IT-Sicherheit

New-Starter-Phishing

Social Engineering bei Xing und LinkedIn

von 18.01.2023
zu sehen ist ein Mann vor seinem Laptop an einem Schreibtisch, der lächelnd einen Kaffee trinkt. Thema ist das New-Starter-Phishing. Bild: Pexels/Andrea Piacquadio
Die Freude über den neuen Job kann leider der Grund für New-Starter-Phishing sein. Bild: Pexels/Andrea Piacquadio

Mit New-Starter-Phishing haben Cyberkriminelle und Hacker eine neue Social-Engineering-Methode gefunden, um sich unbefugt Zugang zu sensiblen Daten oder gar ganzen Systemen zu machen. 

Wie New-Starter-Phishing funktioniert und was der vergangene Jahreswechsel damit zu tun hat, verraten wir jetzt.

New-Starter-Phishing – der Jobwechsel als Türöffner

Ist es Ihnen auch aufgefallen? Pünktlich zum 1. Januar eines jeden Jahres erhöht sich signifikant die Anzahl der Kontakte, die in Berufsnetzwerken Xing und LinkedIn ihren Jobwechsel bekannt geben. Grundsätzlich passiert das natürlich auch in jedem anderen Monat, aber aufgrund verlängerter Kündigungsfristen, Freistellungszeiten und der allgemeinen „Neues Jahr, neues Glück, neuer Job“-Euphorie, ist der Januar besonders geprägt von derartigen Meldungen. Und das wissen auch Cyberkriminelle, die jetzt mit dem so genannten New-Starter-Phishing ihr Portfolio an Social-Engineering-Methoden erweitert haben.

Datendiebe und Hacker nutzen dabei nicht nur die gezielt die Freude über den neuen Job und das Mitteilungsbedürfnis aus, sondern vielmehr das naturgemäße Unwissen des frischen Neuzugangs über die Abläufe und Prozesse bei seinem neuen Arbeitgeber. Im Folgenden verraten wir Ihnen im Detail, wie die neue Masche funktioniert und weshalb sie so erfolgreich ist.

zu sehen ist ein Laptop, auf dessen Bildschirm die Facebook Startseite geöffnet ist. Thema des Artikels ist das New-Starter-Phishing auf sozialen Netzwerken wie Linkedin und Xing. Bild: Pexels/Tobias Dziuba

Schon längst ist nicht mehr nur vornehmlich Facebook von Social Engineering betroffen. Bild: Pexels/Tobias Dziuba

Xing und LinkedIn – Social Engineering auch in Job-Netzwerken

Wer bislang dachte, Social Engineering im Allgemeinen und Phishing im Besonderen sei vornehmlich auf Facebook oder Instagram beschränkt, der irrt. Und genau das ist auch einer der Erfolgsfaktoren hinter der steigenden Anzahl an Attacken innerhalb bzw. durch die beruflichen Netzwerke: Man rechnet einfach nicht damit.

Zudem sind viele Nutzer von Xing und LinkedIn der Meinung, dass sie wenig bis keine privaten Informationen in diesen speziellen Netzwerken teilen. Das ist auch nicht generell nicht falsch, jedoch reicht einigen Cyberkriminellen allein schon die bloße Information über einen Jobwechsel aus, um an ihr Ziel zu gelangen. Denn sie wissen: Der neue Mitarbeiter kann und wird noch nicht alles über seinen neuen Arbeitgeber wissen. Ob es nun die Namen sämtlicher Kollegen sind oder Interna wie Freigabeprozesse innerhalb der Buchhaltung. Und genau das nutzen die Phishing-Spezialisten gnadenlos aus.

Soziale Netzwerke – die beste Informationsquelle für Cyberkriminelle

Zunächst einmal leisten die Hacker entsprechende Recherche-Arbeit. Sie sammeln alle Informationen, die sie kriegen und in den sozialen Netzwerken finden können. Beim New-Starter-Phishing sind das vornehmlich der Name, Sitz und Struktur des Unternehmens sowie das Eintrittsdatum, die Job-Bezeichnung bzw. Position und die Abteilung des neuen Mitarbeiters. Das restliche Internet leistet unbewusst einen weiteren Beitrag. In Windeseile lässt sich das Logo von der Firmenwebseite kopieren oder der Aufbau der geschäftlichen E-Mails herausfinden.

