Hallo zusammen, erst mal sorry für die komische Anfrage aber hier sind genau die Experten für so was: Wir haben einen IT-Leiter, Spitzname Diktator, Motto "ausser mir sind alle dumm" Wir hatten intern massive Sicherheitsprobleme die zu 99,9% auf alte / schlecht administrierte Serverstruktur zurück zu führen ist Er präsentiert das Problem nach oben gerne als "User-Problem", die dummen Mitarbeiter sind schuld an allem, er ist fein raus Neueste Idee: eine externe Firma beauftragen, die absichtlich Phishing-Mails an die Mitarbeiter schickt um aufzuzeigen wie dumm diese sind Ich würde jetzt gerne ihm eine / mehrere solcher Phishing-Mails schicken, mal schauen wie gut er wirklich ist Kennt jemand was Gutes? Mit Sondergewinn, Potenzpillen usw braucht man sicher nicht ankommen... wie stellt man so was am Besten an? Bin auch gerne bereit eine Domain irgendwo zu registrieren...
...bei uns wurde mal eine Mail mit einem Betreff ala "Zielerreichung und Bonus 2020" verschickt und selbst in der IT haben 99% der Leute gierig auf den enthaltenen Link geklickt...
A. Klaasen schrieb: > ne Mail mit einem Betreff ala "Zielerreichung und > Bonus 2020" verschickt und selbst in der IT haben 99% der Leute gierig > auf den enthaltenen Link geklickt... durch Klicken auf einen Link passiert ja erst mal noch nichts, man kommthalt auf irgendeine Seite?
der Pisher schrieb: > wie stellt man so was am Besten an? Was möchtest Du denn erreichen? Natürlich kannst DU ihm eine Mail von unbekannt schicken, die er auch öffnet. Schließlich kannst Du beliebige Infos aus seinem Leben einfließen lassen. Erfolg ist aber erst, wenn er z.B. eine Information preisgibt. Sein Geburtsdatum oder seine Position im Unternehmen (Rolle, Namen eines Vorgesetzten oder Mitarbeiters, Durchwahl, Arbeitsplatz, Personalnummer). Und dabei dürften Firmeninfos leichter sein, da deren Notwendigkeit plausibler ist.
Beitrag #6549429 wurde von einem Moderator gelöscht.
der Pisher schrieb: > durch Klicken auf einen Link passiert ja erst mal noch nichts, man > kommthalt auf irgendeine Seite? Kommt auch auf das OS, E-Mailprogramm und den Browser, der durch dieses aufgerufen wird an. Bei uns in der Firma ist das Windows, Outlook und IE. Da sollte man schon vorher schauen, wo man hinklickt.
Beitrag #6549437 wurde von einem Moderator gelöscht.
A. S. schrieb: > Was möchtest Du denn erreichen? Natürlich kannst DU ihm eine Mail von > unbekannt schicken, die er auch öffnet. Schließlich kannst Du beliebige > Infos aus seinem Leben einfließen lassen. will erreichen das er die Mail ernst nimmt und drauf antwortet - ja, ihn zugegeben vorführen Wir nutzen Windows, Office 365
Wenn deine Firma was mit i im Namen hat sicher dir eine Domain wo du I durch l ersetzt. Fällt kaum einen auf und schon kannst du "interne" Mails schreiben.
der Pisher schrieb: > ja, ihn zugegeben vorführen Aha. Und wie genau willst du ihn da "vorführen"? z.B. So "Hallo IT-Leiter? Hast du auch eine Mail von .... mit dem Betreff .. und dem Inhalt ... bekommen, und die geöffnet oder drauf geantwortet? Haha, die war von mir. Ach, wie blöd du doch bist" Ob du dadurch Karma-Punkte sammelst oder in seiner Gunst und Wertschäzuung steigst, musst du dir selbst beantworten....
der Pisher schrieb: > Neueste Idee: eine externe Firma beauftragen, die absichtlich > Phishing-Mails an die Mitarbeiter schickt um aufzuzeigen wie dumm diese > sind Die Idee ist nicht neu, aber üblicherweise macht man sowas um die Mitarbeiter zu sensibilisieren, nicht um sie als dumm darzustellen. > Kennt jemand was Gutes? Mit Sondergewinn, Potenzpillen usw braucht man > sicher nicht ankommen... "Geheime" Nachrichten, von der Fibu zwecks Abschluss eines geheimen Geschäfts (mit Überweisung an Fremdkonten) sind auch nicht ungewöhnlich. der Pisher schrieb: > A. Klaasen schrieb: >> ne Mail mit einem Betreff ala "Zielerreichung und >> Bonus 2020" verschickt und selbst in der IT haben 99% der Leute gierig >> auf den enthaltenen Link geklickt... > > durch Klicken auf einen Link passiert ja erst mal noch nichts, man > kommthalt auf irgendeine Seite? Wenn irgendeine Seite da noch irgendeinen Exploit enthält passiert da durchaus ne Menge.
