Phishing auf Unternehmen unter dem Deckmantel von Leistungsbeurteilungen

Betrüger locken Mitarbeiter auf Phishing-Seiten, um Anmeldeinformationen für Unternehmenskonten zu entwenden.

Um an sensible Anmeldedaten von Geschäftskonten zu kommen, entwickeln Cyberkriminelle neue Methoden, die Mitarbeiter auf Phishing-Seiten locken sollen. In vorherigen Spam-Kampagnen wurden unter anderem SharePoint-Einladungen und Mailboxnachrichten geschickt als Köder verwendet.

Eine weitere Phishing-Methode wurde erst vor Kurzem von unseren Sicherheitsexperten aufgedeckt, bei der die Täter versuchten, den Leistungsbeurteilungsprozess des Unternehmens nachzuahmen. Dieser Angriff lockt Mitarbeiter in zweierlei Hinsicht in die Phishing-Falle: zum einem werden die Opfer in der Verbindlichkeit der Beurteilung getäuscht, zum anderen wird ihnen eine mögliche Gehaltserhöhung nach der Teilnahme in Aussicht gestellt. Erwähnenswert ist auch, dass in einigen Unternehmen solche Beurteilungsprozesse ein routinemäßiger Bestandteil des Gehaltserhöhungsprozesses ist und deshalb keinen Verdacht erregen.

Wie üblich beginnt alles mit einer scheinbar harmlosen E-Mail. Der Mitarbeiter erhält eine angebliche Nachricht aus der Personalabteilung, in der eine Leistungsbeurteilung des Mitarbeiters empfohlen wird. Der Text in der Nachricht enthält einen Link zu einer Webseite, die wiederum ein ausfüllbares „Mitarbeiterformular“ enthält.

Der Laie im Visier der Kriminellen

Sofern man der Anleitung der Täter folgt, muss das Opfer dem Link folgen, sich einloggen, auf eine E-Mail mit weiteren Details warten und eine von drei Optionen auswählen. Gerade für neue Mitarbeiter, die das Bewertungsverfahren noch nicht kennen, kann die Reihenfolge der Schritte überzeugend klingen. Nur die Adresse der Webseite (die natürlich nichts mit dem Unternehmen zu tun hat) könnte Zweifel aufwerfen lassen.

Wenn der Mitarbeiter den Link öffnet, wird ihm eine Login-Portal der angeblichen „Personalabteilung“ angezeigt. Im Gegensatz zu anderen Phishing-Methoden, die Anmeldeportale der Unternehmen nachahmen, sieht diese Art von Phishing-Seite ziemlich primitiv aus. So zeichnet sie sich mit hellen, einfärbigen oder mit farbverlaufenden Hintergründen aus, auf denen sich Eingabefelder befinden. Um auch hier die Authentizität der Phishing-Seite zu gewährleisten, bitten die Betrüger das Opfer, die Datenschutzerklärung zu akzeptieren (ohne, dass ein Link zu einem solchem Dokument zur Verfügung gestellt wird).

Danach wird das Opfer aufgefordert, Benutzernamen, Passwort und E-Mail-Adresse einzugeben. In einigen Fällen weisen die Betrüger sie auch an, ihre Arbeitsadresse zu nennen. Durch das Anklicken der Anmelde- oder Bewertungsschaltfläche leitet der Mitarbeiter die Daten dann tatsächlich an die Täter im Netz weiter.

An diesem Punkt angelangt, scheint die „Beurteilung“ ein abruptes Ende zu nehmen. Möglicherweise wartet der Mitarbeiter zunächst vergeblich auf die ihm zugesagte E-Mail mit weiteren Details. Im besten Fall vermutet er allerdings bereits, dass etwas nicht stimmt, oder sendet eine freundliche Erinnerung an die echte Personalabteilung, die dann die IT-Sicherheit benachrichtigt. Im schlimmsten Fall bleibt der Identitätsdiebstahl monatelang unentdeckt.

Hijacking von Unternehmenskonten: Diese Gefahren lauern auf Mitarbeiter

All das hängt selbstverständlich von den Technologien ab, die das betroffene Unternehmen einsetzt. Nachdem der Cyberkriminelle die Anmeldedaten eines Mitarbeiters erhalten hat, kann er Unheil anrichten, indem er beispielsweise gezielte Phishing-E-Mails im Namen des Opfers an andere Mitarbeiter, Partner oder Kunden des Unternehmens sendet.

Darüber hinaus könnte der Angreifer Zugriff auf seine Korrespondenz oder interne vertrauliche Dokumente erhalten, was die Wahrscheinlichkeit eines erfolgreichen Angriffs zusätzlich erhöht: Nachrichten, die anscheinend vom Opfer stammen, umgehen wahrscheinlich nicht nur den Spam-Filter, sondern lassen auch den Empfänger im Glauben einer nicht gegeben Sicherheitsumgebung. Später könnten gestohlene Informationen auch für verschiedene Arten zielgerichteter Angriffe auf das Unternehmen selbst verwendet werden, einschließlich der Kompromittierung von Geschäfts-E-Mails (Business E-Mail Compromise).

Darüber hinaus können interne Dokumente und Mitteilungen von Mitarbeitern auch für andere Zwecke verwendet werden, z. B. zur Erpressung oder für den Versand von Blackmails.

So schützen Sie sich vor Phishing-Angriffen

Derartige Angriffe versuchen in erster Linie den Faktor Mensch auszunutzen. Deshalb ist es unglaublich wichtig, sicherzustellen, dass alle Mitarbeiter mit den gängigen Cybersicherheitsverfahren und -prozessen vertraut sind.

  • Erinnern Sie regelmäßig daran, dass Mitarbeiter alle Links in E-Mails mit Vorsicht behandeln und diese nur öffnen sollten, wenn ihre Authentizität gewährleistet ist.
  • Erinnern Sie die Mitarbeiter daran, keine Kontodetails auf einer externen Website einzugeben.
  • Fangen Sie Phishing-E-Mails bereits ab, bevor diese sich Ihrem Posteingang nähern. Installieren Sie dafür eine zuverlässige Sicherheitslösung auf Serverebene. Kaspersky Security for Mail Server oder Kaspersky Endpoint Security for Business Advanced können Ihnen beim Schutz Ihres Unternehmens helfen.
Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.