Seit 2013 haben US-Unternehmen im Zuge von Whaling-Angriffen unwissentlich mehr als 12 Milliarden Dollar an Kriminelle überwiesen. Sie sind vielleicht überzeugt, dass Sie offensichtlich verdächtig wirkenden E-Mails niemals zum Opfer fallen werden. Doch bei Whaling-Angriffen werden die E-Mails Ihres CEO oder CFO derart genau reproduziert, dass Internetbetrüger erfolgreich wichtige Dateien und Informationen Ihres Unternehmens stehlen können.
Inhalt
Wie läuft ein Whaling-Angriff ab? Welche unmittelbaren Maßnahmen können Sie ergreifen, um einen solchen Angriff abzuwehren? In diesem Artikel erfahren Sie alles Wissenswerte zu diesem Thema.
Was versteht man unter einem Whaling-Angriff?
Whaling-Angriffe, auch als „Chef-Betrug“ bezeichnet, zielen auf Personen des C-Level-Managements ab. Bei einem solchen Hackerangriff tarnen sich Cyberkriminelle als Mitglieder der obersten Führungsebene eines Unternehmens, um Geld oder sensible Informationen zu stehlen oder um sich Zugriff auf Computersysteme zu verschaffen.
Whaling-Angriffe ähneln phishing insofern, dass hierbei gefälschte E-Mails und Websites verwendet werden, mit denen Angestellte und Kunden zur Weitergabe vertraulicher Informationen und zu Geldtransaktionen verleitet werden. Anders als beim Phishing wird bei Whaling-Angriffen jedoch der Eindruck erweckt, die Nachricht stamme von einem CEO oder einer Person von gleichem Rang. Um ihr heimtückisches Vorhaben auszuführen, vertrauen die Cyberkriminellen darauf, dass die anvisierte Person die Anweisungen ihres Vorgesetzten befolgt.
Beispiele für Whaling-Angriffe
Nun da Sie über grundlegendes Wissen zu Whaling-Angriffen verfügen, werden wir einen solchen Angriff anhand einiger Beispiele erläutern.
Dringende elektronische Zahlungsanweisung
Mit dem Ziel, schnell an billiges Geld zu kommen, versetzt der Hacker die Zielperson mit einer „dringenden“ E-Mail in eine stressige Situation. Die Nachricht wirkt scheinbar wie eine persönlich Mitteilung des Chefs und soll Vertrauen schaffen, damit der Mitarbeiter schließlich der Bitte nach einer elektronischen Zahlungsanweisung nachkommt. Die Überweisung muss auf ein bestimmtes Bankkonto an einem festgelegten Tag erfolgen.
Sie denken wahrscheinlich: „Warum sollte ich das tun, ohne vorher mit meinem Chef zu sprechen und eine Bestätigung einzuholen?“ Bedenken Sie, dass eine weltweit agierende Organisation über mehr als 10.000 Mitarbeiter verfügen kann. Jede Abteilung verfügt über Führungskräfte, stellvertretende Führungskräfte, Betriebsleiter und Finanzdirektoren, die ständig mit Zahlungen aller Art beschäftigt sind. Aus diesem Grund erscheint eine Bitte zur Geldüberweisung nicht unbedingt ungewöhnlich.
Eine Bitte zum Senden von Dateien
Stellen Sie sich vor, Sie beginnen Ihren Arbeitstag und haben bereits 45 ungelesene E-Mails in Ihrem Postfach. Sie werden diese schnell durchsehen und alle dringenden E-Mails abarbeiten, damit Sie mit Ihren anderen Aufgaben weitermachen können. Unter den dringenden E-Mails befindet sich eine Nachricht Ihres Vorgesetzten. Darin werden Sie gebeten, ein Dokument mit Zahlungsbelegen und den Kreditkarteninformationen des Unternehmens an ihn zu senden. Da es sich um Ihren „Vorgesetzten“ handelt, senden Sie die gewünschten Informationen, ohne dies zu hinterfragen. Und im Handumdrehen sind Sie auf die Betrugsmasche eines Kriminellen, der sich noch nicht mal viel Mühe geben musste, hereingefallen.
Whaling-Angriffe: Ein Milliardenverlust für CEOs
Erfolgreiche Vorstandsvorsitzende von Konzernen lassen sich leicht imitieren – nicht nur Stimme und Tonfall, sondern auch ihr Aufenthaltsort kann im Internet recherchiert und von Kriminellen kopiert und instrumentalisiert werden. Für Hacker ist ein Leichtes, über Whaling-Angriffe Firewalls zu überwinden und komplexe IT-Abwehrsysteme zu umgehen. Viele dieser Angriffe werden nicht gemeldet, da sich die Betroffenen völlig inkompetent fühlen. Zwischen 60 % und 70 % aller CFOs in den USA fielen bereits Whaling-Angriffen zum Opfer, die Milliardenverluste verursacht haben. Da es vielen der Betroffenen peinlich ist, „hereingefallen zu sein“, wird jede Möglichkeit auf Abhilfe im Keim erstickt.
