Whaling – So gehen Sie Cyberkriminellen nicht ins Netz!

Sie fragen sich, was Wale mit Cyber Security zu tun haben? Phishing-Attacken sind wohl den meisten bekannt (falls nicht, empfehlen wir Ihnen einen unserer früheren Artikel). Während Cyberkriminelle hier relativ blind «fischen», haben sie es beim Whaling auf die ganz grossen Fische abgesehen – genau, die Wale. Oder um wieder aufs Business zurückzukommen, auf das höhere Management, CEOs, Führungskräfte oder allgemein wichtige Entscheidungsträger. Und da rund 9 von 10 Whaling-Attacken erfolgreich sind, wird es höchste Zeit, dass auch Sie darauf sensibilisiert sind. Auf welche Alarmsignale Sie als potenzielle Zielscheibe achten sollten und weshalb auch Ihre Mitarbeitenden beim digitalen Trickdiebstahl eine wichtige Rolle spielen, erfahren Sie in diesem Beitrag!

Während bei klassischen Phishing-Attacken keine konkrete Person anvisiert wird, zielt Spear-Phishing auf eine einzelne Person ab. Sind diese Personen Führungskräfte, das höhere Management oder haben eine grosse Entscheidungsgewalt, sprechen wir vom Whaling.

Der vermeintliche Absender gibt sich in der Regel ebenfalls als eine wichtige Person mit Leitungsfunktion aus. Weshalb, liegt auf der Hand: Solche Anordnungen oder Bitten haben ein höheres Gewicht, werden schneller abgehandelt und üben mehr Druck auf den E-Mail-Empfänger aus. So kann beim Whaling beispielsweise der CEO die Leitung Finanzen anweisen, schnellstmöglich einen hohen Geldbetrag auf ein (häufig ausländisches) Konto zu überweisen. In vielen Fällen befindet sich der Absender – hier der CEO – auch effektiv im Ausland.

Whaling betrifft Sie nicht? Das dachten andere auch…

Wir glauben Ihnen gerne, dass weder Sie noch Ihre Mitarbeitenden auf die plumpen 0815-Spam-Mails reinfallen (sofern diese nicht ohnehin von Ihrem Spam-Filter abgefangen wurden). Aber die wirklich fiesen Cyberkriminellen sind nicht dumm. Deshalb bereiten sie sich akribisch auf solche Attacken vor – häufig mit Erfolg, wie diese Beispiele zeigen:

• Sie kennen mit Sicherheit das niederländische Filmunternehmen Pathé: Anfang 2018 fielen der Managing Director und der CFO auf Betrüger herein, die insgesamt 21 Millionen US-Dollars erbeuteten.
• 2017 fiel der CEO von Goldman, einem amerikanischen Finanzdienstleister, auf einen Identitäts-Diebstahl rein.
• Beim rumänischen Autozulieferer Leoni erbeuteten Angreifer mit einer Whaling-Attacke auf den Finanzchef insgesamt 40 Millionen Euros. 

Und das sind keine leider keine Einzelfälle: Laut dem InfoSecurity Magazine beträgt die Erfolgsquote von Whaling rund 90%.

Weshalb SIE das perfekte Angriffsziel von Whaling sind

Beim Whaling wählt der Angreifer gezielt aus, wer der Absender und wer der Empfänger ist. Wie er das wissen kann? Mit digitaler Spurensuche! Von uns allen, ob gewollt oder nicht, existieren eine Unmenge an Informationen im Internet. Cyberkriminelle machen sich dies zunutze und spionieren so die Zielpersonen aus, zum Beispiel durch Telefonate. Getarnt als vertrauter, langjähriger Kunde oder Mitarbeitender kommt man so oftmals leicht an persönliche Informationen ran. Diese Informationen können beispielsweise in den Phishing-E-Mails eingesetzt werden und scheinen dadurch vertrauenswürdiger.

Besonders gerne stöbern Angreifer in sozialen Netzwerken. Auf LinkedIn erfährt man beispielsweise leicht, wer welche Funktion hat. Ihr Unternehmen setzt Social Media ein? Mit Sicherheit gibt es auch dort den einen oder anderen Köder, der für einen Angriff verwendet werden kann. Seien Sie also auch dort auf der Hut!

Wenn Sie wissen wollen, wie ein typisches Phishing-E-Mail für eine Whaling-Attacke aussieht, dann laden Sie sich unser Poster herunter! Unsere Pentester haben eigens für Sie ein Beispiel eines erfolgreichen Phishing-E-Mails erstellt. Ausserdem finden Sie darin hilfreiche Tipps & Tricks, worauf Sie Acht geben sollten. Auch perfekt geeignet zur Sensibilisierung für Ihrer Mitarbeitenden – jetzt kostenlos downloaden!

Die Erfolgsmaschen von Cyberkriminellen durchschauen

Neben Zahlungsaufforderungen lauern noch weitere Gefahrenquellen. Häufig verlangen die Absender (unter Zeitdruck) sensible Informationen wie Kreditkartennummern, Passwörter oder drohen, solche Informationen zu veröffentlichen. Oder sie fordern Sie auf, eine angehängte Datei oder auf einen Link im Mail zu klicken. Dadurch können Verschlüsslungs- resp. Erpressungstrojaner den Computer oder ganze Netzwerke infizieren.

