Geschmacklos: Hosting-Provider Godaddy verhöhnt Mitarbeiter mit Bonus-Mail
Der Preis für die geschmackloseste Geschmacklosigkeit des Jahres dürfte in diesem Jahr zumindest auch an den US-amerikanischen Hosting-Provider Godaddy gehen. Ausgerechnet im Jahr der Corona-Pandemie, in der viele Menschen auch wirtschaftlich an ihre Grenzen gekommen sind, erlaubt sich das Unternehmen einen grausamen Scherz mit seinen Mitarbeitern, der sich danach noch nicht einmal als Scherz herausstellt.
Bonus-Ankündigung entpuppt sich als Test
In einer E-Mail soll sich Godaddy laut The Copper Courier bei seinen Mitarbeitenden für ein besonders erfolgreiches Jahr bedankt haben. Da es keine gemeinsame Weihnachtsfeier geben könne, wolle sich das Unternehmen mit einer Bonuszahlung über einmalig 650 US-Dollar erkenntlich zeigen, so die E-Mail.
Um sicherzustellen, dass Godaddy den Bonus auch korrekt auszahlen könne, sollten die Beschäftigten einen Link in der E-Mail klicken, der sie zu einem Formular führen würde, in welchem sie noch einige Daten ergänzen müssten. Wer würde seinem Arbeitgeber misstrauen?
Rund 500 Beschäftigte klickten den Link und erledigten die geforderten Formalia. Zweite Tage später schickte ihnen ihr Arbeitgeber eine Folge-Mail. Darin wurden sie darüber informiert, dass sie durchgefallen seien.
Die Bonus-Ankündigung sei nämlich ein Phishing-Test gewesen, um zu sehen, ob die Mitarbeiter kritisch mit zugesandten E-Mail-Inhalten umgehen könnten. Die „Durchgefallenen“ müssten nun das hausinterne „Security Awareness Social Engineering Training“ erneut absolvieren. Der angekündigte Bonus war frei erfunden.
Natürlich haben Phishing-Tests ihre Berechtigung, aber eine solche Aktion im Corona-Jahr und kurz vor Weihnachten mit den eigenen Mitarbeitern durchzuziehen, hat schon eine besondere Qualität.
Schöne neue Welt
Da fragt sich der geneigte Leser gewiss, wes Geistes Kind die Führungsebene dieses Unternehmens ist. Dazu passt, dass Godaddy trotz eines Rekordjahres, gemessen in Umsatz- und Kundenzuwachs, Hunderte Beschäftigte im Jahresverlauf entlassen hat.
Nein, sorry, ich frage mich eher, wes Geistes Kind die Betroffenen sind, die erst auf die Phishing-Mail hereingefallen waren und dann auch noch die Stirn hatten, zu protestieren anstatt sich zu schämen.
Zugegeben: ich weiß nicht, wie offensichtlich der Fake war, aber jeder Mitarbeiter, der mit Computern zu tun hat, sollte wissen, dass Absenderadressen überhaupt nichts aussagen. Der meiste Spam, den ich erhalte, hat gefäschte Absenderadressen. Außerdem sollte jeder wissen, dass Verbrecher sich in fremde System einhacken, nur um E-Mail-Verkehr herunter zu laden, um daraus täuschend ähnliche und zu einem vertrauten Thema passende „Antwort“ zu generieren, die das Opfer für echt hält. Auch meine private E-Mail-Adresse wurde bereits von Spammern als Absender missbraucht, und ich habe auch schon derartige gefälschte „Antworten“ bekommen, die absolut echt aussahen, und nur Kleinigkeiten ließen mich stutzen und den Header der E-Mails anzuschauen, wo die Fälschung offenbar wurde.
Aber auf jeden Fall sollte der Inhalt der Mail Misstrauen erwecken. Wenn eine Firma ihren Mitarbeitern einen Bonus auszahlen möchte, dann wird dieser natürlich ganz einfach mit dem Gehalt aufs Konto überwiesen. Warum also jetzt irgend etwas ausfüllen? ALARM!!! Wer zu dieser logischen Überlegung nicht fähig ist, der muss wachgerüttelt werden, und dass darf auch ruhig ein Bonusversprechen kurz vor Weihnachten sein. Auch wenn ich weit davon entfernt bin, so paranoid zu sein, wie mir viele IT-Admins vorkommen, so muss ich doch sagen: man kann gar nicht genug misstrauisch sein!
