IT-Sicherheit

New-Starter-Phishing

Social Engineering bei Xing und LinkedIn

von 18.01.2023
zu sehen ist ein Mann vor seinem Laptop an einem Schreibtisch, der lächelnd einen Kaffee trinkt. Thema ist das New-Starter-Phishing. Bild: Pexels/Andrea Piacquadio

Mit New-Starter-Phishing haben Cyberkriminelle und Hacker eine neue Social-Engineering-Methode gefunden, um sich unbefugt Zugang zu sensiblen Daten oder gar ganzen Systemen zu machen. 

Wie New-Starter-Phishing funktioniert und was der vergangene Jahreswechsel damit zu tun hat, verraten wir jetzt.

New-Starter-Phishing – der Jobwechsel als Türöffner

Ist es Ihnen auch aufgefallen? Pünktlich zum 1. Januar eines jeden Jahres erhöht sich signifikant die Anzahl der Kontakte, die in Berufsnetzwerken Xing und LinkedIn ihren Jobwechsel bekannt geben. Grundsätzlich passiert das natürlich auch in jedem anderen Monat, aber aufgrund verlängerter Kündigungsfristen, Freistellungszeiten und der allgemeinen „Neues Jahr, neues Glück, neuer Job“-Euphorie, ist der Januar besonders geprägt von derartigen Meldungen. Und das wissen auch Cyberkriminelle, die jetzt mit dem so genannten New-Starter-Phishing ihr Portfolio an Social-Engineering-Methoden erweitert haben.

Datendiebe und Hacker nutzen dabei nicht nur die gezielt die Freude über den neuen Job und das Mitteilungsbedürfnis aus, sondern vielmehr das naturgemäße Unwissen des frischen Neuzugangs über die Abläufe und Prozesse bei seinem neuen Arbeitgeber. Im Folgenden verraten wir Ihnen im Detail, wie die neue Masche funktioniert und weshalb sie so erfolgreich ist.

zu sehen ist ein Laptop, auf dessen Bildschirm die Facebook Startseite geöffnet ist. Thema des Artikels ist das New-Starter-Phishing auf sozialen Netzwerken wie Linkedin und Xing. Bild: Pexels/Tobias Dziuba

Schon längst ist nicht mehr nur vornehmlich Facebook von Social Engineering betroffen. Bild: Pexels/Tobias Dziuba

Xing und LinkedIn – Social Engineering auch in Job-Netzwerken

Wer bislang dachte, Social Engineering im Allgemeinen und Phishing im Besonderen sei vornehmlich auf Facebook oder Instagram beschränkt, der irrt. Und genau das ist auch einer der Erfolgsfaktoren hinter der steigenden Anzahl an Attacken innerhalb bzw. durch die beruflichen Netzwerke: Man rechnet einfach nicht damit.

Zudem sind viele Nutzer von Xing und LinkedIn der Meinung, dass sie wenig bis keine privaten Informationen in diesen speziellen Netzwerken teilen. Das ist auch nicht generell nicht falsch, jedoch reicht einigen Cyberkriminellen allein schon die bloße Information über einen Jobwechsel aus, um an ihr Ziel zu gelangen. Denn sie wissen: Der neue Mitarbeiter kann und wird noch nicht alles über seinen neuen Arbeitgeber wissen. Ob es nun die Namen sämtlicher Kollegen sind oder Interna wie Freigabeprozesse innerhalb der Buchhaltung. Und genau das nutzen die Phishing-Spezialisten gnadenlos aus.

Soziale Netzwerke – die beste Informationsquelle für Cyberkriminelle

Zunächst einmal leisten die Hacker entsprechende Recherche-Arbeit. Sie sammeln alle Informationen, die sie kriegen und in den sozialen Netzwerken finden können. Beim New-Starter-Phishing sind das vornehmlich der Name, Sitz und Struktur des Unternehmens sowie das Eintrittsdatum, die Job-Bezeichnung bzw. Position und die Abteilung des neuen Mitarbeiters. Das restliche Internet leistet unbewusst einen weiteren Beitrag. In Windeseile lässt sich das Logo von der Firmenwebseite kopieren oder der Aufbau der geschäftlichen E-Mails herausfinden.

Anschließend ist Bastelarbeit angesagt. Die Cyberkriminellen fälschen täuschend echt aussehende E-Mails, die scheinbar aus dem Unternehmen bzw. von den neuen Kollegen stammen. Der Mitarbeiter, der frisch angefangen hat, wird mit hoher Wahrscheinlichkeit nicht wissen können, dass beispielsweise der Absender so gar nicht existiert oder die in der Nachricht verlangte Aufgabe/Forderung nicht den eigentlichen Prozessen entspricht. Derartige Phishing-Mails versprechen daher eine besonders hohe Erfolgsquote.

