffen innerhalb und durch professionelle Netzwerke: Man rechnet einfach nicht damit.
Darüber hinaus sind viele Nutzer von Xing und LinkedIn der Meinung, dass sie in diesen speziellen Netzwerken wenig bis gar keine privaten Informationen teilen. Das ist auch nicht generell falsch, aber einigen Cyberkriminellen reicht schon die Information über einen Jobwechsel, um an ihr Ziel zu gelangen. Weil sie wissen, dass der neue Mitarbeiter noch nicht alles über seinen neuen Arbeitgeber wissen kann und wird. Sei es die Namen aller Kollegen oder interne Stellen wie Genehmigungsprozesse innerhalb der Buchhaltung. Und genau das nutzen Phishing-Spezialisten gnadenlos aus.
Soziale Netzwerke — die beste Informationsquelle für Cyberkriminelle
Zunächst führen die Hacker entsprechende Recherchearbeiten durch. Sie sammeln alle Informationen, die sie erhalten und in sozialen Netzwerken finden können. Im Fall von Phishing für Neustarter gehören dazu in erster Linie Name, Hauptsitz und Struktur des Unternehmens sowie das Datum des Eintritts, die Berufsbezeichnung oder Position und die Abteilung des neuen Mitarbeiters. Das restliche Internet leistet unterbewusst einen weiteren Beitrag. Im Handumdrehen können Sie das Logo von der Unternehmenswebsite kopieren oder die Struktur der Geschäfts-E-Mails herausfinden.
Dann ist es Zeit zum Basteln. Die Cyberkriminellen fälschen täuschend echt aussehende E-Mails, die anscheinend aus dem Unternehmen oder von neuen Kollegen stammen. Der Mitarbeiter, der gerade erst angefangen hat, wird höchstwahrscheinlich nicht wissen können, dass zum Beispiel der Absender gar nicht existiert oder dass die in der Nachricht geforderte Aufgabe/Anforderung nicht den tatsächlichen Prozessen entspricht. Solche Phishing-E-Mails versprechen daher eine besonders hohe Erfolgsquote.
Auf eine Phishing-E-Mail hereingefallen? Schulungen zum Sicherheitsbewusstsein verhindern dies. Bild: Pexels/Rodnae Productions
Phishing für Neueinsteiger — ideal für CEO-Betrug
Insbesondere der sogenannte CEO-Betrug ist ein hohes Risiko, das mit neuen Mitarbeitern verbunden ist. Hier geben sich Cyberkriminelle mit gefälschten E-Mail-Adressen und Signaturen als Big Boss aus. Und gerade Mitarbeiter, die gerade erst angefangen haben, für das Unternehmen zu arbeiten, trauen sich kaum, Anweisungen der obersten Führungsebene in Frage zu stellen.
Im schlimmsten Fall kann es passieren, dass der neue Kollege aus der Buchhaltung auf vermeintliche Bitte des Chefs hin große Überweisungen ins Ausland tätigt. Klingt nicht sehr realistisch, findest du? Tatsächlich ist das schon denen passiert, die es eigentlich am besten wissen müssten, weil sie selbst über solche Betrügereien berichten, wie zum Beispiel das Tech-Nachrichtenmagazin t3n.
Aber auch andere Szenarien sind möglich. Zum Beispiel Nachrichten, die anscheinend von der Personalabteilung stammen. Hier wird der neue Mitarbeiter gebeten, wichtige Schulungsunterlagen herunterzuladen. Klickt er auf den Link, installiert er unbemerkt Gemälde oder Spyware. Oder er wird vorab aufgefordert, sich mit seinen Firmenzugangsdaten auf einem gefälschten Downloadportal anzumelden, wodurch die Hacker auf interne Firmenzugangsdaten zugreifen können.
Bestmöglicher Schutz vor Cyberangriffen und Social Engineering
Wie Sie sehen, bringt die Freude an der Einstellung neuer Mitarbeiter heutzutage leider automatisch IT-Sicherheitsrisiken mit sich. Was kann dagegen helfen? Zum Beispiel regelmäßige Schulungen zum Sicherheitsbewusstsein und natürlich professionelles Antiviren- und Firewallmanagement.
Wir helfen Unternehmen aller Größen und Branchen dabei gerne weiter. Wir wissen genau, welche Methoden und Schlupflöcher Cyberkriminelle erfolgreich ausnutzen und helfen Ihnen, diese Sicherheitslücken zu schließen. Letztlich ist und bleibt es aber wichtig, den Faktor Mensch nie zu vergessen. Durch Sensibilisierung und die Etablierung fester Prozessregeln — zum Beispiel in Bezug auf Genehmigungen und Befugnisse — ist es möglich, zumindest einen Großteil der bekannten Social-Engineering-Szenarien erfolgreich zu verhindern.
Lesen Sie den Originalartikel auf IT-SERVICE.network