Nach einem fragwürdigen Sicherheits-Check, bei dem die eigenen Mitarbeiter als ahnungslose Testpersonen herhalten mussten, steht das Internetunternehmen GoDaddy derzeit massiv in der Kritik. Dafür sorgt ein Bericht der Lokalnachrichtenseite «The Copper Courier» aus dem US-Bundesstaat Arizona, in dem der bekannte Webhosting-Service seinen Hauptsitz hat. Demzufolge erhielten die Mitarbeiter eine E-Mail, in der ihnen im Namen des Arbeitgebers ein Weihnachtsbonus versprochen wurde. Doch das war eine Falle – und rund 500 Betroffene sind hineingetappt.
«2020 war dank euch ein Rekordjahr für GoDaddy!» hiess es in der Nachricht im Stil einer Weihnachtsgrusskarte mit dem Absender «Happyholiday@Godaddy.com». Als Dankeschön und als Ersatz für die ausgefallene Weihnachtsfeier winke den Beschäftigen nun ein Sonderbonus in Höhe von 650 US-Dollar. «Um sicherzustellen, dass Sie diesen einmaligen Bonus rechtzeitig vor den Feiertagen erhalten, wählen Sie bitte Ihren Standort aus und füllen Sie die Felder bis Freitag, dem 18. Dezember aus», so der Mail-Text. Dieser Aufforderung kamen viele Mitarbeiter gerne nach – schliesslich war 2020 für viele Menschen in den USA aufgrund der Corona-Krise ein besonders schweres Jahr.
Zwei Tage später erhielten die Betroffenen jedoch eine zweite Mail – dieses Mal vom Sicherheitschef des Unternehmens – , in der ihnen mitgeteilt wurde, dass sie im «Phishing-Test» durchgefallen seien. Den unfreiwilligen Testpersonen wird nun ein Pflichtkurs in IT-Sicherheit aufs Auge gedrückt.
Tatsächlich sind solche Sicherheitstest – im Fachjargon auch Pen-Test oder Penetration-Test genannt – in Unternehmenskreisen üblich. Firmen wollen damit mögliche Schwachstellen aufspüren und die Mitarbeiter zur Wachsamkeit erziehen. Hacker und Internetkriminelle tarnen sich gerne als Firmenangehörige, Partner oder Vorgesetzte und versuchen die Mitarbeiter zur Herausgabe von Nutzerkennungen und Passwörtern zu verführen.
Doch die Aktion mit dem falschen Weihnachts-Bonus fanden die betroffenen Mitarbeiter offenbar alles andere als angemessen. Empört wandten sie sich an die Presse und machten das Verhalten ihres Arbeitgebers publik. Das Unternehmen selbst hat sich noch nicht dazu geäussert.
Allerdings ist die Internetfirma auch nicht die erste in diesem Jahr, die ein falsches Bonus-Versprechen als Köder für eine simulierte Phishing-Kampagne benutzt hat. «The Copper Courier» verweist auf einen Zeitungsverlag aus Arizona, der einen ähnlichen Trick angewendet haben soll – und dafür ebenfalls von seinen Mitarbeitern öffentlich an den Pranger gestellt wurde. Der Verlag entschuldigte sich daraufhin.
Phishing-Mails stellen eins der grössten Sicherheitsrisiken für Unternehmen dar. Immer wieder werden Fälle bekannt, in denen Mitarbeiter grosser Firmen auf harmlos aussehende Links oder Mail-Anhänge klickten – und dadurch einen Malware-Befall auslösten, der mitunter ganze IT-Systeme für lange Zeit ausser Gefecht setzen kann. Für die betroffenen Firmen bedeutet das einen erheblichen wirtschaftlichen Schaden.
Allein in diesem Jahr waren unter anderem der Hersteller von Fitnesstrackern Garmin von einer Ransomeware-Attacke betroffen . Am Uniklinikum in Düsseldorf konnten im September nach einem Hackerangriff zum Teil keine Notfälle behandelt werden . Kurz vor Weihnachten fiel schliesslich in der Funke-Verlagsgruppe die IT aus – auch hier besteht der Verdacht, dass es sich um einen Ransomeware-Angriff handelt . Auch die öffentliche Verwaltung wird immer wieder von Hackern ins Visier genommen: Im Herbst 2019 wurde das Kammergericht Berlin durch die Trojaner-Software Emotet monatelang lahmgelegt. Sicherheitsbehörden warnen, dass sie derzeit wieder verstärkt aktiv ist .
GoDaddy selbst hatte im Mai mit einem Datenleck zu kämpfen, bei dem die Daten von 28'000 Kunden in falsche Hände gerieten. Das Internetunternehmen hat nach eigenen Angaben 20 Millionen Kunden.
Verwendete Quellen:
(str/t-online/bal)
Auch bei uns ih der Bude hat es sich gezeigt: sobald die Phishing Mails nur halbwegs legitim aussehen, fallen bis zu 20% der Leute drauf rein. Holy shit!