Dafuer, dass Sie hier so laut toenen haben sie ziemlich wenig Ahnung davon, wie in den USA Gehaltszahlungen ablaufen. Primaer indem Arbeitnehmern, wochentlich, Gehaltsschecks zugeschickt werden. Das ganze Gefasel zum Thema „ganz einfach mit dem Gehalt aufs Konto“ koennten sie sich also sparen. Zu der von ihnen proklamierten Gruppe derer, die zu logischen Ueberlegungen nicht faehig sindund wachgeruettelt werden muessen, gehoeren sie astrein selber.
Angesichts der laufenden Angriffe muss man die Deppen abfischen die den Unternehmensbestand akut gefährden. Dass die gerade die perfiden Angriffe die erfolgreichen sind, zeigt dass man auf falsche Gefühle keine Rücksicht nehmen kann.
Ich verstehe hier die Kritik nicht ganz. Phishing Mail Tests sollen nunmal so echt wie möglich wirken. Ob hier ein Corona Bonus, eine gratis Reise oder sonstige Vorteile verwendet werden ist nicht wirklich relevant. Ich gehe mal davon aus, dass das Mail Program zum einen angezeigt hat dass der Absender nicht aus dem Unternehmen stammt (mit kryptischer Adresse) und dass zusätzlich der Link auf eine externe Seite geleitet hat. Wer da nicht stutzig wird hat nunmal eine Schulung nötig.
Das gesamts Geschäftsmodell von GoDaddy ist unseriös.
Allein das Geschäft als Domain-Registrar ist im besten Fall irreführend – man könnte sogar meinen: betrügerisch – aufgebaut.
Fragt man eine Domain an, die schon registriert ist, verspricht GoDaddy, dass man sie für einen relativ kleinen Betrag kaufen kann. Man müsse sich nur registrieren und den Kaufprozess einleiten.
Leider erfährt man erst ganz zum Schluss, dass man soeben eine Domain-Maklerleistung beauftragt habe (ca. 89 €) und dass weder der Kauf der Domain noch der ausgelobte Preis garantiert werden können.
Wir hatten in unserer Firma da eine heftige Auseinandersetzung mit GoDaddy. Der gesamte Vorgang wurde von mir mit Screenshots dokumentiert. Gang zum Gericht angekündigt. Dann hat GoDaddy schließlich nachgegeben.
Der Laden riecht nicht nur, der stinkt!
Kam die Mail vom Arbeitgeber?
Ließ irgendetwas in der Mail auf Phishing schließen (falsche Link-Adressen, falsche Email-Adressen?
Sind die Einstellungen des Clients so administriert, dass ein Erkennen von Phishing möglich ist?
Sollte die erste Frage mit JA und die anderen beiden mit NEIN beantwortet werden können, so phisht der Arbeitgeber.
Bei meinem Ex-Arbeitgeber, einem US-Konzern, gab es alle paar Monate verpflichtend englischsprachige Online-Schulungen zum Thema IT-Sicherheit (inhaltlich auf Grundschulniveau) und anderem obskuren Zeug, zum Beispiel zum Thema „Umgang mit Waffen am Arbeitsplatz“. Der Anstoß und Link dazu kamen immer per Mail von der deutschen Personalabteilung. Man musste dem Link folgen und die Schulung starten. Im Zweifel konnte man die Leute anquatschen und nachfragen.
Irgendwann kam jemandem die Idee, das von der Zentrale in den USA aus weltweit durchzuführen.
Treu der gedrillten Strategie „unbekannter Absender, fremdsprachiger Name, englische Betreffzeile => Spam“ haben meine Kollegen und ich diese Mails jedesmal brav als Spam gemeldet. Wenn eine mir unbekannte Cathy ohne Nachnamen mich anmailt, in der Betreffzeile ein Haufen Großbuchstaben und Ausrufezeichen steht, und ich aufgefordert werde, einen blinkenden Link anzuklicken – das kann ich wirklich nicht als ernsthafte Dienstmail erkennen.
Bis wir bei HR vorreiten mussten, was uns denn einfiele, uns einer „mandatory“ Qualifizierungsmaßnahme zu verweigern.
Ich weiß nicht, ob das immer noch so läuft, ich hab den Laden verlassen.