Viele teilen solch eine berufliche Entwicklung öffentlich in ihrem Profil auf Karriereplattformen wie LinkedIn oder Xing. Diese Teilfreudigkeit kann jedoch dem neuen Arbeitgeber leicht zum Verhängnis werden, denn Cyberkriminelle nutzen genau diese Naivität von neuen Mitarbeitenden aus, um sich Zugang zu internen Firmendaten zu verschaffen.
Social Engineering ist keine neue Herangehensweise von Cyberkriminellen. Doch die Cybersecurity-Experten von Mimecast warnen nun vor einem neuen Ansatz beim Social Engineering: dem New-Starter-Phishing. Dabei nehmen Cyberkriminelle gezielt neue Angestellte der Unternehmen, die sie angreifen wollen, ins Visier. Dabei gehen sie folgendermaßen vor: Zunächst sammeln die Kriminellen alle verfügbaren Informationen zur neuen Arbeitsstelle ihres Opfers. Dazu gehören Jobtitel, Abteilung, Eintrittsdatum usw.
Diese Details verwenden sie, um eine möglichst echt aussehende Phishing-Mail zu versenden, die vermeintlich von der Personalabteilung oder der neuen Chefin stammt. Die Mail enthält einen Link zu Onboarding-Materialien oder ähnlichem, die nach der Anmeldung im Firmennetzwerk heruntergeladen werden können. Die Download- sowie die Anmeldeseite sind jedoch gefälscht – und der Angreifer verfügt nun über die Zugangsdaten des neuen Mitarbeiters und kann diese für eine Cyberattacke gegen das Unternehmen verwenden. Unternehmen sollten Mitarbeitende entsprechend sensibilisieren,
„Phishing-Angriffe werden weiter zunehmen, da sie kostengünstig sind und sich für Cyberkriminelle schnell auszahlen. Jüngste Untersuchungen haben gezeigt, dass E-Mails von Personen, die sich als eine Kollegin oder ein Kollege ausgeben, die größten Erfolgsaussichten haben. Vor diesem Hintergrund wird das Phänomen des New-Starter-Phishings weiter zunehmen“, so Brian Pinnock von Mimecast. „Wir mussten feststellen, dass neue Angestellte, die sich auf Karriereplattformen zum neuen Job beglückwünschen lassen wollen, sehr anfällig für Fake-Begrüßungs-E-Mails vom vermeintlichen neuen Teamlead sind. Diese enthalten dann bösartige Links, über die die Angreifer Anmeldeinformationen sammeln, Konten übernehmen oder Malware einschleusen können. Eine mehrschichtige Cyberresilienz-Strategie sowie kontinuierliche Sicherheitsschulungen für neue und bestehende Mitarbeitende ist daher für jedes Unternehmen unabdingbar.“
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…