Erfolgreiche Phishing-Angriffe über soziale Netzwerke

Aufgrund der aktuellen Corona-Situation sind Messen, Kongresse und anderweitige Vor-Ort-Termine nur begrenzt oder gar nicht möglich. Aus diesem Grund gewinnen B2B-Netzwerke wie LinkedIn und Xing immer mehr an Relevanz. Wie aktuelle Studien zu Phishing-Kampagnen zeigen, werden Phishing-Mails, welche im Betreff ein solches Netzwerk haben, besonders arglos behandelt.¹ Es fühlt sich gut an, neue Kontakte über Social-Media-Netzwerke zu generieren und von anderen Netzwerkpartnern wahrgenommen zu werden. Jeder digitale Kontakt, den Sie in der Isolationshaft „Home-Office“ neu für sich gewinnen, ist ein guter Kontakt. Oder? Nun ja, mir geht es zumindest so. Aus diesem Grund habe ich mein LinkedIn-Netzwerk in den letzten 3 Wochen von 10 auf 1000 Kontakte ausgebaut. Mit Steigerung der Reichweite von Benutzerkonten steigt auch die Motivation von Cyberkriminellen.

Immer mehr Phishing-Angriffe über Social Media

Im Gegensatz zu gängigen Phishing-Angriffen über den Kommunikationskanal E-Mail entwickeln Cyberkriminelle in sozialen Netzwerken ganz eigene Angriffsmethoden, die speziell auf soziale Netzwerke ausgerichtet sind. Angriffsarten wie das sogenannte „Account-Hijacking“² (deutsch: Kontoübernahme) folgen einem gezielten Ablauf und richten sich vorwiegend an Accounts, welche eine Zeit lang inaktiv sind, um den Angriff möglichst lang geheim halten zu können. Diese Angriffe sind so gefährlich, da Angreifende nach Übernahme des Accounts den Kontakten des Opfers schädliche Inhalte und Anfragen zu vertraulichen Informationen senden können und aufgrund des Vertrauensverhältnisses die Attacken schwerer zu erkennen sind. Wachsende digitale Netzwerke bedeuten auch mehr Angriffsfläche. Mit LinkedIn-Accounts, welche viele Kontakte haben, lassen sich schwerwiegende Angriffe ausüben. Mit Messengerbots können automatisiert Nachrichten an Kontakte gesendet werden, wie es durch Vertriebler sowieso schon gang und gäbe ist.

Hereingefallen – und nun?

Falls Sie Ihre Daten auf einer solchen Webseite eingegeben habe, müssen sie schnell handeln. Art und Umfang der abgegriffenen Daten sind je nach Angriff unterschiedlich. Folgende Schritte sollten Sie unbedingt beachten:

• Ändern Sie auf der echten LinkedIn-Seite Ihr Passwort; falls Sie nicht mehr auf Ihr Profil zugreifen können, versuchen Sie das Passwort zurückzusetzen.
• Nutzen Sie dringend Multi-Faktor-Authentifikation, um Ihre Userkonten nicht nur durch ein Passwort zu schützen.
• Sollten Sie das Passwort auch bei weiteren Onlinediensten verwenden, ändern Sie auch diese.
• Haben Sie weitere personenbezogene Daten, wie z. B. Ihre Kreditkarteninformationen oder Bankdaten angegeben, sollten Sie die betreffenden Konten vorsorglich sperren.
• Auch eine Anzeige bei der Polizei ist möglich und kann bei den meisten Bundesländern mittlerweile unkompliziert online erstattet werden. 

Risiko für Mitarbeitende und Unternehmen

Soziale Netzwerke sind mittlerweile auch bei vielen Jobs Arbeitsvoraussetzungen. Im Gegensatz zur Firmen-E-Mail-Adresse sind Userkonten in sozialen Netzwerken nicht so einfach in private und geschäftliche Nutzung zu trennen. Dementsprechend steigt auch das Risiko für Arbeitnehmende in der Rolle als Privatpersonen. Aber auch für die Arbeitgebenden ist dies nicht nur gefährlich, sondern meist auch teuer. Vor allem Userkonten von Mitarbeitenden, die auf den Unternehmensprofilen administrative Funktionen übernehmen, sollten besonders geschützt sein. Ein durch einen Angreifenden initiierter Fake-Beitrag auf der Unternehmensseite kann sehr hohen wirtschaftlichen Schaden bedeuten. Daher ist eine nachhaltige Sensibilisierung von Mitarbeitenden im Bereich der Informationssicherheit wichtiger als je zuvor. Die Increase Your Skills GmbH sensibilisiert und schult Mitarbeitende im richtigen Umgang mit personenbezogenen Daten und Cyberangriffen. Mit der innovativen Increase Your Skills-Plattform helfen Sie, Ihr Unternehmen und Ihre Mitarbeitenden bestmöglich zu schützen.

_{¹Hijacking. in: Wikipedia, [online] https://de.wikipedia.org/wiki/Hijacking [29.04.2020].}