Wegstaben V. schrieb: > Ob du dadurch Karma-Punkte sammelst oder in seiner Gunst und > Wertschäzuung steigst, musst du dir selbst beantworten.... danke, den Weg danach habe ich schon selber im Kopf, es geht um die Mail...
Du brauchst keine Mail. Das BSI weiß was. https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Schadprogramme/schadprogramme_node.html
> Schick mal deine mailadresse, dann bekommst du ein paar.
Reicht wenn er sie hier im Klartext postet, die Bots werden sie schon
finden.
Wenn Du die Zielfirma kennst, am besten ihren Einkauf, dann ist das
schon mal ein guter Punkt. Kennst Du auch noch einen Zulieferer, von dem
die Firma möglichst teures Zeug bezieht? Den Rest kannst Du Dir denken,
irgend ein Doof fällt garantiert auf einen gefakten Login herein (trägt
dann die Zugangsdaten der Firma in einen Sende-es-zu-mir-Formular ein)
oder was auch immer.
Beitrag #6549513 wurde von einem Moderator gelöscht.
Bodo B. schrieb im Beitrag #6549513: > Ansonsten, hier findest du gute Beispiele für Phishingmails: > https://bit.Iy/7Pk1H6 die Webseite ist nicht erreichbar?
der Pisher schrieb: > Bodo B. schrieb: >> Ansonsten, hier findest du gute Beispiele für Phishingmails: >> https://bit.Iy/7Pk1H6 > > die Webseite ist nicht erreichbar? Wenn es über Bitly läuft dürfte die URL folgende sein: https://bi t.ly/7Pk1H6 (Das Leerzeichen zwischen dem i und dem t muss man löschen, sonst wird es von dem Forum als Spam erkannt,)
Beitrag #6549531 wurde von einem Moderator gelöscht.
Beitrag #6549555 wurde von einem Moderator gelöscht.
der Pisher schrieb: > Bodo B. schrieb im Beitrag #6549513: >> Ansonsten, hier findest du gute Beispiele für Phishingmails: >> https://bit.Iy/7Pk1H6 > > die Webseite ist nicht erreichbar? Tja, durchgefallen. MfG, Arno
Ist gar nicht so einfach. Darf ja nichts sein, das die Loyalitaet testet oder die Person angreift. Ich bekomme ab und zu Mails wo was von Kontoproblemen geschrieben wird, man soll sich schnell einloggen. (Nur bin ich nicht bei der Sparkasse.) Sowas waere ganz gut, passt aber halt nicht in die IT-Abteilung. Dort geht vielleicht was alla SAP-Lizenzen wurden an verschiedenen Orten aktiviert, Lizenzvergehen, Systeme werden bis Mittag gesperrt. Einloggen, fuer Details. Dringendes Altium-Update wg. bekanntgewordenem Sicherheitsproblem. Schnell einen Updater runterladen oder einloggen. Irgendwas wo die IT ins Schwitzen kommt um eine unueberlegte Handlung zu provozieren. Mach aber nichts ohne Ruecksprache mit der Geschaeftsfuehrung, sonst kollidierst du schnell mit dem Strafrecht.
Schickt ihm am besten eine Warnung vor einer branchenspezifischen Pishingmail, die er dann an alle zur Warnung weitergibt. Wenn er das macht, zählt ihn an. Aber noch besser wäre es, wenn er die Nachricht über jemanden von oben bekommt und er die Warnung nicht weitergegeben hat. Die sollte dann so sein, das daraus erkannt wird, diese wäre für jemanden sinnvoll zu wissen der oben ist. Dafür macht einer von Euch ein Foto, Screenshot oder tippt wesentliches ab und schickt das dem Betreffenden hoch. Und dann lehnt Ihr Euch schön zurück, weil Euer Chef hatte die wichtige Info nicht weitergegeben. Aktuell wird die Warnung vom CERT noch nicht in den öffetnlichen Warnungen geführt, da in dieser noch kein relevanter Schadcode integriert wurde und aus ermittlungstaktischen Gründen. Wenn eine solche Nachricht in Ihrem Hause auftaucht, bitte das CERT benachrichtigen.
Maxe schrieb: > Irgendwas wo die IT ins Schwitzen kommt um eine unueberlegte Handlung zu > provozieren. Wenn sich die IT von einer dahergelaufenen E-Mail-Meldung ins Schwitzen bringen lässt ist aber schon mehr schiefgelaufen.
https://www.phish-test.de/ Vielleicht erfüllt das deine Anforderungen. Edit: Sophos bietet so etwas auch an: https://www.sophos.com/de-de/products/phish-threat.aspx
:
Bearbeitet durch User
Ich muss vielleicht noch ergänzen- wir haben es mit einem CIO - Chief Information Officer - zu tun - der Titel klingt wichtig, aber ich traue dem noch nicht mal zu Windows auf einem nackten PC zu installieren - ist ja auch nicht seine Aufgabe, er hat nur mit strategischen Dingen zu tun....
Gedankenspiel: Angenommen dieser Plan funktioniert. Der Chef (und vielleicht auch der Chef vom Chef) steht nun als erwiesener Idiot da. Was ist jetzt besser? Glaubst du, dass der Chef jetzt demütig vor der Belegschaft zu Kreuze kriecht, sich vielmals für sein dämliches Vorgehen entschuldigt und fortan eine hervorragende Führungspersönlichkeit ist? Falls ja: Welche Drogen nimmst du? Die Realität sieht doch so aus: Der Chef verfolgt einen mäßig cleveren Plan. Du verfolgst genau den gleichen Plan. Ihr spielt absolut auf dem gleichen Niveau. A match made in heaven ...
Heiner schrieb: > Glaubst du, dass der Chef jetzt demütig vor der > Belegschaft zu Kreuze kriecht, sich vielmals für sein dämliches Vorgehen > entschuldigt und fortan eine hervorragende Führungspersönlichkeit ist? nein, das glaube ich nicht - hast schon Recht Wir sind zugegeben kein DAX-Konzern, nur ca. 100 Mitarbeiter Vielleicht kündigt die besagte Person dann endlich einfach aus Scham selbst? Oder die Chefs verstehen endlich was da abgeht? Die brauchen leider Beispiele, keine Fakten
der Pisher schrieb: > Vielleicht kündigt die besagte Person dann endlich einfach aus Scham > selbst? Das glaubst du ja wohl selbst nicht? der Pisher schrieb: > Die brauchen leider > Beispiele, keine Fakten Richtig, ohne Beispiele wird's schwer, dir zu kündigen. Also tu dir keinen Zwang an ;)
der Fischer schrieb: > Richtig, ohne Beispiele wird's schwer, dir zu kündigen. Also tu dir > keinen Zwang an ;) was willst Du mir jetzt damit sagen?
Beitrag #6549696 wurde von einem Moderator gelöscht.
Bodo B. schrieb im Beitrag #6549696:
> Wer ist nun der Dumme? Dein IT-Leiter oder ...?
dieser Link hat nichts mit meinem Rechner angestellt
Aber Du bist ein richtiges Schlaule, gell? :-)
Ich habe nach was Konkretem im Urspungsthread gefrag, aber das
übersteigt wohl leider deinen Vorstellungshorizont, Hauptsache aus
Langeweile dumm daher gelabert ...
Beitrag #6549716 wurde von einem Moderator gelöscht.