Anschließend ist Bastelarbeit angesagt. Die Cyberkriminellen fälschen täuschend echt aussehende E-Mails, die scheinbar aus dem Unternehmen bzw. von den neuen Kollegen stammen. Der Mitarbeiter, der frisch angefangen hat, wird mit hoher Wahrscheinlichkeit nicht wissen können, dass beispielsweise der Absender so gar nicht existiert oder die in der Nachricht verlangte Aufgabe/Forderung nicht den eigentlichen Prozessen entspricht. Derartige Phishing-Mails versprechen daher eine besonders hohe Erfolgsquote.

Ein Mann schlägt am PC die Hände über dem Kopf zusammen; er ist auf eine Phishing-Mail hereingefallen. Er muss sein Security Awareness schulen. Bild: Pexels/RODNAE Productions

Auf eine Phishing-Mail hereingefallen? Trainings zur Security Awareness verhindern das. Bild: Pexels/RODNAE Productions

New-Starter-Phishing – bestens für CEO-Fraud geeignet

Besonders der so genannte CEO-Fraud ist ein hohes Risiko in Verbindung mit neuen Mitarbeitern. Hier geben sich die Cyberkriminellen mit Hilfe gefälschter E-Mail-Adressen und Signaturen direkt als Big Boss aus. Und besonders Mitarbeiter, die gerade erst im Unternehmen angefangen haben, wagen es kaum, Anweisungen aus der obersten Chef-Etage in Frage zu stellen.

Im schlimmsten Fall kann es passieren, dass der neue Kollege aus der Buchhaltung auf vermeintlichen Wunsch des Chefs hohe Überweisungen ins Ausland vornimmt. Klingt nicht sehr realistisch, meinen Sie? Tatsächlich ist das auch schon denen passiert, die es eigentlich am besten wissen müssten, weil sie selbst über derartige Betrugsmaschen berichten, wie beispielsweise dem Tech-News-Magazin t3n.

Aber auch andere Szenarien sind denkbar. Beispielsweise Nachrichten, die augenscheinlich aus der Personalabteilung stammen. Hier wird der neue Mitarbeiter aufgefordert, wichtige Unterlagen zur Einarbeitung herunterzuladen. Klickt er auf den Link, installiert er unbemerkt Mal- oder Spyware. Oder er wird vorab aufgefordert, sich mit seinen Firmen-Zugangsdaten auf einem gefälschten Download-Portal anzumelden, wodurch die Hacker an firmeninterne Zugangsdaten gelangen.

Bestmöglicher Schutz vor Cyberattacken und Social Engineering

Sie sehen: Die Freude über die Einstellung neuer Mitarbeiter bringt heutzutage leider automatisch Risiken für die IT-Sicherheit mit sich. Was dagegen helfen kann? Beispielsweise regelmäßige Security Awareness Trainings und natürlich ein professionelles Anti-Virus- sowie Firewall-Management.

Unsere Experten aus dem IT-SERVICE.NETWORK stehen Unternehmen aller Größen und Branchen diesbezüglich gern zur Verfügung. Unsere erfahrenen IT-Dienstleister wissen genau, welche Methoden und Schlupflöcher Cyberkriminelle erfolgreich ausnutzen und helfen Ihnen dabei, diese Sicherheitslücken zu schließen. Am Ende des Tages ist und bleibt es jedoch wichtig, den Faktor Mensch nie zu vergessen. Durch die Sensibilisierung und das Etablieren von festen Prozess-Regeln – beispielsweise bezüglich Freigaben und Weisungsbefugnissen – lässt sich zumindest ein Großteil der bekannten Social Engineering Szenarien erfolgreich verhindern.


Weiterführende Links:
ZDnet, t3n

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen