Immer mehr Unternehmen erkennen inzwischen, dass sie zur Eindämmung der Corona-Pandemie am besten beitragen können, in dem sie möglichst allen Mitarbeitern ermöglichen, von zu Hause aus im Home-Office zu arbeiten. Dieser Trend bleibt allerdings auch nicht den Cyberkriminellen verborgen. Auch kleine Unternehmen mit weniger als zehn Mitarbeitern berichten, dass sie ins Visier von gezielten Phishing-Attacken geraten sind.
Im Vordergrund steht hier der Betrug mit Gutscheinkarten wie von Amazon oder Paypal. Der finanzielle Schaden ist bei dieser Betrugsmasche im Verhältnis zum bekannten CEO-Fraud, wo teilweise Millionen-Beträge an Kriminelle überwiesen werden, eher gering, dennoch liegt der Betrugswert auch hier im Bereich von hunderten Euros.
Stetige Professionalisierung der Täter
Die Vorgehensweise der Täter ist jedoch sehr ähnlich.
Die Täter spähen Unternehmen zunächst über ihre Website und/oder Soziale Netzwerke wie Xing oder LinkedIn aus, um die Namen und E-Mail-Adressen der Mitarbeiter und der Vorgesetzten zu ermitteln. Da sich die Kriminellen immer weiter professionalisieren, werden diese Kontakte in einer Art Customer-Relationship-Management (CRM) – System eingepflegt. Diese ermöglicht es den Kriminellen automatisiert ständig neue Phishing-Kampagnen an das jeweilige Unternehmen zu versenden. So wie ein seriöses Unternehmen ihr CRM nutzt, um z.B. Newsletter an seine Kunden zu verschicken.
Sobald sich ein Unternehmen im Visier der Kriminelle befindet, werden die Webseiten des jeweiligen Unternehmens auch regelmäßig beobachtet. Häufig dauert es nur wenige Wochen, bis ein neuer Mitarbeiter oder eine neue Mitarbeiterin eine gefälschte E-Mail erhält. Bei den E-Mails selbst gibt es jedoch im Hinblick auf die Sprache qualitativ große Unterschiede. Bei manchen Versendern kann man durchaus davon ausgehen, dass es bei den Tätern um Muttersprachler handelt, während andere Kriminelle nicht mal auf die Übersetzung von Online-Diensten vertrauen, sondern stümperhafte Phrasen wie “Hoffe Du hast nicht so viel auf dem Teller? raushauen.
Täter gehen meist zielgerichtet vor
Die Kriminellen gehen dabei auch sehr perfide vor. Die E-Mails werden oft zeitlich so verschickt, dass die Mitarbeiter die Nachrichten idealerweise auf einem Smartphone lesen, sprich Vor- oder nach Arbeitsbeginn, am Wochenende oder in der Mittagspause. Das erschwert die Erkennung der gefälschten Absender-Adresse. Zudem ist es üblich, dass die Phishing E-Mail im Namen der Vorgesetzten selbst einen Passus wie „Von IPhone gesendet“ enthält.
In der E-Mail selbst werden die Angestellten aufgefordert eine dringende Hilfeleistung zu erbringen, wie z.B. den Kauf von Amazon-Gutscheinen für den Geburtstag eines Geschäftspartners oder die Gratifikation von Mitarbeitern.
Sobald der angeschriebene Mitarbeiter antwortet, reagieren die Täter in der Regel innerhalb weniger Minuten. Sie versuchen die Mitarbeiter dabei unter Druck zu setzen, die Gutscheine schnellstmöglich und diskret zu beschaffen, mehrere Follow-Ups sind dabei nicht ungewöhnlich.
Wie die Kommunikation mit den Tätern verläuft, haben wir im Vorjahr in unserem Artikel Christina und der vermeintliche CEO bereits ausführlic
h beschrieben.
Schulung der Mitarbeiter wichtig
Im Hinblick auf die stetige steigende Anzahl von solchen Angriffen auf Unternehmen empfehlen wir den Unternehmen, ihre Mitarbeiter und Mitarbeiterinnen regelmäßig über solche Arten von Betrug aufzuklären und mit Möglichkeiten vertraut zu machen, verdächtige E-Mails besser zu erkennen.
Dazu gehören Maßnahmen wie das Prüfen des E-Mail-Headers, aber auch das Hinterfragen, ob es sich bei solch einer Nachricht um ein typisches Vorgehen des Vorgesetzten handelt. Bei geringstem Zweifel sollte man beim Vorgesetzten direkt nachfragen, ohne jedoch auf die E-Mail zu antworten.
Als Optionen dazu bieten sich neben dem Telefon interne Messenger-Dienste an, aber auch das Verfassen einer neuen E-Mail direkt an der Vorgesetzten unter Verwendung der tatsächlichen E-Mail-Adresse. Wichtig ist zudem, solche Informationen innerhalb des Unternehmens mit allen Angestellten zu teilen, da die Kriminellen meist mehr als nur eine Person anschreiben.
SoSafe hat für Unternehmen in seinem Blog Tipps und Information zur IT-Sicherheit im Home- Office bereitgestellt. Außerdem werden auf https://sosafe.de/home-office/ kostenfrei Inhalte speziell für Mitarbeitende im Home-Office zur Verfügung gestellt.
Der kostenlose Phish-Test ermöglicht zudem zu prüfen, wie gut man selbst Phishing-E-Mails erkennen kann.