Hallo "von der Pisher", ich kann verstehen das Dich der Typ maximal frustet. Habe so was auch schon häufiger in Firmen erlebt und erlebe es auch jetzt. Solche Typen gibt es leider oft in wichtigen Positionen und man fragt sich auch immer wieder wie die es nur dorthin geschafft haben ( "Peter-Prinzip" ? ) Ich würde Dir aber dringend von Deinem Vorhaben abraten, da das nach hinten losgehen wird. Es wird auf Dich zurück fallen. Solche Leute sitzen fest im Sattel, warum auch immer. Wenn Du es nicht mehr aushälst schau Dich nach einer anderen Firma um und geh. Zugegebenrweise ist Deine Idee schon sehr verführerisch, wenn Du aber keinen beruflichen Selbstmord begehen möchtest lass es bleiben! Am Ende hast Du eine Strafanzeige und eine fristlose Kündigung an den Hacken. Damit wird es schwer einen neuen Job zu finden. Verwende Deine Energie darauf die Mitarbeiter zu sensilibilisieren. In meiner Firma werden regelmäßig Newsletter versendet in denen über die Tricks von Phishing Mails informiert wird. Es werden Beispiele genannt und auch Dinge erklärt, die auf keine Fall in einer Mail gefordert werden dürfen. Das gilt übrigens auch für Telefonanrufe von aussen, in denen versucht wird Mitarbeiter auszuhorchen. Erstelle doch mal eine leicht verständliche Aufklärungsmail und schlage vor, regelmäßig die Mitarbeiter zu informieren. Wenn Du das gut vorbereitest kann Dir das keiner Abschlagen. Das das allemal besser ist, als aufzuzeigen wie doof die User sind, wird auch der dümmste Chef (von Deinem direkten Vorgesetzten) verstehen ;-) Gruß Ralf
Ralf schrieb: > Am Ende > hast Du eine Strafanzeige und eine fristlose Kündigung an den Hacken. Hallo Ralf, verstehe deinen Standpunkt - nur - was soll daran strafbar sein wenn er eine Mail bekommt "ich bin der Erbe von bla bla, schicjekn sie mir ein Foto, dann bekommst Du 250.000 € vom Erbe" und er so doof ist daraif zu antworten? Mir ist klar dass das so einfach nicht funktioniert, darauf fällt niemand rein Hier ein interessanter Bericht: https://www.t-online.de/digital/sicherheit/id_89181672/-weihnachtsbonus-war-nur-ein-test-us-firma-legt-mitarbeiter-rein.html bei uns würde so was auf Grund der Firmenkonstellation generell nie funktioneren... Ich frage mioch auch was so ein externer Dienstleister da verschicken will? Das ist doch generell nur Geldmache weil er die Firmeninternas zu wenig kennt?
Schnapp dir einen Verschlüsselungstrojaner, ein KaliLinux und hacke euren eigenen Server. Wenn du weißt, welche Sicherheitslücken bei euch bestehen, isses noch einfacher. Einmal alles Verschlüsseln und abwarten. Zeigt, dass eure Server nicht sicher sind und was getan werden muss.
Alex Z. schrieb: > Schnapp dir einen Verschlüsselungstrojaner, ein KaliLinux und hacke > euren eigenen Server. Wenn du weißt, welche Sicherheitslücken bei euch > bestehen, isses noch einfacher. Einmal alles Verschlüsseln und abwarten. > Zeigt, dass eure Server nicht sicher sind und was getan werden muss. Sich strafbar machen um auf Missstände hinzuweisen ist selten gute Idee! Statt dessen einfach mal Nägel mit Köpfen machen und die Sicherheitsmângel auflisten. Ganz konstruktiv! Diese Übersicht geht dann an den ungeliebten Chef (gerne mit der Frage wieso an den bekannten Problemen nicht gearbeitet wird) und im CC geht das dann an die Ebene über ihm.
Alex Z. schrieb: > Schnapp dir einen Verschlüsselungstrojaner nein, will nur eine Mail auf die auch dieser Typ rein fällt...
Für die Firma ist die IT nur ein Kostenfaktor auf der Ausgabenseite. Ein Chef steht nur gut da, wenn er diese Kosten maximal niedrig hält. ThomasW schrieb: > Ganz konstruktiv! Der Hintergrund dazu wäre, wer schreibt der bleibt. Und dafür ist das betriebliche Emailsystem ideal. Für den Fall der Fälle hebe Dir die Email oder einen Ausdruck gut auf. Dann frage man nach der Priorisierung durch Chef zu den Mängelbehebungen. Wenn sich ablehnend zu einzelnen Maßnahmen äußert, wird die Liste mit Datum des Feedbacks aktualisiert mit wurde vom ... am ... für niedrige Prio eingestuft. Weil die Maßnahmen mit Kosten verbunden sind, ist auch immer eine gute Frage an den Chef, was ihr ihm an "Munition" geben könntet, damit etwas Geld locker gemacht wird um Mängel zu beheben. Das wäre die passende Tonlage.
