"Whaling" ist die lukrativere Form des Phishing: Statt kleiner werden gezielt "große Fische" um ihr Geld gebracht. Betrüger fälschen E-Mails so perfekt, dass mancher Vorstand selbst Millionenbeträge ohne Rückversicherung zur Überweisung freigibt. Hier eine kleine Auswahl.
Passen Sie auf, dass Sie den Walfängern nicht ins Netz gehen! Foto: Alexey Mhoyan - shutterstock.com
Die Gefahr durch Whaling wächst - ein Großteil der Unternehmen hat in den vergangenen Monaten einen Anstieg der gezielten Betrugsversuche via E-Mail festgestellt. Kein Wunder: In zahlreichen Finanzbuchhaltungen wurden Jahresabschlüsse und werden derzeit Steuererklärungen gemacht - der E-Mail-Verkehr zwischen Vorstand und Buchhalter floriert, da kann schon einmal etwas Gefälschtes durchrutschen. Besonders dann, wenn sich die Texte eher beiläufig und gewöhnlich lesen - hier haben die Betrüger vorher ganze Arbeit geleistet und sich bestens über die beteiligten Personen und Vorgänge im Unternehmen informiert.
E-Mail-Sicherheitsanbieter Mimecast hat einige Whaling-Versuche gesammelt, die wir Ihnen hier präsentieren können. Namen und Domains wurden aus Datenschutzgründen verändert. Der Beitrag erschien im englischen Original bei unserer auf das Thema "IT-Security für Vorstände" spezialisierten US-Schwesterpublikation CSOonline.com.
Vorsicht vor diesen Whaling-Mails!
Zu beschäftigt zum Telefonieren Dieser Betrugsversuch fand in New York statt - der Angreifer hatte sich eine Domain gesichert, die sich der des angegriffenen Unternehmen sehr ähnelte. Die beiden "O" im Firmennamen wurden einfach durch zwei Nullen ersetzt - schnell zu übersehen.
Es muss schnell gehen Im kanadischen Toronto arbeitete man mit einem ähnlichen Trick - hier wurde das "m" im Unternehmensnamen durch ein "rn" ersetzt. Durch den zusätzlich erzeugten Zeitdruck sollte verhindert werden, dass Frank zum Nachdenken kam.
Augen auf Das hier sieht ein wenig semiprofessionell aus - die 1 in der Absender-Adresse fällt sofort auf. Ein vielbeschäftigter CEO schaut aber vielleicht nicht ganz so genau hin, wenn er zwischen zwei 10-Millionen-Überweisungen einmal eben etwas Sechsstelliges freigeben soll. Entdeckt wurde diese Mail hier auf einem Server in New York.
Ob es da ein Muster gibt? Das Doppel-S im Unternehmensnamen kann man überseehen. Dass Amelia hier ansonsten annähernd denselben Text verwendet wie Richard zwei E-Mails vorher, hoffentlich nicht.
Sieht ganz so aus... Hier meldet sich Amelia bestimmt noch einmal - sie hatte noch eine Doppel-S-Domain im Hosting-Paket frei. Der Text ist aber neu - nur, kleine Frage: "soonest"? Really?
Sofort! Es scheint beliebt zu sein, eine nur in einem Buchstaben veränderte Domain für kriminelle Machenschaften zu organisieren. In diesem Fall - der Server, von dem die Mail verschickt wurde, stand im südafrikanischen Johannesburg - geht es um ein C zuviel.
Einfallslos Nagut, hierauf fällt wohl hoffentlich niemand herein. Hotmail? Das gibt es noch?
Wo ist Walter? "Breaking Bad" ist zuende, die Geschichte von Walter White lebt weiter. Ganz besonders, wenn die E-Mail-Adressen so kreativ sind - in diesem Fall sieht sie der echten (die wir nicht offenlegen) aber wirklich zum Verwechseln ähnlich.
Gmail? Als wäre Hotmail nicht genug, versucht es hier einer mit Googles Mail-Dienst. Viel Erfolg!
Gmail! Scheint aber zu funktionieren, sonst würden es nicht so viele E-Mail-Betrüger mit solchen Adressen versuchen.<br /><br /> Fazit: Passen Sie auf, von wem die E-Mails kommen - und seien sie noch so beiläufig, vertrauenserweckend und plausibel formuliert. Einmal mehr persönlich rückversichern kann Ihnen viel Geld sparen...
