{"id":32458,"date":"2025-08-02T11:00:27","date_gmt":"2025-08-02T09:00:27","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32458"},"modified":"2025-08-04T10:44:16","modified_gmt":"2025-08-04T08:44:16","slug":"employee-handbook-phishing-scheme","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/employee-handbook-phishing-scheme\/32458\/","title":{"rendered":"Neuer Phishing-Trick mit Fake-Personalrichtlinien"},"content":{"rendered":"

Neue Phishing-Methode gef\u00e4llig? Seit einiger Zeit werden massenhaft verschickte Mails gezielt an konkrete Empf\u00e4nger versendet<\/a>. Die Angreifer machen sich auffallend viel M\u00fche, ein bestimmtes Unternehmen zu imitieren, und geben sich durch Ghost-Spoofing<\/a> als der offizielle Absender aus. Die Nachricht wird personalisiert und das Opfer wird nach M\u00f6glichkeit mit seinem echten Namen angesprochen. Im M\u00e4rz dieses Jahres haben wir eine besonders interessante Kampagne entdeckt, bei der sowohl der E-Mail-Text als auch das angeh\u00e4ngte Dokument personalisiert waren. Auch das Schema selbst war ziemlich ungew\u00f6hnlich: Die Opfer erhielten eine vermeintlich aktualisierte Version von Personalrichtlinien und sollten dazu verleitet werden, ihre gesch\u00e4ftlichen E-Mail-Anmeldedaten preiszugeben.<\/p>\n

Eine falsche Aufforderung zur \u00dcberpr\u00fcfung von neuen HR-Richtlinien<\/h2>\n

Der Trick ist ziemlich raffiniert. Das Opfer erh\u00e4lt eine E-Mail, die anscheinend von der Personalabteilung stammt und in der es mit seinem Namen angesprochen wird. Die E-Mail informiert \u00fcber \u00c4nderungen der Personalrichtlinie. Es geht um aktualisierte Vorg\u00e4nge f\u00fcr Fernarbeit, m\u00f6gliche Vorteile und Sicherheitsvorschriften. Solche \u00c4nderungen sind nat\u00fcrlich f\u00fcr alle Mitarbeiter wichtig. Darum wandert der Mauszeiger fast automatisch in Richtung der angeh\u00e4ngten Datei, deren Namen \u00fcbrigens auch den Namen des Empf\u00e4ngers enth\u00e4lt. Au\u00dferdem enth\u00e4lt die E-Mail ein \u00fcberzeugendes Banner, das best\u00e4tigt, dass der Absender echt ist<\/a> und auf einer Liste zuverl\u00e4ssiger Absender steht. Erfahrungsgem\u00e4\u00df verdienen genau solche E-Mails eine eingehende \u00dcberpr\u00fcfung.<\/p>\n

\"E-Mail,<\/a>

Phishing-E-Mail mit gef\u00e4lschten Updates zu Personalrichtlinien, um ein Opfer auszutricksen<\/p><\/div>\n

Was sofort auff\u00e4llt: Der gesamte Nachrichteninhalt ist ein Bild, einschlie\u00dflich des beruhigenden gr\u00fcnen Banners und der personalisierten Begr\u00fc\u00dfung. Das l\u00e4sst sich leicht nachpr\u00fcfen. Man versucht einfach, eine beliebige Textstelle mit der Maus zu markieren. Ein ehrlicher Absender w\u00fcrde eine E-Mail niemals auf diese Weise versenden, das es viel zu umst\u00e4ndlich ist. F\u00fcr eine Nachricht, die an so viele verschiedene Empf\u00e4nger geht, m\u00fcsste die Personalabteilung jeweils ein extra Bild speichern und an jeden einzelnen Mitarbeiter schicken! Der Text wird nur aus einem einzigen Grund als Bild eingebettet: Damit Anti-Spam- und Anti-Phishing-Filter nicht anspringen.<\/p>\n

In der E-Mail gibt es noch subtilere Hinweise, die den Betrug verraten. So stimmen beispielsweise Name und Format des angeh\u00e4ngten Dokuments nicht mit den Angaben im Nachrichtentext \u00fcberein. Verglichen mit der \u201ebildsch\u00f6nen\u201c E-Mail sind das aber Kleinigkeiten.<\/p>\n

