17. Januar 2012
Posted in Internet News

Brian Krebs berichtet über eine ungewöhnliche Maßnahme zur Vorbeugung gegen Computer-Angriffe in Unternehmen: Zwei System-Administratoren haben im Herbst vergangenen Jahres ein "Simple Phishing Toolkit" vorgestellt, mit dem Unternehmensverantwortliche unproblematisch eine eigene Phishing-Kampagne starten können.

Sei es, um die Wachsamkeit der Mitarbeiter zu testen, oder um auf Grundlage des Programms eine praxisbezogene Weiterbildung am Arbeitsplatz zu veranstalten. Natürlich besteht auch in diesem Fall die Gefahr, dass die Sicherheitsmaßnahme missbraucht werden kann, um tatsächlich die Zugangsdaten der Mitarbeiter zu ergaunern. Doch dagegen ist man wohl nie gefeit.

Geht es dagegen nach dem Willen der beiden Administratoren, dann wird der sicherheitsbewusste System-Administrator die Software zunächst einmal benutzen, um eine beliebige Login-Seite zu "klonen". Im Sinne des Unternehmens ist ein Login des eigenen Systems dafür wohl am ehesten geeignet. Die Mail-Adressen der Empfänger können gleich als Spreadsheet in das System gefüttert werden und so kann man einige Zeit später überprüfen, welche Empfänger die Mail öfneten, die angegebenen Links anklickten, oder sonstige Eingaben machten. Serverseitig wird für die Installation PHP, MySQL und SenMail vorausgesetzt.

Je nachdem, wie vorsichtig oder leichtsinnig die Mitarbeiter sich laut der Auswertung zeigten, können nach dem Test auch Schulungsinformationen an den Verteiler geliefert werden. Eine Online-Demo der kostenlosen Open Source Software gibt es aber leider nicht mehr. Einige der Websites, die in dieser Demo kopiert wurden, haben sich beim Provider der beiden Administratoren beschwert. Was man auch als eine Art Anerkennung interpretieren kann.