Der Schutz von Mitarbeitern vor Jobangebotsbetrug kann zu unangenehmen, aber wichtigen Gesprächen führen

Cyber Security News

Die Website von Securielite, einer gefälschten Firma, die eingerichtet wurde, um Arbeitssuchende zu betrügen. (Bild aus dem Google-Blog)

Google gab am Mittwochabend bekannt, dass nordkoreanische Hacker weiterhin Informationssicherheitsexperten mit gefälschten Jobangeboten ins Visier nehmen und eine Kampagne fortsetzen, bei der zuvor ein Zero-Day-Browser-Exploit verwendet wurde. Dieser Rekrutierungs-Betrug schafft ein ungewöhnliches Problem für Sicherheitsprofis, die versuchen, ihr Büro gegen solche Bedrohungen zu impfen: Wie beginnt man ein Gespräch mit Mitarbeitern darüber, dass sie anderswo Arbeit suchen?

“Wenn eine Zielperson durch diese Kampagne erfolgreich gephisht wurde, würde sie es wahrscheinlich nicht ihrem Arbeitgeber melden, wenn sie merkt, was passiert ist, da der Ursprung des Angriffs die Suche nach einem anderen Job war”, sagt Hank Schless, Senior Manager für Sicherheitslösungen bei Lookout.

Nordkoreanische Hacker haben in ihren Social-Engineering-Kampagnen, die auf verschiedene Branchen abzielen, schon seit einiger Zeit Köder in Form von Jobangeboten verwendet. Die Kampagne, die gerade von Google detailliert beschrieben wurde, beinhaltete eine gefälschte Sicherheitsfirma mit einer glaubwürdig aussehenden Website (“Securielete”) und Phishing-Nachrichten über mehrere Plattformen, einschließlich LinkedIn. Schless sagte, dass selbst Sicherheitsprofis, die am besten in der Lage sind, Betrug herauszufiltern, auf solche Angriffe hereinfallen können.

Netzwerk-Verteidiger, die diese jüngste Kampagne in einen lehrreichen Moment verwandeln wollen, sollten jedoch vorsichtig sein, wie sie das Thema angehen. In letzter Zeit gab es Kontroversen über die Verwendung von “unsensiblen” Phishing-Simulationsübungen, wie z. B. das Versenden von gefälschten Phishing-E-Mails, in denen Boni angeboten werden, nur um dann jedem, der auf das Angebot geklickt hat, den Boden unter den Füßen wegzuziehen. Jobangebote könnten eine ähnliche Dynamik hervorrufen – Mitarbeiter sind möglicherweise nicht dankbar für einen Chef, der testet, ob Mitarbeiter bereit wären, eine E-Mail zu öffnen, in der ihnen eine neue Beschäftigungsmöglichkeit angeboten wird.

Ein direkterer Ansatz ist es, schwierige Gespräche über Phishing zu führen und dabei das Unbehagen der Mitarbeiter mit dem Thema anzuerkennen, aber gleichzeitig eine offene Kommunikation zu fördern.

“Es ist besser, schwierige Gespräche transparent und direkt anzugehen, als undurchsichtig oder schräg darüber zu sein”, sagte Kevin O’Brien, CEO der E-Mail-Sicherheitsfirma GreatHorn. “Sie können sagen: ‘Wir wollen nicht, dass Sie gehen. Aber Sie sind ein Mensch, Sie werden wahrscheinlich nicht den Rest Ihres Lebens für dieses Unternehmen arbeiten, also kann es sein, dass Sie irgendwann mit einem Personalvermittler sprechen müssen. Und wenn Sie das tun, möchten wir, dass Sie sich dieses Risikos bewusst sind, denn sie werden etwas ausnutzen – einen Wunsch nach mehr Geld, Frustration mit Ihrem Job, eine Gelegenheit, die unglaublich erscheint.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com