Phishing-Anzeichen
Phishing ist wie eine unendliche Geschichte: Wieder eine neue Methode, bei der Angreifer legitime Server für den E-Mail-Versand ausnutzen. Häufig gelingt es Kriminellen, einen fremden SharePoint-Server zu kapern. Andernfalls versenden sie Benachrichtigungen einfach über einen kostenlosen Dienst (z. B. GetShared). Besonders ans Herz gewachsen ist den Betrügern das umfangreiche Ökosystem der Google-Dienste. Und diesmal spielt Google Tasks die Hauptrolle. Wozu die ganzen Tricks? Die Bösewichte wollen E-Mail-Filter umgehen und bedienen sich dafür des soliden Rufs bekannter Dienste.
So funktioniert Phishing über Google Tasks
Im Postfach liegt eine legitime Benachrichtigung von einer @google.com-Adresse: „Sie haben eine neue Aufgabe“. Die Angreifer wollen beim Opfer den Eindruck erwecken, dass das Unternehmen jetzt den Aufgabenplaner von Google verwendet. Die Nachricht enthält einen Link zu einem Formular, mit dem sich der Mitarbeiter authentifizieren soll.
Benachrichtigung von Google Tasks
Dem Empfänger bleibt keine Zeit zum Nachdenken: Die Aufgabe erfordert in der Regel eine schnelle Reaktion und ist als sehr wichtig gekennzeichnet. Sobald das Opfer in der Aufgabe auf den Link klickt, wird eine URL angezeigt, die zu einem Formular führt. Dort müssen die Unternehmensdaten eingegeben werden, um „sich als Mitarbeiter auszuweisen“. Genau hinter diesen Anmeldeinformationen sind die Angreifer her.
So schützt du die Anmeldedaten deiner Mitarbeiter vor Phishing
Natürlich ist es ratsam, die Mitarbeiter vor dieser Betrugsmethode zu warnen. Dazu kannst du beispielsweise einen Link zu unseren Beiträgen über die Phishing-Anzeichen teilen. Das Problem ist jedoch nicht auf einen bestimmten Dienst beschränkt, es betrifft die gesamte Cybersicherheitskultur innerhalb eines Unternehmens. Workflows müssen klar definiert sein, damit alle Mitarbeiter wissen, welche Tools das Unternehmen tatsächlich einsetzt und welche nicht. Sinnvoll ist auch, den Mitarbeitern ein laufend aktualisiertes Dokument zur Verfügung zu stellen, das die genehmigten Dienste und die dafür verantwortlichen Personen oder Abteilungen nennt. Dann können Mitarbeiter leicht überprüfen, ob eine Einladung, Aufgabe oder Benachrichtigung echt ist. Außerdem kann man nie zu oft daran erinnern, dass geschäftliche Anmeldedaten nur in internen Unternehmensressourcen eingegeben werden dürfen. Um Schulungen zu automatisieren und dein Team über moderne Cyberbedrohungen auf dem Laufenden zu halten, empfiehlt sich ein spezielles Tool, z. B. Kaspersky Automated Security Awareness Platform.
Ein weiterer Tipp: Minimiere die Anzahl potenziell gefährlicher E-Mails, die in den Postfächern der Mitarbeiter landen. Diese Aufgabe übernimmt eine spezialisierte Sicherheitslösung für E-Mail-Gateways. Und natürlich müssen alle mit dem Internet verbundenen Workstations mit Sicherheitssoftware ausgestattet sein. Selbst wenn es einem Angreifer gelingen sollte, einen Mitarbeiter zu hinters Licht zu führen, blockiert das Sicherheitsprodukt den Besuch der Phishing-Website und verhindert so, dass die Anmeldedaten des Unternehmens abfließen.
Tipps