So werden Sie kein Opfer von Whaling

Den ersten Schritt in die richtige Richtung haben Sie bereits getan, indem Sie bis hierher gelesen haben. Nun ist es wichtig, die Merkmale von solchen Angriffen zu erkennen und auch Ihre Mitarbeitenden mit ins Boot zu holen. Egal, ob es um Whaling oder willkürliches Phishing handelt: Alle potentiell gefährdeten oder in irgendeiner Form involvierten Personen müssen im Umgang mit sensiblen Informationen geschult werden im Rahmen einer Security Awareness-Kampagne. Die wichtigsten kurz- bis langfristigen Massnahmen haben wir für Sie zusammengefasst:

Massnahmen zum Schutz vor Whaling:

• Identifizieren Sie potenzielle Angriffsziele: Führungskräfte, CEOs und einflussreiche Entscheidungsträger müssen identifiziert und individuell geschult werden. Awareness im Management ist einer der wichtigsten Elemente im Kampf gegen Whaling!
• Schaffen Sie breite, interne Awareness: Eine erste Massnahme ist die interne Kommunikation. Als zweiten Schritt – vor allem, um nachhaltige Awareness zu schaffen – empfehlen wir gezielte Schulungen oder Trainings durch Spezialisten. Mehr dazu finden Sie weiter unten.
• Bei höheren Geldüberweisungen empfiehlt sich ein interner Kontrollmechanismus wie das 4-Augen-Prinzip oder spezielle Freigabeverfahren.
• Wenn Sie unsicher sind, greifen Sie lieber um Hörer und rufen die Person an, von der die E-Mail stammt. Kommunizieren Sie auch klar, dass dies erlaubt und im Zweifelsfall auch erwünscht ist. Kommunikation ist auch in der Cyber Security das A und O!
• Wichtige Quellen, um Informationen über die Zielperson zu erhalten, sind die sozialen Medien. Da Konten in der Regel privat sind, können Sie diese natürlich nicht oder nur bedingt kontrollieren. Erstellen Sie eine Social Media Policy, um die wichtigsten Do’s & Dont’s festzuhalten. Dort können Sie hinweisen, ob und welche Informationen über das Unternehmen geteilt werden dürfen. Beim höheren Management empfiehlt es sich je nachdem sogar, die Profile auf LinkedIn & Co. intern überprüfen zu lassen.
• Setzen Sie auf eine starke E-Mail-Authentifizierung, um Ihre Netzwerke so gut wie möglich automatisch vor Spam zu schützen.
• Achten Sie penibel auf inhaltliche und formale Anzeichen eines Phishing-Mails wie Absender oder Schreibfehler. Und auch hier gilt: Nicht nur die Mitarbeitenden, sondern vor allem auch das Management müssen diese Vorsichtsmassnahmen beherzigen. Die gefährlichsten Fallen haben wir Ihnen in unserer kostenlosen Infografik Weitere Informationen, wie Sie sich schützen können, finden Sie in unseren früheren Blogbeiträgen (Phishing & Spear-Phishing).
• Bei Whaling-Attacken sind oftmals sowohl der vermeintliche Absender als auch der Empfänger im selben Unternehmen tätig. Eine effektive, mehrschichtige E-Mail-Abwehr beinhaltet die Kennzeichnung externer E-Mails. So erkennen Sie schnell, ob die E-Mail tatsächlich von intern stammt, oder eben nicht. Möglichkeiten zur sicheren E-Mail-Abwehr sind (Spam) Filter, Gateway-Verschlüsselungen, Sandboxing, SPF usw.
• Führen Sie eine Risikobewertung von E-Mail- und Web-Domains durch (Business Domain Impersonation). Hier helfen zum Beispiel ein Cloud Access Security Broker oder eine externe Sicherheitsbewertung wie SecurityScorecard.
• Senden weder Sie als Führungsperson noch Ihre Mitarbeitenden vertrauliche, persönliche oder proprietäre Informationen unverschlüsselt!

So gelingt Security Awareness auf allen Ebenen

Egal ob Assistent, Abteilungsleiterin oder Chief Executive Officer – wenn es um das Thema Sicherheit geht, sind alle gleich gefordert. Denn der Mensch ist und bleibt das schwächste Glied in der Sicherheitskette. Es gilt daher, das gesamte Unternehmen zu sensibilisieren und die Security Awareness auf allen Ebenen zu steigern.

Wie oben bereits erwähnt – der erste Schritt in die richtige Richtung ist die Kommunikation, am besten anhand von einprägsamen Beispielen wie in unserer Infografik. Anschliessend gilt es, nachhaltige Security Awareness sicherzustellen. Dazu gibt es mehrere Möglichkeiten:

Setzen Sie dabei auf einen erfahrenen Partner wie InfoGuard. In unzähligen erfolgreich durchgeführten Kunden-Projekten konnten wir Mitarbeitende sensibilisieren und die Cyber Security so dadurch nachweislich verbessern.

Noch mehr Informationen über Social Awareness, Phishing, Social Engineering & Co. sowie ein Quiz, um Ihr Wissen zu testen, finden Sie auf unserer «Know-how Security Awareness» Webseite!