Sind neue Mitarbeiter das schwächste Glied in Ihrem Unternehmen? Phishing-Angriffe auf neue Mitarbeiter

Wir kennen das alle: Wenn man eine neue Stelle antritt, kommt eine Menge auf einen zu. Es gibt neue Systeme, an den man sich gewöhnen muss, neue Kollegen, deren Namen man noch nicht kennt, und viele Informationen über die Arbeitsweise des Unternehmens kommen auf einen zu. Außerdem müssen Sie sich logischerweise überall zum ersten Mal anmelden. Ein perfekter Zeitpunkt, um eine Phishing-E-Mail zu versenden, die Sie dazu verleitet, Ihr Passwort auf einer unseriösen Website einzugeben! Die Tatsache, dass die E-Mail von einer völlig anderen Domäne versendet wurde, als Ihr Unternehmen tatsächlich nutzt und dass Karen Smits gar keine direkte Kollegin von Ihnen ist, wird schnell übersehen...

Ein psychologisches Spiel

Phishing ist eine bekannte Methode, um Informationen von einem unwissenden Opfer zu erlangen. Durch Täuschung wird das Opfer dazu gebracht, Informationen wie Anmeldedaten auf einer Website einzugeben, die vom Angreifer kontrolliert wird. Die Daten können verwendet werden, um sich in das Konto des Opfers einzuloggen und dann auf die Computersysteme, Dateien oder Konten anderer Benutzer zuzugreifen.

Methode

Heutzutage gibt es im öffentlichen Internet zugängliche Informationen über fast jeden, z. B. Ihren derzeitigen Arbeitgeber auf Ihrem LinkedIn-Profil. Kriminelle können diese Art von Informationen als Eingabe für Phishing-E-Mails verwenden. Darüber hinaus können diese Informationen genutzt werden, um neue Mitarbeiter zu identifizieren, indem die Mitarbeiterliste eines Unternehmens überwacht wird. Die E-Mail-Adresse eines neuen Mitarbeiters zu finden, ist nicht schwer: Die Struktur (z. B. initial.lastname@domain.com ) von E-Mail-Adressen kann oft über die Website eines Unternehmens gefunden werden, z. B. auf der Seite "Kontakt" oder in Blogbeiträgen.

Das Versenden einer Phishing-E-Mail hat vor allem bei neuen Mitarbeitern eine hohe Erfolgschance. Es ist logisch, dass man sich als neuer Mitarbeiter zum ersten Mal bei allen möglichen Diensten anmelden muss und noch nicht alle Namen und Funktionen der Kollegen kennt. Das macht es für Angreifer einfacher, eine E-Mail zu verfassen, die legitim erscheint. Durch die Verknüpfung von Informationen über öffentliche Informationen und "gebildete Vermutungen" entsteht eine E-Mail, die für neue Mitarbeiter nur schwer von einer legitimen zu unterscheiden ist. Neue Mitarbeiter werden beispielsweise schnell feststellen, dass die Kontaktperson in der E-Mail in einer ganz anderen Abteilung des Unternehmens arbeitet.

Maßnahmen

Es gibt mehrere Maßnahmen, die das Phishing erschweren:

  • Für neue Mitarbeiter ist es ins besonders wichtig, dass die Sensibilisierung für Cybersicherheit zum Bestandteil der Einarbeitung zu machen. Gehen Sie dabei auf Fragen ein wie: Wie ist die Kommunikation innerhalb des Unternehmens? An wen kann man sich wenden, wenn man sich nicht sicher ist, ob eine bestimmte E-Mail eine Phishing-E-Mail ist. Was sollten Sie tun, wenn Sie glauben, dass Sie Ihre Daten auf einer nicht vertrauenswürdigen Website eingegeben haben? Welche Maßnahmen hat das Unternehmen zur Bekämpfung von Cybersicherheitsvorfällen ergriffen?
  • Darüber hinaus ist es wichtig, für alle Nutzer eine Multi-Faktor-Authentifizierung (MFA) einzurichten. Das bedeutet, dass Sie zusätzlich zu einem Passwort auch einen Code von Ihrem Telefon benötigen, um sich z. B. anzumelden. Dies macht es für böswillige Parteien viel schwieriger, ein Konto zu hacken, da neben dem Passwort immer ein zweiter Schritt erforderlich ist.]
  • Verwenden Sie einen Passwort-Manager. Dies hat zur Folge, dass auf einer betrügerischen Website ein zusätzlicher Schritt zur Eingabe der Anmeldedaten erforderlich ist, während dies auf der legitimen Website nicht notwendig ist.
  • Technisch: Zeigen Sie den Benutzern bei jeder E-Mail, die von außerhalb des Unternehmens gesendet wird, eine Warnung an. Für Microsoft 365-Nutzer kann dies über Microsoft Exchange eingestellt werden. Kombinieren Sie dies mit einer DMARC-Richtlinie, die sicherstellt, dass böswillige Parteien keine E-Mails im Namen des Unternehmens versenden können.

Zusammenfassung

Seien Sie sich darüber im Klaren, welche Informationen über Personen im Internet zu finden sind und wofür böswillige Parteien sie nutzen können. Machen Sie das Bewusstsein für Cybersicherheit zu einem Teil der Einarbeitung neuer Mitarbeiter und bieten Sie regelmäßige Schulungen und Anti-Phishing-Kampagnen an. Haben Sie Fragen zu diesem Thema? Oder benötigen Sie Unterstützung bei der Einführung einer Cybersicherheitskultur in Ihrem Unternehmen? Schicken Sie uns eine E-Mail an info@eye.security.

Veröffentlicht am 28. März 2022

Verwandte Artikel

Zeige alles