Ein Mann schlägt am PC die Hände über dem Kopf zusammen; er ist auf eine Phishing-Mail hereingefallen. Er muss sein Security Awareness schulen. Bild: Pexels/RODNAE Productions

Auf eine Phishing-Mail hereingefallen? Trainings zur Security Awareness verhindern das. Bild: Pexels/RODNAE Productions

New-Starter-Phishing – bestens für CEO-Fraud geeignet

Besonders der so genannte CEO-Fraud ist ein hohes Risiko in Verbindung mit neuen Mitarbeitern. Hier geben sich die Cyberkriminellen mit Hilfe gefälschter E-Mail-Adressen und Signaturen direkt als Big Boss aus. Und besonders Mitarbeiter, die gerade erst im Unternehmen angefangen haben, wagen es kaum, Anweisungen aus der obersten Chef-Etage in Frage zu stellen.

Im schlimmsten Fall kann es passieren, dass der neue Kollege aus der Buchhaltung auf vermeintlichen Wunsch des Chefs hohe Überweisungen ins Ausland vornimmt. Klingt nicht sehr realistisch, meinen Sie? Tatsächlich ist das auch schon denen passiert, die es eigentlich am besten wissen müssten, weil sie selbst über derartige Betrugsmaschen berichten, wie beispielsweise dem Tech-News-Magazin t3n.

Aber auch andere Szenarien sind denkbar. Beispielsweise Nachrichten, die augenscheinlich aus der Personalabteilung stammen. Hier wird der neue Mitarbeiter aufgefordert, wichtige Unterlagen zur Einarbeitung herunterzuladen. Klickt er auf den Link, installiert er unbemerkt Mal- oder Spyware. Oder er wird vorab aufgefordert, sich mit seinen Firmen-Zugangsdaten auf einem gefälschten Download-Portal anzumelden, wodurch die Hacker an firmeninterne Zugangsdaten gelangen.

Bestmöglicher Schutz vor Cyberattacken und Social Engineering

Sie sehen: Die Freude über die Einstellung neuer Mitarbeiter bringt heutzutage leider automatisch Risiken für die IT-Sicherheit mit sich. Was dagegen helfen kann? Beispielsweise regelmäßige Security Awareness Trainings und natürlich ein professionelles Anti-Virus- sowie Firewall-Management.

Unsere Experten aus dem IT-SERVICE.NETWORK stehen Unternehmen aller Größen und Branchen diesbezüglich gern zur Verfügung. Unsere erfahrenen IT-Dienstleister wissen genau, welche Methoden und Schlupflöcher Cyberkriminelle erfolgreich ausnutzen und helfen Ihnen dabei, diese Sicherheitslücken zu schließen. Am Ende des Tages ist und bleibt es jedoch wichtig, den Faktor Mensch nie zu vergessen. Durch die Sensibilisierung und das Etablieren von festen Prozess-Regeln – beispielsweise bezüglich Freigaben und Weisungsbefugnissen – lässt sich zumindest ein Großteil der bekannten Social Engineering Szenarien erfolgreich verhindern.


Weiterführende Links:
ZDnet, t3n

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit 2013 kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content-Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

New-Starter-Phishing

Social Engineering bei Xing und LinkedIn

von • 18.01.2023

Mit New-Starter-Phishing haben Cyberkriminelle und Hacker eine neue Social-Engineering-Methode gefunden, um sich unbefugt Zugang zu sensiblen Daten oder gar ganzen Systemen zu machen.  Wie New-Sta...

Weiterlesen
IT-Sicherheit

Patchday

Sicherheitsupdates für Software & Betriebssystem

von • 11.01.2023

Der Begriff Patchday taucht Monat für Monat in den IT-Fachmedien auf. Doch wissen Sie, was damit gemeint ist? Und ob diese Aktionstage für die IT-Sicherheit in Ihrem Unternehmen berücksichtig werde...

Weiterlesen
IT-Sicherheit

Time Bomb Malware

Erpressertrojaner als tickende Zeitbomben

von • 09.01.2023

Eine Time Bomb Malware ist – wie der Name schon sagt – eine tickende Zeitbombe. Im Gegensatz zu klassischer Malware offenbart sie Zweck und Ziel nicht sofort – und genau das macht sie so gefähr...

Weiterlesen