Netzwerken, Netzwerken, Netzwerken! Beziehungen sind ein treibender Faktor in der Geschäftswelt. Viele Mitarbeiter:innen nutzen dazu Karriere-Portale. Dessen sind sich auch Cyberkriminelle bewusst und starten gezielte Social-Engineering-Attacken über diese Plattformen. Die Angriffe sind besonders heimtückisch, da sie sich direkt auf die Mitarbeiter:innen selbst fokussieren.
Viele dieser Kampagnen sind so glaubwürdig, dass einige Angestellte dazu verleitet werden, Unternehmensinformationen bereitwillig preiszugeben. Zudem manipulieren die Täter ihre Opfer so stark, dass diese infizierte Inhalte, beispielsweise in Form gefälschter Stellenbeschreibungen, herunterladen.
Laut Mimecast nutzen 58 % der deutschen Arbeitnehmer:innen ihre Firmengeräte auch zu privaten Zwecken – knapp 20% verbringen Zeit auf Sozialen Netzwerken oder beim Chatten mit Freunden. Weitere 10 % loggen sich sogar auf Dating-Plattformen ein.
Hacker haben es aber nicht mehr nur auf Datingplattformen abgesehen – sie suchen sich ihre Opfer gezielt auf Online-Karriereportalen, die bei vielen Angestellten fest zum geschäftlichen Arbeitsalltag gehören. Höchste Zeit, sich umfassend zu schützen – der neue Lagebericht zur E-Mail-Sicherheit 2022 zeigt jedoch deutliche Lücken in der Cyberabwehr deutscher Unternehmen auf.
Ideale Voraussetzungen für Social-Engineering-Attacken auf Karriereportalen
Beim Social Engineering setzen Cyberkriminelle auf Psychologie und Manipulation. Dazu spionieren sie ihre Opfer oft über Wochen und Monate aus, um so viele Informationen wie möglich über sie zu sammeln. Karriereportale sind hierbei ein wahres Schlaraffenland für Betrüger: Sie zeigen auf den ersten Blick, welche Personen im Zielunternehmen arbeiten.
Durch einen kurzen Klick auf deren Profil erfahren Kriminelle eine Menge persönliche Informationen: Wo hat die Zielperson studiert, welche Vorträge besucht sie, mit welchen Kolleg:innen interagiert sie, welche Beiträge teilt, liked oder kommentiert sie? Zusätzliche Informationen erhalten die Kriminellen durch einen Blick auf weitere Social-Media-Plattformen.
Dies dient dazu, sehr überzeugende und realistische Phishing-Nachrichten zu verfassen, die die Neugier der Zielpersonen wecken sollen. Die Chancen, dass ein Opfer auf die gesendeten, personalisierten Direktnachrichten antwortet, sind hoch – schließlich ist es Sinn und Zweck von Karriereplattformen, sich mit anderen zu vernetzen.
Hinzu kommt, dass die Täter:innen sich kinderleicht gefakte Profile anlegen können – in der Regel überprüfen die Plattformen nicht, ob die Nutzer:innen in der angegebenen Firma tätig sind.
Gefahren für Unternehmen durch Social Engineering
Karriereportale gehören für viele Arbeitnehmer:innen zum festen Bestandteil des Arbeitsalltags und sind von Firmengeräten nicht mehr wegzudenken. Da diese Seiten im Großen und Ganzen einen besseren Ruf genießen als Soziale Netzwerke, ist vielen das Gefahrenpotenzial nicht bewusst – und das stellt Unternehmen vor neue Herausforderungen.
Haben sich die Täter erst einmal bei ihrem Opfer eingeschmeichelt und dessen Vertrauen erschlichen, ist es nur eine Frage der Zeit, bis der Schaden entsteht. Die Kriminellen geben sich meist überaus interessiert, aufmerksam und hilfsbereit. Mitarbeiter:innen sollten daher besonders vorsichtig sein, wenn ihr Chatpartner ihnen detaillierte Fragen zu ihrem Arbeitsalltag stellt oder ihnen womöglich Hilfe bei spezifischen Projekten anbietet.
Außerdem können Kriminelle die Funktion der Direktnachrichten nutzen, um infizierte Links zu versenden – oder gar Dokumente. Mit vermeintlichen Lebensläufen oder Stellenbeschreibungen locken sie ihre Opfer in die Falle. Durch einen einzigen Klick der Zielperson gelangt die Schadsoftware schließlich in das Unternehmen.
Arbeitnehmer:innen sollten deshalb vorsichtig sein; klingt ein Jobangebot zu gut um wahr zu sein, dann ist es das wahrscheinlich auch. Vorsicht ist vor allem geboten, wenn man aufgefordert wird, auf einen Link zu klicken oder ein Dokument herunterzuladen.
Lücken in der Verteidigung deutscher Unternehmen
Um Social-Engineering-Attacken einzudämmen, hilft die Installation und Wartung von Antiviren-Software und Firewalls. Außerdem sollte die gesamte Security-Software immer Up-to-Date gehalten werden. Da die Attacke aber direkt auf die Angestellten selbst abzielt, reichen traditionelle, rein technische Sicherheitssysteme nicht aus, um Angriffe abzuwehren.
Die effektivste Methode zur Vorbeugung stellt somit die Sensibilisierung der Mitarbeiter:innen dar. Sie müssen regelmäßig Sicherheitsschulungen erhalten – allerdings werden nur 30 % der Arbeitnehmer:innen fortlaufend in puncto Cybersecurity geschult. Dabei helfen diese Schulungen dabei zu unterscheiden, ob die Chatpartner:innen einfach nur eine nette Unterhaltung führen wollen – oder ob sie es auf einen Betrug anlegen.
In vielen Organisationen leidet die Cyberabwehr allerdings an dem zu knapp bemessenen Sicherheitsbudget: 54 % sagen, dass das unzureichende Budget dazu führe, dass bestehende Sicherheitslösungen nicht Up-to-Date gehalten oder gar optimiert werden könnten. Zudem führen 51 % an, dass nicht genug in Security-Schulungen für Mitarbeiter:innen investiert werden könne.
„Um Unternehmen zu schützen, müssen zunächst die Angestellten sensibilisiert werden. Die Kriminellen schrecken vor nichts zurück. Gerade auf Karrierenetzwerken erhalten Cyberverbrecher viele Informationen über Unternehmen und Angestellte, was natürlich gezielt ausgenutzt wird,“ so Duane Nicol, Cybersecurity Awareness Training Expert bei Mimecast.
„Die Täter wissen ganz genau, wie sie vorgehen müssen, um sich das Vertrauen von Personen zu erschleichen. Wenn Mitarbeitende nicht umfassend geschult sind, kann dies schwerwiegende Folgen nach sich ziehen.“