{"id":20406,"date":"2019-10-22T14:18:34","date_gmt":"2019-10-22T12:18:34","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=20406"},"modified":"2019-11-22T11:58:34","modified_gmt":"2019-11-22T09:58:34","slug":"performance-appraisal-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/performance-appraisal-spam\/20406\/","title":{"rendered":"Phishing auf Unternehmen unter dem Deckmantel von Leistungsbeurteilungen"},"content":{"rendered":"

Um an sensible Anmeldedaten von Gesch\u00e4ftskonten zu kommen, entwickeln Cyberkriminelle neue Methoden, die Mitarbeiter auf Phishing-Seiten locken sollen. In vorherigen Spam-Kampagnen wurden unter anderem SharePoint-Einladungen<\/a> und Mailboxnachrichten<\/a> geschickt als K\u00f6der verwendet.<\/p>\n

Eine weitere Phishing-Methode wurde erst vor Kurzem von unseren Sicherheitsexperten aufgedeckt, bei der die T\u00e4ter versuchten, den Leistungsbeurteilungsprozess des Unternehmens nachzuahmen. Dieser Angriff lockt Mitarbeiter in zweierlei Hinsicht in die Phishing-Falle: zum einem werden die Opfer in der Verbindlichkeit der Beurteilung get\u00e4uscht, zum anderen wird ihnen eine m\u00f6gliche Gehaltserh\u00f6hung nach der Teilnahme in Aussicht gestellt. Erw\u00e4hnenswert ist auch, dass in einigen Unternehmen solche Beurteilungsprozesse ein routinem\u00e4\u00dfiger Bestandteil des Gehaltserh\u00f6hungsprozesses ist und deshalb keinen Verdacht erregen.<\/p>\n

Wie \u00fcblich beginnt alles mit einer scheinbar harmlosen E-Mail. Der Mitarbeiter erh\u00e4lt eine angebliche Nachricht aus der Personalabteilung, in der eine Leistungsbeurteilung des Mitarbeiters empfohlen wird. Der Text in der Nachricht enth\u00e4lt einen Link zu einer Webseite, die wiederum ein ausf\u00fcllbares \u201eMitarbeiterformular\u201c enth\u00e4lt.<\/p>\n

Der Laie im Visier der Kriminellen<\/strong><\/h2>\n

Sofern man der Anleitung der T\u00e4ter folgt, muss das Opfer dem Link folgen, sich einloggen, auf eine E-Mail mit weiteren Details warten und eine von drei Optionen ausw\u00e4hlen. Gerade f\u00fcr neue Mitarbeiter, die das Bewertungsverfahren noch nicht kennen, kann die Reihenfolge der Schritte \u00fcberzeugend klingen. Nur die Adresse der Webseite (die nat\u00fcrlich nichts mit dem Unternehmen zu tun hat) k\u00f6nnte Zweifel aufwerfen lassen.<\/p>\n

Wenn der Mitarbeiter den Link \u00f6ffnet, wird ihm eine Login-Portal der angeblichen \u201ePersonalabteilung\u201c angezeigt. Im Gegensatz zu anderen Phishing-Methoden, die Anmeldeportale der Unternehmen nachahmen, sieht diese Art von Phishing-Seite ziemlich primitiv aus. So zeichnet sie sich mit hellen, einf\u00e4rbigen oder mit farbverlaufenden Hintergr\u00fcnden aus, auf denen sich Eingabefelder befinden. Um auch hier die Authentizit\u00e4t der Phishing-Seite zu gew\u00e4hrleisten, bitten die Betr\u00fcger das Opfer, die Datenschutzerkl\u00e4rung zu akzeptieren (ohne, dass ein Link zu einem solchem Dokument zur Verf\u00fcgung gestellt wird).<\/p>\n

\"\"<\/p>\n

\"\"<\/p>\n

Danach wird das Opfer aufgefordert, Benutzernamen, Passwort und E-Mail-Adresse einzugeben. In einigen F\u00e4llen weisen die Betr\u00fcger sie auch an, ihre Arbeitsadresse zu nennen. Durch das Anklicken der Anmelde- oder Bewertungsschaltfl\u00e4che leitet der Mitarbeiter die Daten dann tats\u00e4chlich an die T\u00e4ter im Netz weiter.<\/p>\n

An diesem Punkt angelangt, scheint die \u201eBeurteilung\u201c ein abruptes Ende zu nehmen. M\u00f6glicherweise wartet der Mitarbeiter zun\u00e4chst vergeblich auf die ihm zugesagte E-Mail mit weiteren Details. Im besten Fall vermutet er allerdings bereits, dass etwas nicht stimmt, oder sendet eine freundliche Erinnerung an die echte Personalabteilung, die dann die IT-Sicherheit benachrichtigt. Im schlimmsten Fall bleibt der Identit\u00e4tsdiebstahl monatelang unentdeckt.<\/p>\n

Hijacking von Unternehmenskonten: Diese Gefahren lauern auf Mitarbeiter<\/strong><\/h3>\n

All das h\u00e4ngt selbstverst\u00e4ndlich von den Technologien ab, die das betroffene Unternehmen einsetzt. Nachdem der Cyberkriminelle die Anmeldedaten eines Mitarbeiters erhalten hat, kann er Unheil anrichten, indem er beispielsweise gezielte Phishing-E-Mails im Namen des Opfers an andere Mitarbeiter, Partner oder Kunden des Unternehmens sendet.<\/p>\n

Dar\u00fcber hinaus k\u00f6nnte der Angreifer Zugriff auf seine Korrespondenz oder interne vertrauliche Dokumente erhalten, was die Wahrscheinlichkeit eines erfolgreichen Angriffs zus\u00e4tzlich erh\u00f6ht: Nachrichten, die anscheinend vom Opfer stammen, umgehen wahrscheinlich nicht nur den Spam-Filter, sondern lassen auch den Empf\u00e4nger im Glauben einer nicht gegeben Sicherheitsumgebung. Sp\u00e4ter k\u00f6nnten gestohlene Informationen auch f\u00fcr verschiedene Arten zielgerichteter Angriffe auf das Unternehmen selbst verwendet werden, einschlie\u00dflich der Kompromittierung von Gesch\u00e4fts-E-Mails (Business E-Mail Compromise).<\/p>\n

Dar\u00fcber hinaus k\u00f6nnen interne Dokumente und Mitteilungen von Mitarbeitern auch f\u00fcr andere Zwecke verwendet werden, z. B. zur Erpressung oder f\u00fcr den Versand von Blackmails.<\/p>\n

So sch\u00fctzen Sie sich vor Phishing-Angriffen<\/strong><\/h3>\n

Derartige Angriffe versuchen in erster Linie den Faktor Mensch auszunutzen. Deshalb ist es unglaublich wichtig, sicherzustellen, dass alle Mitarbeiter mit den g\u00e4ngigen Cybersicherheitsverfahren und -prozessen vertraut sind.<\/p>\n