Betrugsmasche mit Genehmigungsanfrage der Personalabteilung

Vorsicht ist beim Lesen dienstlicher Nachrichten unerlässlich, insbesondere da Cyberkriminelle immer häufiger interne Abteilungen imitieren, um an sensible Informationen zu gelangen. Ein aktuelles Beispiel hierfür ist der sogenannte HR Department Authorization Request Scam, eine Phishing-Attacke, die darauf abzielt, Zugangsdaten zu stehlen und Unternehmenssysteme zu kompromittieren.

Eine irreführende Nachricht, die sich als Personalwesen ausgibt

Die von Sicherheitsforschern untersuchten betrügerischen E-Mails geben sich als interne Mitteilungen der Personalabteilung eines Unternehmens aus. Sie sind als Aktualisierungen zu einer bevorstehenden Personalentwicklungsphase getarnt und behaupten, dass neue Vergütungsstrukturen, Änderungen der Urlaubsregelungen und Gehaltsanpassungen vom Empfänger geprüft werden müssten. Die Betreffzeile ähnelt oft „Anfrage an die Personalabteilung: Richtlinienaktualisierungen für 2025“, wobei der genaue Wortlaut variiert.

Trotz des überzeugenden Tons sind alle Behauptungen in diesen Nachrichten erfunden. Die E-Mails stammen weder vom Arbeitgeber des Empfängers noch von dessen Personalabteilung oder einem anderen seriösen Unternehmen, einer Organisation oder einem Dienstleister. Vielmehr dienen sie als Köder, um Empfänger auf Phishing-Seiten zu locken, die E-Mail-Anmeldeportale imitieren. Diese gefälschten Seiten sind darauf ausgelegt, Passwörter abzufangen und Betrügern vollen Zugriff auf Arbeitskonten zu ermöglichen.

Warum Cyberkriminelle es auf Arbeitskonten abgesehen haben

Der Zugriff auf ein Mitarbeiterkonto ist für Angreifer äußerst wertvoll. Geschäftskommunikation enthält häufig vertrauliche Daten, betriebliche Details, Finanzunterlagen und Zugangslinks zu internen Diensten. Sobald Kriminelle diese Zugangsdaten erlangt haben, können sie diese für direkte kriminelle Zwecke missbrauchen oder an andere Angreifer verkaufen.

Risiken durch kompromittierte Konten

• Offenlegung sensibler Geschäftsinformationen und erhöhtes Risiko von Malware-Ausbrüchen, einschließlich Ransomware- oder Trojanerinfektionen
• Unbefugter Zugriff auf verbundene Plattformen wie Cloud-Speicher, Dateiaustauschtools, Projektmanagementsysteme oder unternehmensinterne Social-Media-Konten

Mit den richtigen Zugriffsrechten können Betrüger sich als Opfer ausgeben, um Geld zu fordern, schädliche Dateien weiterzugeben oder betrügerische Inhalte an Kollegen, Partner und Kunden zu verbreiten.

Mögliche Folgen eines erfolgreichen Angriffs

• Finanzdiebstahl, betrügerische Transaktionen oder Missbrauch digitaler Geldbörsen
• Identitätsbetrug und Identitätsdiebstahl
• Langfristige Auswirkungen auf die Privatsphäre und potenzielle Datenschutzverletzungen in Unternehmen

Taktiken hinter diesen Phishing-E-Mails

Obwohl viele Menschen Spam-E-Mails mit offensichtlichen Fehlern erwarten, sind diese Betrugsversuche oft professionell gestaltet und formuliert. Sie imitieren bewusst den Tonfall und das Branding von Unternehmen, um authentisch zu wirken. Angreifer versenden solche E-Mails, um verschiedene Betrugsformen zu fördern und Schadsoftware über schädliche Anhänge oder eingebettete Links zu verbreiten.

Die in diesen Kampagnen verwendeten Schadprogramme können ausführbare Programme, Archive, Dokumente, JavaScript-Dateien oder andere Formate umfassen. Einige werden beim Öffnen automatisch aktiviert, während andere eine Interaktion erfordern, beispielsweise das Aktivieren von Makros in Office-Dateien oder das Klicken auf eingebettete Elemente in OneNote-Dokumenten.

Was geschieht mit den Opfern?

Wer auf den Betrug mit gefälschten HR-Zugangsdaten hereinfällt, riskiert weitreichende Schäden. Gestohlene Zugangsdaten ermöglichen es Kriminellen, in größere Netzwerke einzudringen, weitere Daten zu stehlen und Schadsoftware zu verbreiten. Zu den Folgen zählen häufig Datenschutzverletzungen, Systemkompromittierung, finanzielle Verluste und Identitätsdiebstahl.

Falls jemand bereits seine Kontodaten weitergegeben hat, ist sofortiges Handeln erforderlich. Es wird dringend empfohlen, die Passwörter aller potenziell betroffenen Konten zu aktualisieren und die offiziellen Supportteams der jeweiligen Dienste zu kontaktieren.

Auch bei E-Mails, die routinemäßig erscheinen oder aus internem Umfeld stammen, ist Wachsamkeit geboten; dies ist eine der wirksamsten Verteidigungsmaßnahmen gegen moderne Phishing-Bedrohungen.