Neues Jahr, neuer Job? Die Freude ist groß – und diese will man mit möglichst vielen Leuten teilen. Doch Vorsicht: Zu viele Infos über die neue Stelle zu posten macht angreifbar.
Jeder, der schon einmal auf Jobsuche war, weiß, wie anstrengend dieser Prozess sein kann. Ist der Vertrag dann endlich unterschrieben und der neue Job sicher, ist die Freude und Erleichterung umso größer. Viele teilen solch eine berufliche Entwicklung öffentlich in ihrem Profil auf Karriereplattformen wie LinkedIn oder Xing. Da es sich nicht um intime Details aus dem eigenen Privatleben handelt, gehen viele hier lockerer und offener vor. Diese Teilfreudigkeit kann jedoch dem neuen Arbeitgeber leicht zum Verhängnis werden, denn Cyberkriminelle nutzen genau diese Naivität von neuen Mitarbeitenden aus, um sich Zugang zu internen Firmendaten zu verschaffen.
Phishing als einfacher Weg ins Unternehmen
Social Engineering ist keine neue Herangehensweise von Cyberkriminellen. Bei dieser Form der zwischenmenschlichen Beeinflussung spähen die Täter persönliche Informationen des Opfers aus, um mithilfe dieses Wissens gezielt eine bestimmte Handlung des Opfers hervorzurufen. Dazu nutzen sie Mechanismen wie Identitätsbetrug oder Autoritätshörigkeit aus. Gerade bei Phishing-Angriffen ist dieses perfide Vorgehen immer häufiger zu beobachten.
Der Cybersecurity-Experte Mimecast warnt nun vor einem neuen Ansatz beim Social Engineering: dem New-Starter-Phishing. Dabei nehmen Cyberkriminelle gezielt neue Angestellte der Unternehmen, die sie angreifen wollen, ins Visier. Dabei gehen sie folgendermaßen vor: Zunächst sammeln die Kriminellen alle verfügbaren Informationen zur neuen Arbeitsstelle ihres Opfers. Dazu gehören Jobtitel, Abteilung, Eintrittsdatum usw. Diese Details verwenden sie, um eine möglichst echt aussehende Phishing-Mail zu versenden, die vermeintlich von der Personalabteilung oder der neuen Chefin stammt. Die Mail enthält einen Link zu Onboarding-Materialien oder ähnlichem, die nach der Anmeldung im Firmennetzwerk heruntergeladen werden können. Die Download- sowie die Anmeldeseite sind jedoch gefälscht – und der Angreifer verfügt nun über die Zugangsdaten des neuen Mitarbeiters und kann diese für eine Cyberattacke gegen das Unternehmen verwenden.
Unternehmen müssen sich auf vielfältige Attacken einstellen
Das neue Jahr bringt auch neue Bedrohungen für die Sicherheit von Unternehmen mit sich. Denn Hacker gehen mit den Trends und lassen sich immer neue, noch ausgeklügeltere Maschen einfallen, um ihre Opfer hinters Licht zu führen. Umso wichtiger ist es, dass Organisationen ihre Sicherheitsarchitektur auf dem neusten Stand halten und ihre Mitarbeitenden entsprechend sensibilisieren, um den Kriminellen keinen kritischen Vorsprung einzuräumen.
„Phishing-Angriffe werden weiter zunehmen, da sie kostengünstig sind und sich für Cybekriminelle schnell auszahlen. Jüngste Untersuchungen haben gezeigt, dass E-Mails von Personen, die sich als eine Kollegin oder ein Kollege ausgeben, die größten Erfolgsaussichten haben. Vor diesem Hintergrund wird das Phänomen des New Starter Phishings weiter zunehmen“, so Brian Pinnock, VP Sales Engineering EMEA bei Mimecast, mit Blick auf die größten Cybersecurity-Herausforderungen im neuen Jahr.
„Wir mussten feststellen, dass neue Angestellte, die sich auf Karriereplattformen zum neuen Job beglückwünschen lassen wollen, sehr anfällig für Fake-Begrüßungs-E-Mails vom vermeintlichen neuen Teamlead sind. Diese enthalten dann bösartige Links, über die die Angreifer Anmeldeinformationen sammeln, Konten übernehmen oder sogar mehrstufige Malware einschleusen können. Eine mehrschichtige Cyberresilienz-Strategie sowie kontinuierliche Sicherheitsschulungen für neue und bestehende Mitarbeitende ist daher für jedes Unternehmen unabdingbar.“
www.mimecast.com