Phishing-Test sorgt bei US-Armee für Panik

Ein Kommandeur der US-Armee wollte offenbar testen, wie gefeit seine Mitarbeiter gegen Phishing-Attacken sind. Der Commander hatte sich auch nur eine kleine Gruppe von Mitarbeitern der zivilen Verwaltung der US-Armee ausgeschaut und ihnen eine präparierte Mail geschickt.

Diese Mail erklärte dem Empfänger, dass der Account ihrer Rentenversicherung, dem Thrift Savings Plan, geknackt wurde und dass die Empfänger ihre Passwörter zurücksetzen sollten. Die Mitarbeiter aber waren verunsichert und hielten die Mitteilung für echt.

Die Mail wurde daher an verschiedene Kollegen weiter geleitet und diese leiteten die Mail wiederum weiter. Bis schließlich der Test in Zehntausenden Postfächern bei der US-Armee, dem Department of Defense, dem FBI, der Zollbehörde und dem Arbeitsministerium gelandet war. Die Hotline der Pensionskasse wurde darauf hin tagelang von besorgten Anrufern belagert, wie die Washington Post berichtet. Und noch immer solle es entsprechende Nachfragen geben.

Drei Wochen lang hatte die US-Armee nach der Quelle der Mail gesucht. Im Grunde hatte der betreffende Commander aber nur versucht, seine Kollegen für die Gefahren, die von Phishing-Mails ausgehen zu sensibilisieren.

Das britische Unternehmen Phishme.com kommentierte in einem Blog, dass der gute Commander allerdings so ziemlich jeden Fehler gemacht hat, den er hätte machen können. Aaron Higbee, Gründer und CTO von PhishMe, erklärt, man hätte sich mit der betreffenden Abteilung abstimmen müssen und es sei auch ein Fehler gewesen, eine echte Marke dafür zu verwenden, denn das könne zu rechtlichen Problemen führen. Zudem hätte es keine vorab definierten Ziele für die Aktion gegeben.

Die Washington Post berichtet übrigens, dass nicht ein einziger Mitarbeiter auf die in der Phishing-Seite angegebenen Seite geklickt hätte. In soweit war der Test dann doch ein Erfolg.

Der Commander, dessen Name nicht veröffentlicht wurde, solle keine Disziplinar-Maßnahme bekommen, heißt es von US-Armee, weil keine Richtlinien verletzt wurden. Künftig wolle die Armee für solche Tests entsprechende Regeln aufstellen und diese genehmigen lassen.