> schicjekn sie mir ein Foto, dann bekommst Du 250.000 € vom Erbe
Pfft, seit wann gibt man sich mit Kleingeld zufrieden?
Ich habe immer so drei bis sechs Millionen gewonnen und soll doch bitte
ganz schnell Kontakt aufnehmen und meine Kontodaten schicken damit das
sofort ausgezahlt werden kann.
> Ich habe immer so drei bis sechs Millionen gewonnen und soll
Warum fragen die noch? Bankdaten sind doch verfügar?
Vielleicht mal ein paar Beispiele, weil ich gerade in den Spam-Ordner geschaut habe... Hier ist z.B. ein recht guter Versuch, an meine Identitätsdaten zu kommen - oder jemanden in New York mal so richtig mit AFK-Spam zuzuschütten:
1 | Herzliche Glückwünsche |
2 | |
3 | Wir freuen uns, Ihnen mitteilen zu können, dass Sie zu den ausgewählten Gewinnern der Covid-19-Erleichterungslotto-Auszeichnung in Höhe von 1.000.000,00 USD gehören, indem Sie mit der American Online Lottery AOL 2020/2021 als aktive Benutzer auftreten, die die zufällige Online-Auswahl durchführen, während die Pandemie noch andauert. Keine Tickets wurden verkauft, es war eine zufällige Wahlauswahl weltweit. Es wird daher empfohlen, Ihren Treuhänder mit diesen Informationen zusammen mit Ihrer Gewinnidentifikationsnummer per E-Mail zu kontaktieren, um eine ordnungsgemäße Überprüfung zu erhalten |
4 | |
5 | Ganze Namen... |
6 | Ihre Hausadresse ... |
7 | Deine Telefonnummer... |
8 | Ihre Gewinnnummer: *** (eMail-ID zur Spam-Empfangsbestätigung) |
9 | |
10 | **0 Broadway New York, |
11 | NY ****3 USA, **3 USA |
12 | # STAYATHOME # SICHER BLEIBEN (# MANN BIN ICH DOOF) |
Ist immerhin in recht gutem Deutsch geschrieben, könnte man glauben. Und wer's glaubt, wird seelig... Dann das Übliche:
1 | Ich bin Stefano Pessina, ein italienischer Wirtschaftsmagnat, Investor |
2 | und Philanthrop. Der stellvertretende Vorsitzende, Chief Executive |
3 | Officer (CEO) und der größte Einzelaktionär der Walgreens Boots |
4 | Alliance. Ich habe 25 Prozent meines persönlichen Vermögens für |
5 | wohltätige Zwecke verschenkt. Und ich habe auch zugesagt, den Rest von |
6 | 25% in diesem Jahr 2021 an Einzelpersonen zu verschenken. Ich habe |
7 | beschlossen, Ihnen 2.200.000,00 USD (zwei Millionen zweihunderttausend |
8 | Dollar) zu spenden. Wenn Sie an meiner Spende interessiert sind, |
9 | kontaktieren Sie mich für weitere Informationen. |
Logisch, mir spenden jede Woche bestimmt fünf solcher Durchgeknallten ihre Millionen - glaubt doch jeder. Außerdem, was soll ich mit Dollar? Mir den Arsch abwischen? Wenn dann brauche ich Euro und die bitte in bar, zur sicheren Aufbewahrung unter dem Kopfkissen. Dann hab ich noch den hier: > Anmeldeversuch für neues Gerät, bitte Dokument in > der Datei lesen. Vielen Dank Ja nee, is klar. Hab aber gerade keine Lust auf Trojaner, sorry. > Von: "no-reply@amazons.de" bastrd-info**censored**@rabisek.com Okay an dem Punkt geb ich zu, war doch nicht so ein guter Versuch. Was ich nicht verstehe: Gibts wirklich Idioten, die sowas glauben? Meine, sowas ist doch nun wirklich offensichtlich auch ohne großes technisches Wissen als Spam zu erkennen. Wie dumm muß man sein, um darauf hereinzufallen?
Ben B. schrieb: > Wie dumm muß man sein, um darauf hereinzufallen? Auch schlaue Leute lassen Mails automatisch öffnen...
Schau in deinen Spamordner da sind sicherlich genug drin! Und was Passendes ist da sicherlich dabei.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.