Social Engineering verhindern
Wenn Sie nun schockiert sind, wie plausibel und gut recherchiert diese E-Mails formuliert sind, weil zumindest die Namen und der Kontext häufig stimmt, haben Sie sich noch zu wenig mit dem Phänomen "Social Engineering" auseinander gesetzt. Gerade als hochrangiges Mitglied der Geschäftsführung oder eines Vorstands sollten Sie wissen, mit welchen Methoden und Tricks Kriminelle heutzutage arbeiten, um an Ihr Geld zu gelangen:
Social Engineering: Die Methoden der Cyberkriminellen
Social Engineering bekämpfen Die Gefahren durch Social Engineering treffen sogar erfahrene IT-Profis. Auch wenn es keine Standard-Gegenmittel gibt, geht es in erster Linie darum, die Methoden der Angreifer zu verstehen. Dann ist der Kampf schon halb gewonnen. Wir zeigen sieben perfide Wege, über die Social Engineers an ihre Daten und ihr Geld wollen.
Der "vergessene" USB-Stick Oops, da hat doch glatt jemand einen Stick liegengelassen. Na, wollen wir mal schnell schauen, wem er gehört - also am besten eben an den Rechner gesteckt ... <br /><br />Dieser alte Bauerntrick ist immer noch einer der erfolgreichsten Angriffe auf Unternehmen. Auch wenn Microsoft beispielsweise das automatische Starten von Anwendungen auf USB-Sticks unter Windows unterbindet, helfen kreative, Neugier weckende Dateinamen enorm, unvorsichtige Mitarbeiter zum Klicken zu bewegen. Unternehmen bleibt nur, USB-Ports komplett zu sperren oder - sinnvoller - ihre Mitarbeiter entsprechend zu schulen.
Perfekt gefälschte Phishing-Mails Den meisten Phishing-Mails sieht man ihre Herkunft: Schlecht formatiert, grausame Ausdrucksweise, billiges Zum-Klicken-Auffordern. Dennoch gibt es immer wieder Exemplare, die vortäuschen, von der Bank, der Krankenkasse, der Versicherung oder der Personalabteilung zu kommen und die ängstliche Mitarbeiter schnell am Haken haben. Dann genügt ein Klick, un das gesamte Unternehmensnetz ist infiziert. Dabei ist es gar nicht so schwer, Phishing-Mails zu erkennen - und seien sie noch so gut gemacht. Sobald das Ziel der Mail ist, einen Link zu klicken, persönliche Daten zu überprüfen oder einzugeben, sollte die Mail ganz schnell in Ablage P landen.
Mails von "Freunden" und "Kollegen" Im Gegensatz zum generischen Phishing richtet sich Spear Phishing ganz gezielt gegen Einzelne oder eine kleine Gruppe von Menschen. Beliebt unter Angreifern ist es, in sozialen Netzen nach Opfern Ausschau zu halten, sie nach ihren Hobbys und Tätigkeiten auszuspionieren. Anschließend werden maßgefertigte Phishing-Mails entworfen und versendet - hier stimmt die Anrede, der Name der adressierten Firma und häufig auch der Anhang, der als Brief eines Arbeitskollegen oder flüchtigen Bekannten getarnt wird. Der Erfolg dieser Aktion ist natürlich höher als beim generischen Phishing. Was hilft? Konsequentes Misstrauen, persönliches Nachfragen beim vermeintlichen Absender und das Ignorieren aller E-Mail-Anhänge.
Telefonanrufe Talentierte Angreifer schaffen es spielend, per Telefon persönliche Informationen aus einem Menschen herauszukitzeln, ohne dass dieser es überhaupt mitbekommt. Wer also von der "IT-Abteilung" angerufen wird, um ein Passwort zu verifizieren oder von der "Versicherung", seine Adresse zu bestätigen, sollte vor allem eins tun: Sich die Nummer aufschreiben und den sofortigen Rückruf anbieten. Alternativ den Anrufer über die Dinge ausfragen, die der bereits wissen müsste, wenn er der ist, für den er sich ausgibt. Grundsätzlich gilt: Sensible Informationen, vor allem Passwörter, niemals per Telefon weitergeben!
