Sie haben Fragen?
Über eine schöne Weihnachtüberraschung freuten sich rund 500 Mitarbeiter des amerikanischen Webhosters GoDaddy, als sie eine E-Mail mit dem Betreff „GoDaddy Holiday Party“ in ihrem Posteingang vorfanden. Darin versprach der Absender ihnen einen Weihnachtsbonus von ganzen 650 Euro. Alles, was sie dafür tun mussten, war, sich mit ihren Kontaktdaten über zwei Links für die Zahlung zu registrieren.
Dumm nur, dass es sich dabei um einen Test ihres Arbeitgebers handelte, mit dem dieser die Awareness seiner Angestellten für die Gefahren durch Phishing überprüfen wollte. Anstatt eines Bonus erhielten die etwa 500 Mitarbeiter, die der Aufforderung in der Mail nachgekommen waren, eine erneute Einladung zum Mitarbeiterseminar „Security Awareness Social Engineering Training“. Die dort vermittelten Inhalte hatten die betroffenen Angestellten wohl nicht ausreichend verinnerlicht, denn selbst eine vermeintlich vertrauenswürdige E-Mail-Adresse kann von Kriminellen gekapert oder fingiert werden – und genau diesen Fall hatten die Verantwortlichen bei GoDaddy nachgestellt, denn die Phishing-Mail kam von der Absenderadresse happyholiday@godaddy.com. Dieser zwar neue, aber immerhin scheinbar von GoDaddy stammende Absender reichte vielen Mitarbeitern aus, um die E-Mail als legitim einzustufen.
Die Vorgehensweise von GoDaddy mag für manchen unfair oder hinterlistig erscheinen, zumal das Ganze kurz vor Weihnachten durchgeführt wurde. Doch damit macht es der Webhoster eigentlich genau richtig, denn kriminelle Hacker, die sich per Phishing und Social Engineering Zugang zu Unternehmen verschaffen wollen, werden ebenfalls unfair und vielleicht sogar noch hinterlistiger vorgehen, um ihr Ziel zu erreichen. Und darauf müssen sich Unternehmen so gut es geht vorbereiten – auch und insbesondere, was das Thema Awareness angeht. Eine derartige Aktion sorgt mit Sicherheit für mehr Aufmerksamkeit als jede Rundmail, die dazu aufruft, vorsichtig zu sein. Damit führt dieser kleine, aber heilsame Schockmoment durchaus zum Ziel.
Auch wir bieten einen solchen Phishing-Test an. Bei Interesse fragen Sie uns einfach nach unserem Social E-Mail Audit. Selbstverständlich legen wir bei dieser Leistung größten Wert auf die Anonymität der Angestellten und messen lediglich, wie oft geklickt wird. So haben unsere Kunden einen guten Überblick über den Grad der Sensibilisierung in ihren Unternehmen. Sollte Nachholbedarf bestehen, kann nach einem Social E-Mail Audit auch ganz gezielt wiederholt und geschult werden.
Bild (c) talha khalil/ Pixabay
