Versucht ein Hacker in das Netzwerk eines Unternehmens einzudringen, besteht einer seiner ersten Schritte für gewöhnlich darin, die Emailadresse des CEOs zu fälschen oder gleich dessen Emailkonto zu kapern. Dies hat einen einfachen Grund. Hat er Zugriff auf Emails, die denen des CEOs täuschend ähnlichsehen oder sogar von dessen Konto selbst stammen, kann er CEO-Fraud begehen. Das weitere Vordringen ins Unternehmensnetzwerk gestaltet sich für ihn dann zum Kinderspiel.
Denn nun kann er – unter Zuhilfenahme von Social Engineering-Methoden – eine Spear-Phishing-Attacke auf die rangniederen Mitarbeiter des Unternehmens starten. Haben diese dann kein umfassendes Security Awareness-Training durchlaufen, haben sie praktisch keine Chance, seinen Manipulationsversuchen erfolgreich zu widerstehen. Problemlos kann der Cyberkriminelle dann Überweisungen anordnen oder sich streng vertrauliche Informationen zustellen lassen. Ein echtes Problem – das jedoch längst auch auf die Emailadressen von rangniederen Mitarbeitern übergegriffen hat. Cyberkriminelle recherchieren die Emailadressen, dieser Mitarbeiter, entwickeln auf deren Basis leicht abgefälschte neue Emailadressen und nutzen diese dann, um deren Kollegen über einen Domain-Spoof-Angriff zu manipulieren.
Je mehr Emailadressen Ihres Unternehmens im Internet öffentlich einsehbar sind, umso größer Ihr Risiko, dass Cyberkriminelle diese entdecken und für einen solchen Domain Spoof-Angriff missbrauchen. Oft ist Unternehmen gar nicht bekannt, wie viele Emailadressen der eigenen Mitarbeiter über das Internet eingesehen werden können. Dabei kann ein Cyberkrimineller diese leicht nutzen, um Mitarbeitern eine Email zu senden, die angeblich von einem Kollegen der Personalabteilung, dem CEO oder vielleicht aus der Poststelle kommt. Mit Social Engineering-Methoden werden die Mitarbeiter dann dazu bewegt, auf einen in der Email aufgeführten Link zu klicken oder relevante Informationen preis zu geben. Möchten Sie wissen, ob auch Ihre Domain anfällig für solche Täuschungsversuche ist?
Registrieren Sie Sich jetzt für Ihren gratis Domain Spoof-Test
Finden Sie heraus, ob auch Ihre Domain für einen solchen Täuschungsversuch missbraucht werden kann. Der Domain Spoof-Test (DST) ist ein – einmalig kostenloser – Service von KnowBe4. Beantragen Sie den DST, decken sie alle eventuell noch bestehenden Konfigurationsprobleme Ihres Mailservers auf und beheben Sie sie. Anmerkung: Das DST-Angebot richtet sich ausschließlich an Verantwortliche der Emailsicherheit innerhalb einer Organisation. Eine gültige Emailadresse der Unternehmensdomain wird benötigt. Emailadressen von Gmail, AOL, Yahoo oder anderen Internet Service Providern können nicht getestet werden.