Physische Sicherheit des Büros Ziehen Sie die typische Kleidung einer Firma an, tun Sie so, als gehörten Sie dazu und schmuggeln Sie sich in die Mitarbeitergruppe, die gerade aus der Raucherpause zurück ins Innere des Unternehmensgebäudes bummelt. Zack, schon sind Sie drin!<br /><br /> Da kann die Technik noch so sicher sein, gegen solches unbefugtes Eindringen sind vor allem große Unternehmen oft schlecht gefeilt, weil dort eben nicht jeder jeden kennt. Bläuen Sie Ihren (Empfangs-)Mitarbeitern ein, dass sie nach gefälschten Mitarbeiterausweisen Ausschau halten und sich gerade unbekannte Personen genauer ansehen.
Der freundliche Supportmitarbeiter Ihn hatten wir schon beim Punkt "Telefonanrufe". Der Fake-Anruf aus dem IT-Support oder direkt vom Hersteller, weil das letzte Update des Betriebssystems noch final verifiziert werden muss, etwas mit der Systemkonfiguration nicht stimmt oder der bestellte neue Rechner gleich kommt und vorher noch etwas am alten System zu tun ist. Sobald jemand den Fremdzugriff (Remote Access) auf Ihren Computer haben möchte, sollte er einen guten Grund haben. Und nein, Microsoft ruft niemanden persönlich an, um etwas bei Windows zu korrigieren. Sagen Sie das den Mitarbeitern!
Wie Sie sich davor schützen, verrät Ihnen die nachfolgende Bilderstrecke:
So schützen Sie sich vor Social Engineering
Die Psychotricks des Social Engineering Moderne Social-Engineering-Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar. Wir zeigen Ihnen, mit welchen Psychotricks die Cyberkriminellen arbeiten.
Grundlegende Bedürfnisse Beim Social Engineering geht es nicht um technische Machbarkeiten und Möglichkeiten. Der Social Engineer greift über grundlegende Bedürfnisse an. Hilfsbereitschaft. Leichtgläubigkeit, Neugier, (Wunsch nach) Anerkennung - er baut Druck auf und verbreitet Angst. Weil viele Menschen nach dem Motto "bloß kein Streit" verfahren, ist diese Strategie oft erfolgreich.
Soziale Eigenschaften Unsere sozialen Eigenschaften können unsere sozialen Einfalltore sein. Nicht nur die Einschätzung Fremder bereitet vielen Menschen Probleme. Meist sind sie auch nicht in der Lage, ihre eigenen kommunikativen Stärken einzuschätzen. Ist es die Anerkennung oder womöglich Druck, mittels derer die Angreifer zum Ziel kommen?
Der Reiz des Verbotenen Beim Social Engineering versuchen Angreifer Mitarbeiter von Unternehmen auszuhorchen oder zu Fehlhandlungen zu verleiten. Sie dazu zu bringen, Dinge zu tun, die sie nicht tun sollten. Ziel der Angreifer ist es, an Informationen zu gelangen, um Wirtschaftsspionage zu betreiben oder Geld zu ergaunern.
Digitale Kommunikation Der souveräne Umgang mit Kommunikationsmedien und –kanälen führt zunehmend zu einer Auflösung der Unterscheidung von analoger und digitaler Kommunikation. Analoge Kommunikation bedient sich verschiedener Kanäle: verbal (Sprachinhalt), non-verbal (Körpersprache, Mimik, Gestik, Kleidung, Duft) und para-verbal (Sprechgeschwindigkeit, Stimmlage, Lautstärke). Digitale Kommunikation beschränkt sich häufig auf den Inhalt und Videotelefonie gaukelt vor, dass alle Sinne beteiligt sind. Das sind sie nicht. Deshalb ist digitale Kommunikation ein Risiko im Kontext von Social Engineering.
Falsche Tatsachen Märchen bieten gestern wie heute geeignete Bilder fürs Social Engineering. In ‚Der Wolf und die sieben Geißlein‘ werden sogar Methoden beschrieben, die denen eines Social Engineers ähneln, beispielsweise geweißte Pfoten und erhöhte Stimme. Wenn wir uns dem Thema Social Engineering stellen, wird uns bewusst, dass Menschen sich im Verlaufe einer Entwicklung als ganz andere entpuppen können als vormals geglaubt. So anders, dass sich unsere Situation schlagartig und drastisch verändern kann.
Wirksamer Schutz vor Social Engineering Basierend auf den Studienergebnissen setzt ein sinnvoller und funktionierender Schutz vor Social Engineering auf drei Ebenen an: 1. Bewusstsein für das eigene Kommunikationsverhalten entwickeln 2. Identifikation von relevanten sozialen Eigenschaften 3. Entwicklung einer geeigneten Sicherheits- und Unternehmenskultur