Alle Apple-Produkte mit 20 % Rabatt!
Da schlag ich zu – das Angebot gilt nur für
LANXESS-Mitarbeitende. Stimmt das?
Ja klar, steht doch in der Mail von „Corporate Benefits“…
Wer träumt nicht von solchen Rabatten auf die heiß begehrten neuen iPhones, iPads & Co? Aber hat man so etwas schon einmal gesehen? Ist es realistisch, dass ein Konzern wie Apple eine solche exklusive Kooperation mit einem Chemieunternehmen wie LANXESS eingeht? Und was hat Apple davon? Schon ist klar: Das kann nur Betrug sein. Und das war es auch – eine Phishing-Mail, lanciert von unserem Information-Security-Team, um uns wachsam zu machen. Übrigens auch für Tippfehler: Der Absender ist falsch geschrieben: „Corporate Benefts“. Ebenfalls typisch für Cyberkriminelle.
„Wir wollten mit dieser Aktion für die
kriminellen Tricks sensibilisieren“, sagt Timo Kukuk, Chief Information
Security Officer, GF Lex. LANXESS ist täglich Cyber-Angriffen ausgesetzt. Doch
Phishing-Mails richten sich direkt an die Mitarbeitenden. Und was die im
Einzelnen erhalten und in möglichen Interaktionen preisgeben, entzieht sich der
Kenntnis der Experten, sofern keine Meldung erfolgt. „Deshalb ist es so
wichtig, dass alle aufmerksam sind und Verdächtiges direkt über Outlook an uns
weiterleiten“, sagt Kukuk (Stichwort Outlook: siehe Infobox). Die Täter
arbeiten oft mit typischen Versatzstücken. Zum Beispiel: Das Angebot ist
begehrenswert, der Empfänger ausgesucht und es herrscht Zeitdruck („gilt nur
für kurze Zeit“). Die Kriminellen wollen an die Passwörter der Nutzer gelangen
oder den Schadcode direkt auf dem System platzieren und so tiefer in das
IT-Netz von
LANXESS eindringen. Es gab noch zwei weitere Phishing-Aktionen, die von der
Informationssicherheit initiiert wurden. Einmal ging es um die Verifizierung
eines Accounts, zu der ein angeblicher Team-Support aufrief, und einmal um
einen angeblichen Lotteriegewinn im Rahmen der QIM.
Ziel von Kukuk ist es, dass Phishing-Aktionen bei keinem Mitarbeitenden mehr Erfolg haben. Das ist zwar noch nicht gelungen, aber bei allen drei Aktionen fielen weit weniger als die Hälfte der Mitarbeitenden darauf herein.
Tipps und Termine
Unsicher? Direkt melden!
Wer bei einer Mail ein unsicheres Gefühl hat,
sollte sie direkt melden. In Outlook gibt es im Menüband den Punkt „Nachricht
melden“: aufklappen und unter Phishing die Mail absenden. Die Antwort kommt
automatisiert als E-Mail. War die gemeldete Mail harmlos, liegt sie im
„Gelöschte Elemente“-Ordner und steht zur freien Verfügung. Wenn die Mail einen
kriminellen Hintergrund hatte, profitieren alle von der Meldung, denn sie wird
in allen Mailboxen unschädlich gemacht. Nähere Informationen zu dem Prozess
erhalten Sie auch im Knowledge-Portal, wenn Sie nach „Umgang mit verdächtigen
E-Mails“ suchen.
Weitere Aktionen geplant, drei Pflichttermine
Um weiter für dieses aber auch andere Themen der Informationssicherheit zu sensibilisieren, starten im Mai neue Online-Trainings mit den ersten vier Modulen, an denen alle teilnehmen müssen. Im Sommer und Herbst werden weitere Module ergänzt.