Was ist Whaling?
Haben Sie eine hohe Position in Ihrem Unternehmen? Dann sind Sie ein Ziel für viele Online-Kriminelle. Kriminelle wissen, dass mit Ihnen aufgrund Ihrer Position im Unternehmen potenziell mehr Geld zu verdienen ist. Was können Sie tun, um solche Angriffe zu verhindern, und wie können Sie sich weiter schützen? Lesen Sie in unserem Artikel unten!
Whaling ist eine Form des Spear-Phishings, bei der Kriminelle hauptsächlich auf eine oder mehrere Personen in hohen Positionen abzielen. Der Angriff ist daher oft personalisiert und wirkt glaubwürdig. Personen, die in einer Organisation eine hohe Funktion innehaben, sollten bei den E-Mails, die sie erhalten, immer besonders aufmerksam sein.
Der Begriff Whaling bezieht sich hier auf einen “Wal” oder eine Person mit großem Einfluss oder Interessen. Der potenzielle finanzielle Gewinn ist daher größer.
1. Beispiele für eine Whalingkampagne
Im Prinzip unterscheidet sich das Whaling nicht sehr vom Spear-Phishing. Der Angreifer bereitet sich sorgfältig vor und sammelt Informationen von seinem Opfer. Auf diese Weise erhöht der Angreifer die Zuverlässigkeit seiner Kommunikation und seine Chancen. Wie bei anderen Formen des Phishings spielen auch hier die Dringlichkeit und das Gefahrenpotenzial eine wichtige Rolle. Dies wird häufig durch eine Frist oder eine Strafe angezeigt.
In einem Fall einer Whalingkampagne erhielten mehrere Vorstandsvorsitzende aus verschiedenen Branchen eine E-Mail mit sachlichen Informationen über sie und ihre Unternehmen. Die Informationen stammten offenbar von einem US-Bezirksgericht, wo man in einer Zivilsache vor ein Geschworenengericht geladen wurde. Die Vorladung konnte über einen Link aufgerufen werden, doch beim Anklicken des Links wurde eine Schadsoftware installiert.
2. Wie kann ich meine Organisation gegen den Whaling schützen?
Obwohl Sie sich, wie bei anderen Formen des Phishing, nicht vollständig vor Whaling schützen können, können Sie als Unternehmen eine Reihe von bewährten Verfahren anwenden.
2.1 Schaffen Sie ein Bewusstsein innerhalb Ihrer Organisation
Der erste Schritt zur Abwehr jeglicher Form von Cyber-Bedrohungen besteht darin, das Bewusstsein innerhalb Ihrer Organisation zu schärfen. Mithilfe von Cyber Security Awareness Trainings können Sie die Mitglieder Ihrer Organisation darin schulen, die verschiedenen Formen von Bedrohungen zu erkennen.
2.2 Seien Sie vorsichtig mit sozialen Medien
Jeder Mitarbeiter, aber bei Whaling betrifft dies vor allem hochrangige Mitarbeiter, sollte bei der Veröffentlichung und Weitergabe von Informationen auf Social-Media-Seiten wie Facebook, Twitter und LinkedIn vorsichtig sein. Cyberkriminelle können Informationen wie Geburtstage, Berufsbezeichnungen, Beförderungen und Kontakte nutzen, um komplexere Angriffe durchzuführen.
2.3 Erwägung einer Änderung der Unternehmenspolitik
Vertrauen ist gut, Kontrolle ist besser. Denken Sie zum Beispiel daran, dass Zahlungen ab einem bestimmten Betrag immer von zwei Personen anstatt von einer Person genehmigt werden.
Darüber hinaus kann einem Prozess eine zusätzliche Überprüfungsebene hinzugefügt werden. So können Sie beispielsweise bei wichtigen oder sensiblen Transaktionen ein persönliches Gespräch oder einen Telefonanruf zur Überprüfung führen.