"Weihnachtsbonus" war nur ein Test: US-Firma legt Mitarbeiter rein

Schlagzeilen

Alle

Jäger aßen Zombie-Hirsche – tot

Russland hinter Hackerangriff

TV-Premiere beim Bayern-Kracher

Model zeigt nackten Po bei Preisverleihung

Orang-Utan greift zum Natur-Heilmittel

Wetter: Heftige Gewitter drohen

Mit 20 Jahren: Cricket-Jungstar tot

"Let's Dance": Promi steigt vorzeitig aus

15-Jähriger auf Schulweg verschwunden

Sex-Verbot: GNTM-Kandidaten droht Strafe

Alkoholisierter Experte interviewt BVB-Star

Trump-Freundin mit peinlichem Eigentor

Fesselndstes Strategiespiel des Jahres

Alle Schlagzeilen anzeigen

"Weihnachtsbonus" war nur ein Test
US-Firma legt Mitarbeiter mit fieser Phishing-Mail rein

Von t-online, str

Aktualisiert am 26.12.2020Lesedauer: 3 Min.

Logos der Internetfirma GoDaddy auf einem Bildschirm: Die US-Firma hat ihren Mitarbeitern eine fiese Phishing-Mail geschickt. (Quelle: Mike Blake/Reuters-bilder)

News folgen

Mit sogenannten "Penetrationtests" versuchen Unternehmen, ihre IT-Systeme regelmäßig auf potenzielle Schwachstellen abzuklopfen. Im Grunde ist das eine gute Idee. In den USA ist eine Firma dabei aber jetzt einen Schritt zu weit gegangen.

Nach einem fragwürdigen Sicherheits-Check, bei dem die eigenen Mitarbeiter als ahnungslose Testpersonen herhalten mussten, steht das Internetunternehmen GoDaddy derzeit massiv in der Kritik. Dafür sorgt ein Bericht der Lokalnachrichtenseite "The Copper Courier" aus dem US-Bundesstaat Arizona, in dem der bekannte Webhosting-Service seinen Hauptsitz hat. Demzufolge erhielten die Mitarbeiter eine E-Mail, in der ihnen im Namen des Arbeitgebers ein Weihnachtsbonus versprochen wurde. Doch das war eine Falle – und rund 500 Betroffene sind hineingetappt.

Diese E-Mail kommt nicht von der Telekom

US-Familien leiden massiv unter der Corona-Krise

"2020 war dank euch ein Rekordjahr für GoDaddy!" hieß es in der Nachricht im Stil einer Weihnachtsgrußkarte mit dem Absender "Happyholiday@Godaddy.com". Als Dankeschön und als Ersatz für die ausgefallene Weihnachtsfeier winke den Beschäftigen nun ein Sonderbonus in Höhe von 650 US-Dollar. "Um sicherzustellen, dass Sie diesen einmaligen Bonus rechtzeitig vor den Feiertagen erhalten, wählen Sie bitte Ihren Standort aus und füllen Sie die Felder bis Freitag, dem 18. Dezember aus", so der Mail-Text. Dieser Aufforderung kamen viele Mitarbeiter gerne nach – schließlich war 2020 für viele Menschen in den USA aufgrund der Corona-Krise ein besonders schweres Jahr.

Zwei Tage später erhielten die Betroffenen jedoch eine zweite Mail – dieses Mal vom Sicherheitschef des Unternehmens – , in der ihnen mitgeteilt wurde, dass sie im "Phishing-Test" durchgefallen seien. Den unfreiwilligen Testpersonen wird nun ein Pflichtkurs in IT-Sicherheit aufs Auge gedrückt.

Gefoppte Mitarbeiter wenden sich empört an die Presse

Tatsächlich sind solche Sicherheitstests – im Fachjargon auch Pentests oder Penetrationtests genannt – in Unternehmenskreisen üblich. Firmen wollen damit mögliche Schwachstellen aufspüren und die Mitarbeiter zur Wachsamkeit erziehen. Hacker und Internetkriminelle tarnen sich gerne als Firmenangehörige, Partner oder Vorgesetzte und versuchen, die Mitarbeiter zur Herausgabe von Benutzerkennungen und Passwörtern zu verführen.

Doch die Aktion mit dem falschen Weihnachtsbonus fanden die betroffenen Mitarbeiter offenbar alles andere als angemessen. Empört wandten sie sich an die Presse und machten das Verhalten ihres Arbeitgebers publik. Das Unternehmen selbst hat sich noch nicht dazu geäußert.

Allerdings ist die Internetfirma auch nicht die erste in diesem Jahr, die ein falsches Bonus-Versprechen als Köder für eine simulierte Phishing-Kampagne benutzt hat. "The Copper Courier" verweist auf einen Zeitungsverlag aus Arizona, der einen ähnlichen Trick angewendet haben soll – und dafür ebenfalls von seinen Mitarbeitern öffentlich an den Pranger gestellt wurde. Der Verlag entschuldigte sich daraufhin.

Phishing-Attacken können schwerwiegende Folgen haben

Phishing-Mails stellen eins der größten Sicherheitsrisiken für Unternehmen dar. Immer wieder werden Fälle bekannt, in denen Mitarbeiter großer Firmen auf harmlos aussehende Links oder Mail-Anhänge klickten – und dadurch einen Malware-Befall auslösten, der mitunter ganze IT-Systeme für lange Zeit außer Gefecht setzen kann. Für die betroffenen Firmen bedeutet das einen erheblichen wirtschaftlichen Schaden.

Allein in diesem Jahr waren unter anderem der Hersteller von Fitnesstrackern Garmin von einer Ransomeware-Attacke betroffen. Am Uniklinikum in Düsseldorf konnten im September nach einem Hackerangriff zum Teil keine Notfälle behandelt werden. Kurz vor Weihnachten fiel schließlich in der Funke-Verlagsgruppe die IT aus – auch hier besteht der Verdacht, dass es sich um einen Ransomeware-Angriff handelt. Auch die öffentliche Verwaltung wird immer wieder von Hackern ins Visier genommen: Im Herbst 2019 wurde das Kammergericht Berlin durch die Trojaner-Software Emotet monatelang lahmgelegt. Sicherheitsbehörden warnen, dass sie derzeit wieder verstärkt aktiv ist.

Abzocke im Netz: Quiz: Erkennen Sie die Betrugs-E-Mails?

Spam-Kampagne gesichtet: Gefährlicher Trojaner Emotet ist wieder aktiv

Vorsicht, Phishing!: Woran Sie Betrugs-Mails sofort erkennen

GoDaddy selbst hatte im Mai mit einem Datenleck zu kämpfen, bei dem die Daten von 28.000 Kunden in falsche Hände gerieten. Das Internetunternehmen hat nach eigenen Angaben 20 Millionen Kunden.

Verwendete Quellen