Neue Cybergefahr für Firmen
Ist die Mail wirklich vom Chef?
Nun trifft es nicht mehr nur Prominente: Technologien für Deep-Fake und Social Engineering führen unmittelbar zum Cybercrime-Phänomen »Doxing«. Eine E-Mail vom CEO, die angeblich der Weitergabe von Firmen-Informationen erlaubt, sollte überprüft werden.
Ob simple E-Mail oder Deep-Fake: Sicherheitsforscher warnen vor einer neuen Cyberbedrohung für Unternehmen. Beim »Corporate Doxing« würden Methoden des bislang eher aus dem privaten Bereich bekannten Doxing im Kontext gezielter Angriffe genutzt. Derzeit beobachten Sicherheitsforscher besonders viele Attacken mit Hilfe gefälschter, geschäftlicher E-Mails. Gleichzeitig würden die Tricks zur Vortäuschung falscher Identitäten immer ausgefeilter. Täuschend echt werden Stimmen mithilfe künstlicher Intelligenz imitiert, etwa von Vorständen oder anderen hochrangigen Führungskräften, damit Mitarbeiter verleitet werden, vertrauliche Informationen preiszugeben oder Gelder zu überweisen. Diese Erkenntnisse gehen aus der Kaspersky-Analyse »Doxing in the corporate sector« hervor.
Nie war es so einfach wie heute, online Informationen wie Beschäftigungsstatus, Aufenthaltsort, bestimmte Vorlieben oder auch das private Umfeld einzelner Personen und auch Mitarbeitenden herauszufinden und diese Informationen etwa für eine Cyberattacke auszunutzen. Diese als Doxing bekannte Methode lässt sich auch als Business Email Compromise (BEC), gegen Unternehmen oder Organisationen einsetzen. Kaspersky-Sicherheitsforscher zählten allein im Monat Februar 2021 weltweit 1.646 BEC-Angriffe.
Anruf vom CEO: Echt oder nicht?
Neben BEC-Angriffen gibt es ein großes Repertoire an Möglichkeiten, Unternehmen mit Hilfe allgemein verfügbarer Informationen zu schädigen. Zu den üblichen und bekannten Methoden wie Phishing oder dem Erstellen von Unternehmensprofilen mit Hilfe von Daten-Leaks gesellen sich weitere kreative Ansätze, die neuesten Technologien zu nutzen.
Zu einer der beliebtesten Strategien für Corporate Doxing zählt der Identitätsdiebstahl, bei dem Doxer basierend auf der Sammlung von Informationen über einzelne Mitarbeitende deren Identität missbrauchen. Neue Technologien wie Deepfakes erleichtern die Durchführung solcher Initiativen, vorausgesetzt, es liegen bereits öffentliche Daten vor. Zum Beispiel könnte ein Deepfake-Video vorspiegeln, dass es von einem bestimmten Mitarbeiter stammt und darüber dem Ruf des Unternehmens schaden. Doxer bräuchten dafür lediglich öffentlich zugängliches Video-Material, das den tatsächlichen Zielmitarbeiter zeigt und grundlegende persönliche Informationen.
Sogar Stimmen könnten missbraucht werden. Durch künstliche Intelligenz und öffentlich zugängliche Sprachaufnahmen hochrangiger Personen ist es möglich, deren Stimme und Sprache hinsichtlich Klang, Intonation und eventuellem Akzent täuschend echt zu imitieren. Betrügerische Aufträge könnten durch den vermeintlichen Chef an Mitarbeitende telefonisch erteilt werden. »War Doxing bislang eher ein Thema für private Nutzer und Celebrities – wie die zahlreichen Skandale in Zusammenhang mit Sozialen Medien zeigen – stellt dieses Phänomen als Corporate Doxing inzwischen auch für vertrauliche Unternehmensdaten eine reale Gefahr dar, die nicht unterschätzt werden sollte«, warnt Roman Dedenok, Sicherheitsforscher bei Kaspersky. »Wie bei Privatpersonen kann das Doxing von Unternehmen finanzielle und Reputationsverluste nach sich ziehen. Je sensibler das erbeutete vertrauliche Informationsmaterial, desto größer der Schaden. Gleichzeitig können aber strenge Sicherheitsvorkehrungen der Unternehmen Doxing verhindern oder zumindest massiv eindämmen«, sagt Dedenok.
Tipps gegen Corporate Doxing
Alle Mitarbeiter anweisen, arbeitsrelevante Inhalte nur über die unternehmenseigenen Kommunikationsmittel und keinesfalls über externe Messenger auszutauschen, ist einer der Tipps vom Kaspersky-Sicherheitsteam. Außerdem sollten Mitarbeitende über potenzielle Cybergefahren aufgeklärt werden: Nur so lässt sich ein Bollwerk gegen das von Cyberkriminellen aggressiv genutzte Social Engineering errichten. Dazu bietet sich die Nutzung von Online-Trainings an. Elementare Cybergefahren müssen allen Mitarbeitenden bekannt sein. Nur so kann man sie abwehren. So sollte jedem Mitarbeitenden klar sein, dass Informationen nicht automatisch weitergegeben werden dürfen, nur weil eine E-Mail eines vermeintlichen Kollegen dazu auffordert. Vielmehr muss vorab die Echtheit der E-Mail überprüft werden, zum Beispiel durch Rückruf beim Absender. Unternehmen müssten laut Kaspersky die zahlreich vorhandenen Anti-Spam- und Anti-Phishing-Technologien auch wirklich einsetzen. Sie seien integraler Bestandteil von Unternehmenslösungen.
Lesen Sie mehr zum Thema