Tausende von Unternehmen haben sich bereits damit abgefunden, jedes Jahr „vermeidbare Verluste“ in Milliardenhöhe abzuschreiben. Dabei ist die Prävention eines Whaling-Angriffs genauso einfach wie der Angriff selbst.
Wie Whaling-Angriffe vermieden werden können
Bei Whaling-Angriffen bedienen sich Hacker sogenannter Social-Engineering-Techniken, mithilfe derer sie ihre ahnungslosen Opfer um ihr Geld bringen. Lassen Sie sich jedoch nicht von einem Begriff einschüchtern, der nichts anderes bedeutet als „die Eigenart eines Menschen ausnutzen“. Wenn man dies beherzigt, können Whaling-Angriffe kostengünstig und wirksam bekämpft werden:
Entstigmatisieren Sie das Meldeverfahren für Whaling-Angriffe
Ganz gleich, welche technologischen Abwehrsysteme Sie installiert haben – ein System ist immer nur so gut, wie die Menschen, die es entwickelt haben. Ein Whaling-Angriff steht und fällt mit dem betroffenen Mitarbeiter. Schulen Sie Ihre Angestellten deshalb dahingehend, verdächtige E-Mails zu identifizieren und bei Geldüberweisungen oder beim Versenden von sensiblen Daten eine zweite Meinung einzuholen. Um die Sicherheit weiter zu erhöhen, können Sie regelmäßige Schulungen abhalten, die die Mitarbeiter animieren, Bedrohungen aus dem Internet zu melden. Schaffen Sie ein Warnsystem, bei dem die Mitarbeiter an vorderster Front stehen, und motivieren Sie das Personal, wachsam zu bleiben, um durch Whaling-Angriffe herbeigeführte Verluste zu vermeiden.
Lassen Sie elektronische Zahlungsanweisungen zweifach authorisieren
Wie bereits angedeutet, ist es wichtig, bei der Forderung einer Zahlungsanweisung eine zweite Meinung einzuholen. Drohende Whaling-Angriffe können verhindert werden, wenn man elektronische Zahlungsanweisungen von zwei Personen genehmigen lässt.
Führungskräfte sollten über private Social-Media-Konten verfügen
Whaling-Angriffe zielen auf C-Level-Führungkräfte ab. Hacker können Informationen von Führungskräften, die in sozialen Medien veröffentlicht werden, nutzen, um ihre wahre Identität zu verheimlichen und die Opfer zu täuschen. Dabei kann es sich beispielsweise um einen Beitrag zu einem Grillfest handeln, an dem die Führungskraft teilgenommen hat.
Investieren Sie in eine gute Cyberversicherung
Unternehmen sollten sich gut gegen die genannten Risiken absichern. Eine solche Versicherung sollte vor allem Vertrauenschäden oder Computerkriminalität umfassen. Eine gute Cyberversicherung deckt außerdem Schäden ab, die durch Social Engineering oder Ransomware-Angriffe entstanden sind.
Verschlüsseln Sie sensible Informationen
Abgesehen von den bereits erwähnten offensichtlichen Maßnahmen, wie ein guter Spamfilter und Rückfragen bei verdächtigen Anfragen und Forderungen, kann eine weitere Sicherheitsvorkehrung nicht schaden. Schützen und sichern Sie die sensiblen Informationen Ihres Unternehmens mit NordPass. NordPass verwendet den Verschlüsselungsalgorithmus XChaCha20, um die Kreditkarteninformationen und Systempasswörter Ihres Unternehmens in einem cloudbasierten, mit biometrischen Schlössern gesicherten Tresor zu speichern. Sollte ein Mitarbeiter einem Whaling-Angriff zum Opfer fallen, bleiben die vertraulichsten Informationen Ihres Unternehmen durch ein sicheres Master-Passwort, das nur autorisierte Mitarbeiter kennen, geschützt.
Kleinere Unternehmen können durch Whaling-Angriffe große Verluste erleiden, da sie – im Gegensatz zu großen Konzernen – keine großen Beträge abschreiben können. Mit guter Passwortmanager für Unternehmen können Sie sensible Dateien vor unliebsamen Zugriffen schützen und irreversible Schäden, die Whaling-Angriffe nach sich ziehen können, verhindern.