Ein Anhang, der Personalrichtlinien nachahmt<\/h2>\n

Nat\u00fcrlich enth\u00e4lt das angeh\u00e4ngte Dokument gar keine konkreten Personalrichtlinien. Man findet nur eine Titelseite mit einem kleinen Firmenlogo und dem fett gedruckten Titel \u201eHandbuch f\u00fcr Mitarbeiter\u201c. Au\u00dferdem ist da ein Inhaltsverzeichnis, in dem \u00c4nderungen rot hervorgehoben sind, gefolgt von einer Seite mit einem QR-Code (der zum vollst\u00e4ndigen Dokument f\u00fchren soll). Zu guter Letzt wird noch in einfachen Worten erkl\u00e4rt, wie man QR-Codes mit dem Telefon scannt. Der Code f\u00fchrt zu einer Seite, auf der Anmeldeinformationen f\u00fcr ein gesch\u00e4ftliches Konto eingegeben werden sollen\u00a0\u2013 genau darauf haben es die Angreifer abgesehen.<\/p>\n

\"Ein<\/a>

Dieses gef\u00e4lschte Dokument wurde als K\u00f6der verwendet<\/p><\/div>\n

Der Empf\u00e4nger soll mit allen Mitteln davon \u00fcberzeugt werden, dass das Dokument pers\u00f6nlich f\u00fcr ihn bestimmt ist. Auch hier taucht sein Name zweimal auf: zuerst in der Begr\u00fc\u00dfung und dann in der Zeile \u201eDiese Nachricht ist bestimmt f\u00fcr\u00a0\u2026\u201c vor der Anleitung. Und der Dateiname enth\u00e4lt den Namen des Empf\u00e4ngers noch einmal. Die allererste Frage sollte aber lauten: Wozu dient dieses Dokument \u00fcberhaupt?<\/p>\n

Eigentlich k\u00f6nnten die gesamten Informationen direkt in der E-Mail stehen. Ein personalisiertes, vierseitiges Dokument erscheint \u00fcberfl\u00fcssig. Warum sollte sich die Personalabteilung so viel Arbeit machen und f\u00fcr jeden einzelnen Mitarbeiter ein offenbar sinnloses Dokumente erstellen? Ehrlich gesagt, zweifelten wir zun\u00e4chst daran, dass sich die Betr\u00fcger wirklich so ins Zeug gelegt hatten. Unsere Tools best\u00e4tigen jedoch, dass tats\u00e4chlich alle Phishing-E-Mails in dieser Kampagne individuelle Attachments mit dem jeweiligen Namen des Empf\u00e4ngers enthalten. Wahrscheinlich war ein neuer automatischer Mailing-Mechanismus im Spiel, der f\u00fcr jeden Empf\u00e4nger ein Dokument und ein E-Mail-Bild generierte\u00a0\u2026 oder die Phisher haben sich einfach nur extrem angestrengt.<\/p>\n

So kannst du dich sch\u00fctzen<\/h2>\n

Eine spezialisierte Sicherheitsl\u00f6sung<\/a> kann die meisten Phishing-E-Mails bereits auf dem Unternehmens-Mail-Server abfangen. Dar\u00fcber hinaus m\u00fcssen alle Ger\u00e4te, die Mitarbeiter bei der Arbeit verwenden, gesch\u00fctzt<\/a> werden \u2013 nat\u00fcrlich auch Mobiltelefone.<\/p>\n

Zus\u00e4tzlich empfehlen wir, die Mitarbeiter \u00fcber aktuelle Betrugsstrategien aufzukl\u00e4ren (beispielsweise anhand von Artikeln aus unserem Blog) und das Bewusstsein f\u00fcr Cybersicherheit kontinuierlich zu sch\u00e4rfen. Daf\u00fcr eignen sich Plattformen wie Kaspersky Automated Security Awareness<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Eine kuriose Phishing-Methode: Massen-E-Mails, in denen die Empf\u00e4nger namentlich angesprochen werden.<\/p>\n","protected":false},"author":2598,"featured_media":32459,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3107,3108],"tags":[62,53,4015,1441],"class_list":{"0":"post-32458","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-e-mail","11":"tag-phishing","12":"tag-phishing-anzeichen","13":"tag-spear-phishing"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/employee-handbook-phishing-scheme\/32458\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/employee-handbook-phishing-scheme\/29164\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/24357\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/12596\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/employee-handbook-phishing-scheme\/29201\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/28334\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/employee-handbook-phishing-scheme\/31169\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/employee-handbook-phishing-scheme\/29847\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/employee-handbook-phishing-scheme\/40117\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/employee-handbook-phishing-scheme\/13584\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/employee-handbook-phishing-scheme\/53836\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/employee-handbook-phishing-scheme\/22988\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/employee-handbook-phishing-scheme\/24017\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/employee-handbook-phishing-scheme\/29399\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/employee-handbook-phishing-scheme\/35134\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/employee-handbook-phishing-scheme\/34774\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/phishing-anzeichen\/","name":"Phishing-Anzeichen"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32458","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2598"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=32458"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32458\/revisions"}],"predecessor-version":[{"id":32482,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/32458\/revisions\/32482"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/32459"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=32458"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=32458"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=32458"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}