Der Sommer lässt viele Mitarbeiter eines Unternehmens ihren Blick sehnsüchtig aus dem Fenster- und ab und zu auf den Kalender schweifen. Man muss kein Hellseher sein, um das Wort „Urlaub“ in ihren Gedanken zu lesen. Genauso wenig wie Cyberkriminelle – die solche Gefühle mit Phishing ausnutzen. Das Ziel ist wie immer, die Zugangsdaten von Unternehmen zu ergaunern. Wir untersuchen solche Betrügereien und erklären, worauf Sie achten müssen.
Phishing E-Mail
Das Ziel ist, dass der Phishing-Link angeklickt wird. Um dies zu erreichen, müssen die Angreifer die kritisch denkende Seite des Gehirns des Opfers ausschalten, in der Regel, indem sie es erschrecken oder neugierig machen. Die Chancen stehen gut, dass im Frühsommer die Erwähnung des Urlaubsplans den Zweck erfüllt. Zu diesem Zeitpunkt haben viele Mitarbeiter bereits Pläne gemacht, Tickets gekauft und Hotels gebucht. Wenn sich die Urlaubstermine plötzlich ändern, lösen sich all diese Pläne in Luft auf. Deshalb verschicken Betrüger E-Mails, die angeblich von der Personalabteilung stammen und das Thema Urlaub betreffen: Es könnte sich um eine plötzliche Verschiebung handeln, um die Notwendigkeit, die Termine zu bestätigen, oder um eine Überschneidung mit wichtigen Veranstaltungen. Solche E-Mails sehen in etwa so aus:
Da es sich in diesem Fall um Massen- und nicht um Spear-Phishing handelt, ist es recht einfach, die Tricks der Angreifer zu erkennen. Das Wichtigste ist, dass Sie dem Drang widerstehen, sofort auf den Link zu klicken, um Ihre geänderten Urlaubsdaten zu sehen. Wenn wir uns die E-Mail genauer ansehen, wird deutlich, dass:
- der Absender (cathy@multiempac.com) kein Mitarbeiter Ihres Unternehmens ist
- der Leiter der Personalabteilung, der „unterschrieben“ hat, namenlos ist und seine Unterschrift nicht dem Unternehmensstil Ihres Unternehmens entspricht;
- sich hinter dem Link, der scheinbar auf eine PDF-Datei verweist, eine völlig andere Adresse verbirgt (Sie können sie sehen, wenn Sie mit der Maus über den Link fahren).
Es wird auch schnell klar, dass die Angreifer nur die Adresse des Empfängers kennen. Das Tool für automatisierte Massenmails entnimmt der Adresse den Domänennamen des Unternehmens und den Namen des Mitarbeiters und ersetzt sie automatisch in der Imitation des Links und der Signatur des Absenders.
Phishing-Seite
Selbst wenn das Opfer den Köder schluckt und auf den Link klickt, können Sie auf der Website der Angreifer Anzeichen von Phishing erkennen. Der Link in der obigen E-Mail führt hierher:
Die Website selbst ist nicht sehr überzeugend:
- Zunächst einmal wird die Datei nicht auf dem Server Ihres Unternehmens gehostet, sondern in der Huawei Cloud (myhuaweicloud.com), wo jeder Speicherplatz mieten kann;
- Der Name der Datei stimmt nicht mit dem Namen der in der E-Mail genannten PDF-Datei überein;
- Es gibt kein einziges Attribut auf der Website, das sie mit Ihrem Unternehmen in Verbindung bringt.
Sobald das Opfer sein Passwort in das Anmeldefenster eingibt, wird es natürlich direkt an die Server der Cyberkriminellen weitergeleitet.
So sind Sie sicher
Um die Wahrscheinlichkeit zu verringern, dass die Mitarbeiter Ihres Unternehmens mit Phishing-E-Mails konfrontiert werden, benötigen Sie einen Schutz auf der Ebene des Mail-Gateways. Darüber hinaus müssen alle Geräte, die mit dem Internet verbunden sind, durch eine Endpoint-Sicherheitslösung geschützt werden.
Darüber hinaus empfehlen wir, regelmäßige Awareness-Schulungen für Mitarbeiter zu den neuesten Cyberbedrohungen durchzuführen oder sie zumindest über mögliche Phishing-Betrügereien zu informieren. Weitere Informationen über die Tricks und Fallen der Phisher finden Sie in anderen Beiträgen in diesem Blog.