Phishing-Betrug per Fragebogen zur Selbsteinschätzung

Cyberkriminelle laden Mitarbeiter dazu ein, gefälschte Fragebogen zur Selbstbewertung auszufüllen, um Unternehmensdaten zu stehlen.

In großen Unternehmen werden Mitarbeiter nur selten nach ihren Karrierewünschen, Interessengebieten oder Leistungen außerhalb der Stellenbeschreibung gefragt. Meist passiert das einmal im Jahr – im Rahmen einer jährlichen Leistungsbeurteilung. Doch viele würden ihre Gedanken gerne deutlich öfter mit dem Management teilen. Wenn dann eine Einladung zur Selbsteinschätzung im Posteingang landet, ergreifen sie ohne zu zögern die Gelegenheit. Genau das machen sich Cyberkriminelle in einer aktuellen Spear-Phishing-Kampagne zunutze.

Phishing-E-Mail mit Einladung

Die scheinbar von der Personalabteilung stammende E-Mail enthält eine ausführliche Beschreibung des Selbstbeurteilungsverfahrens für Mitarbeiter, das „den offenen Dialog zwischen den Mitarbeitern und ihren Managern/Vorgesetzten fördert“. Darin heißt es weiter, dass „Sie viel über Ihre Stärken und Schwächen lernen können … um über Ihre Erfolge, Entwicklungsbereiche und Karriereziele nachzudenken“. Alles in allem ein ziemlich überzeugender Unternehmenstext.

E-Mail an Mitarbeiter mit der Aufforderung, sich einer Selbstbeurteilung zu unterziehen.

E-Mail an Mitarbeiter mit der Aufforderung, sich einer Selbstbeurteilung zu unterziehen.

 

So überzeugend sie auch sein mag, enthält die E-Mail dennoch einige erkennbare Warnsignale, die auf Phishing hindeuten. Schauen Sie sich zunächst einmal den Domain-Namen in der Adresse des Absenders an. Richtig, er stimmt nicht mit dem Namen des Unternehmens überein. Selbstverständlich ist es möglich, dass Ihre Personalabteilung einen Ihnen unbekannten Dienstleister einsetzt – doch warum sollte „Family Eldercare“ solche Dienste anbieten? Auch wenn Sie nicht wissen, dass es sich hierbei um eine gemeinnützige Organisation handelt, die Angehörigen bei der Pflege älterer Menschen hilft, sollte schon der Name die Alarmglocken läuten lassen.

Außerdem heißt es in der E-Mail, dass die Umfrage „für ALLE OBLIGATORISCH“ ist und „bis zum Ende des Tages“ ausgefüllt werden muss. Auch wenn wir die grobe und fehlerhafte Großschreibung außer Acht lassen, ist die Betonung der Dringlichkeit immer ein Grund, sich Gedanken zu machen – und bei der echten Personalabteilung nachzufragen, ob sie die E-Mail wirklich verschickt hat.

Gefälschtes Formular zur Selbsteinschätzung

Wenn man die Warnhinweise übersieht und sich durch das Formular klickt, wird man mit einer Reihe von Fragen konfrontiert, die möglicherweise tatsächlich etwas mit der Beurteilung der eigenen Leistung zu tun haben. Der Clou der Phishing-Masche liegt jedoch in den letzten drei Fragen, in denen das Opfer aufgefordert wird, seine E-Mail-Adresse anzugeben, sein Passwort zur Authentifizierung einzugeben und es dann zur Bestätigung erneut zu wiederholen.

Die letzten drei Fragen der falschen Umfrage

Die letzten drei Fragen der falschen Umfrage

 

Eigentlich ist dies ein kluger Schachzug der Phisher. In der Regel führt diese Art von Phishing direkt von der E-Mail zu einem Formular für die Eingabe von Unternehmensdaten auf einer Drittanbieter-Website, wodurch viele Benutzer umgehend alarmiert werden. Hier wird die Aufforderung zur Eingabe eines Passworts und einer E-Mail-Adresse (die häufig auch als Benutzername dient) allerdings als Bestandteil des Formulars getarnt – und das ganz am Ende. In diesem Stadium ist die Wachsamkeit des Opfers schon längst eingeschlafen.

Man beachte auch die Schreibweise des Wortes „Password“ („Passwort“): zwei Buchstaben werden durch Sternchen ersetzt. Auf diese Weise werden automatische Filter umgangen, die nach „Passwort“ als Stichwort suchen.

So schützen Sie sich

Um zu verhindern, dass Mitarbeiter Ihres Unternehmens auf Phishing hereinfallen, sollten Sie sie über die neuesten Tricks informieren (z. B. indem Sie unsere Beiträge über Phishing-Methoden mit ihnen teilen). Falls Sie einen systematischeren Ansatz bevorzugen, sollten Sie regelmäßige Trainings und Checks durchführen, zum Beispiel mit unserer Kaspersky Automated Security Awareness Platform.

Idealerweise sollten Mitarbeiter die meisten Phishing-Methoden dank technischer Hilfsmittel gar nicht erst zu Gesicht bekommen: Implementieren Sie Sicherheitslösungen mit Anti-Phishing-Technologie sowohl Gateway-Ebene als auch auf allen Arbeitsgeräten, die für den Internetzugang verwendet werden.

Tipps