Auf der Jagd nach dicken Fischen

Schutz vor Phishing- und Whaling-Angriffen

Betrachtet man die Techniken der Cyberkriminellen, liegt der Vergleich mit dem Fischfang auf der Hand: So werfen Phishing-Angreifer ein großes Netz aus, wobei es ihnen letztlich egal ist, wer sich darin verfängt. Ganz nach dem Motto: Viel bringt viel.

Angelzubehör

Die Täter hinter Spear-Phishing-Angriffen fischen zunächst im Netz nach persönlichen Informationen ihrer Opfer.

Um möglichst große Beute zu machen, setzen Phishing-Angreifer auf Massenversand und Themen, die möglichst viele Nutzer ansprechen, etwa die Aussicht auf Reichtum (Gewinnspiele, vermeintliche Erbschaften u.Ä.) oder schiere Neugier („Hast du schon die neuesten Bilder von XY gesehen?“). Bei der enormen Anzahl an verschickten Mails reicht es schon, wenn ein Bruchteil der Empfänger auf den entsprechenden Link klickt, der die Nutzer Zugangsdaten eingeben lässt oder Malware installiert.

Beim Spear Phishing sind die Angriffe wesentlich gezielter: Die Opfer werden genau ausgewählt und statt des riesigen Schleppnetzes des Phishing-Angriffs ist sozusagen der Speer die Waffe der Wahl. Hierzu locken sie mit Informationen, die die Nachrichten wie eine vertrauenswürdige oder vertraute Quelle erscheinen lassen und nutzen so viele (durch Social Engineering erlangte) persönliche Informationen und Details wie möglich, um ihre Nachrichten legitim und plausibel erscheinen zu lassen. Und dann gibt es noch „Whaling“, also die Jagd nach den besonders dicken Fischen – obgleich der Wal biologisch betrachtet gar kein Fisch ist. Die anvisierten Ziele gehören der Führungsriege eines Unternehmens an und verfügen über weitreichende Befugnisse und Möglichkeiten, die Kriminelle gerne ausnutzen möchten.

Eine Frage des Köders

Um an die großen Ziele zu kommen, bedarf es eines entsprechend großen Köders. Deshalb geben sich die Angreifer zumeist als Führungskraft desselben Unternehmens aus. Damit dies funktioniert, sind umfangreiche Recherchen sowohl über das Opfer als auch über die Scheinidentität nötig. Soziale Medien eignen sich hierfür geradezu ideal, verraten sie nicht nur etwas über die Interessen und Fähigkeiten der Personen, sondern geben auch Hinweise auf Geschäftsreisen oder Urlaube.

Dies ist ein Artikel aus unserer Print-Ausgabe 10/2018. Bestellen Sie ein kostenfreies Probe-Abo.

Wie gehen die Angreifer nun vor? Es ist klar, dass Attacken dieser Art wesentlich mehr Recherche und Planung erfordern als gewöhnliche Phishing- oder Spear-Phishing-Angriffe: Hier muss nicht nur der Empfänger ausspioniert werden, vielmehr muss der Angreifer sich auch möglichst viel von der Person, für die er sich ausgibt, aneignen. Es geht darum, wie ein „Method Actor“ in die Rolle zu schlüpfen und die Sprache, den Stil u.Ä. so genau wie möglich zu imitieren oder simulieren. Entsprechend sorgfältig wird das Profil studiert und der Angriffsplan geschmiedet.

E-Mails sind die bei Weitem effektivste Phishing-Methode (dies gilt auch für Whaling): 98 Prozent der Angriffe erfolgen auf diesem Weg. Während sich in der Vergangenheit Phishing-E-Mails vor allem darauf konzentrierten, Links oder Anhänge mit Malware einzubinden, gibt es in jüngster Zeit den Trend zu gezielten – und plausiblen – Anfragen und Anweisungen. Hier überschneiden sich Whaling-Angriffe und der sogenannte CEO-Fraud. In beiden Fällen gibt der Mail-Absender vor, der CEO, Geschäftsführer etc. zu sein, um den Empfänger beispielsweise zu Überweisungen oder der Herausgabe vertraulicher Informationen zu bewegen.

Wie kann man sich schützen?

Während für Mitarbeiter Sicherheitsschulungen fast schon zum Standard gehören, sind diese bei Führungskräften noch eher selten. Und das, wo sie zu den bevorzugten Zielen gehören und nicht nur aus diesem Grund besonders anfällig sind. Auch das Charakterbild scheint hier beizutragen. Dr. Zinaida Benenson von der Friedrich-Alexander-Universität (FAU) Erlangen-Nürnberg forscht u.a. im Bereich Phishing und stellte in einem Webcast fest: „Ich denke, dass es auch einige Persönlichkeitsmerkmale von Führungskräften gibt, die sie dazu veranlassen könnten, häufiger zu klicken. Denn sie haben ihre Positionen nicht dadurch erreicht, dass sie besonders vorsichtig waren und kein Risiko eingegangen sind!”

So schützt man sich vor Phishing-Attacken
Folgende Tipps des Sicherheitsanbieters Varonis bilden eine Grundlage für den Schutz vor Phishing- und Whaling-Angriffen:

  • Information der Mitarbeiter und insbesondere der Führungskräfte über diese Art von Angriffen und wie sie die entsprechenden Mails erkennen
  • Bevor man auf eine E-Mail reagiert, sollte die Antwort-Mail-Adresse überprüft werden, um festzustellen, ob sie tatsächlich legitim ist.
  • Bei dringenden und verdächtigen E-Mails sollte man den Absender anrufen und sich die Anfrage bestätigen lassen.
  • Markiert werden sollten alle E-Mails, die von außerhalb des Unternehmens kommen. Dies hilft, potentielle Betrugs-E-Mails hervorzuheben.
  • Zudem sollte man den Einsatz von Social Media mit dem Führungsteam diskutieren, da dies direkten Einfluss auf die Gefahr von Whaling-Angriffen hat.
  • Den Mitarbeitern muss klargemacht werden, dass gepostete Informationen eine Goldmine für Angreifer sein können. Sie sollten für diese Problematik sensibilisiert werden.

Bildquelle: Thinkstock/iStock

 

 

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok