So verhindern Sie Walfangangriffe: Ein umfassender Leitfaden
Ihre hochrangigen Mitarbeiter sind Torwächter zu einer Fundgrube sensibler Informationen über Ihr Unternehmen. Tief in Ihrem figurativen Datenschloss verbergen sich Dinge wie Sozialversicherungsnummern von Mitarbeitern, Bankkontoinformationen von Unternehmen, und Kundenkreditkartennummern. Dinge, die in den falschen Händen die Integrität Ihrer Marke gefährden und / oder Ihr Unternehmen Millionen von Dollar kosten könnten. Und alles, was es braucht, ist, dass eine Person beim Nickerchen erwischt wird.
Wie die Experten in jeder anderen Branche lernen und entwickeln sich Cyberkriminelle ständig weiter. Eines ihrer kompliziertesten Pläne ist der Walfang-Angriff, bei dem sie versuchen, sich als Sie oder einen Ihrer leitenden Angestellten auszugeben und Ihre Mitarbeiter zu betrügen.
Selbst wenn Sie dies lesen, plant ein Möchtegern-Kapitän Ahab seinen nächsten hochentwickelten Walfangangriff – und Sie sind ein ebenso gutes Ziel wie jedes andere. Hier ist ein FAQ-Style-Guide mit allem, was Sie brauchen, um diesen Angriff im Voraus zu erkennen und die Harpune tot zu stoppen.
Was ist ein Walfang-Angriff?
Ein Walfang-Angriff (auch bekannt als Walfang-Phishing) ist ein sorgfältig ausgearbeiteter Phishing-Betrug, bei dem sich ein Betrüger als hochrangige Führungskraft in Ihrem Unternehmen ausgibt, um Ihre Mitarbeiter dazu zu bringen, ihnen große Geldsummen zu verdrahten oder vertrauliche Informationen preiszugeben.
Wie unterscheidet sich ein Walfang-Angriff von einem Phishing-Angriff?
Alle Walfangangriffe sind Phishing-Angriffe, aber nicht alle Phishing-Angriffe sind Walfangangriffe.
Phishing-Angriffe gibt es schon seit einem Vierteljahrhundert. Mitte der neunziger Jahre wurde der Begriff ausschließlich verwendet, um Hacker zu beschreiben, die E-Mail-Explosionen als „Köder“ verschickten, um Passwörter und Kreditkartennummern von AOL-Benutzern zu „phishing“.
Heutzutage ist es allgemein definiert als jeder Internetbetrug, bei dem jemand versucht, vertrauliche Informationen mit betrügerischen Mitteln einzuholen. Beachten Sie: Wenn Sie auf den Streich Ihres Onkels hereinfallen können, können Sie auf einen Phishing-Betrug hereinfallen.
Während diese Betrügereien typischerweise ein breites Netz werfen (und relativ niedrige Erfolgsraten haben), beinhaltet eine Variante, die als Spear-Phishing-Angriffe bekannt ist, einen personalisierten Ansatz, um einen einzelnen Benutzer anzusprechen. Die meisten von ihnen nutzen Social Engineering, um das Opfer emotional zu schüren.
Walfangangriffe fallen unter diese Kategorie, aber in diesen Fällen ist der „Speer“ nachdenklich mit der Idee entworfen, einen viel größeren Preis einzuziehen.
Wie funktionieren Walfangangriffe?
Walfang Social Engineering ist unglaublich kompliziert; der Verbrecher wird in der Regel große Anstrengungen unternehmen, um seine Imitation eines C-Suite-Managers hyperrealistisch erscheinen zu lassen.
Am häufigsten recherchieren sie eingehend über a) ihr Ziel in Ihrer Organisation und b) den Vorgesetzten, den sie verkörpern werden.
Letzteres ist schwierig, aber durch die Verwendung einer ähnlichen E-Mail-Domain und die Einbeziehung von Firmenlogos und E-Mail-Signaturen können sie eine Halloween-würdige digitale Verkleidung erstellen. In anderen Fällen verwenden sie möglicherweise eine normale Google Mail-Adresse und geben an, die Nachricht von ihrem „persönlichen Konto“ aus zu senden.
Was das Ziel betrifft, ist es normalerweise nicht schwierig, das Facebook eines Mitarbeiters zu durchsuchen, ein Foto von einer Happy Hour nach der Arbeit zu finden und Details einzubeziehen, die „nur diese Führungskraft wissen konnte“.
Selbst wenn ein paar rote Fahnen Ihren Mitarbeiter dazu bringen, sich zu hüten, kann der Betrüger dies oft kompensieren, indem er Dinge wie Vertrauen, Dringlichkeit oder die Angst, seinen Job zu verlieren, wenn er sich nicht daran hält, ausnutzt.
Was ist das Schlimmste, was passieren könnte?
Fragen Sie Snapchat, der 2016 Opfer eines Walfangangriffs wurde. Ein HR-Vertreter in der Organisation des Social-Media-Riesen gabelte sich über Gehaltsdaten, die die persönlichen Informationen mehrerer Mitarbeiter enthüllten, einschließlich Aktienoptionsdaten und allem, was auf ihren W-2 aufgeführt ist.
Kaum einen Monat später überwies ein Finanzmanager bei Mattel 3 Millionen US-Dollar an eine chinesische Bank, nachdem er E-Mail-Anweisungen von „dem neuen CEO“ erhalten hatte.
Diese Betrügereien könnten sogar als kleine Kartoffeln angesehen werden, verglichen mit einigen größeren Angriffen, die Unternehmen zig Millionen Dollar gekostet haben. Schlimmer noch, sie haben viel Verbrauchervertrauen verloren, weil sie so leicht kompromittiert wurden.
Okay, wie kann ich das verhindern?
Wie ein Kind, das Mitte Januar im Schnee spielt, benötigen Sie mehrere Schutzschichten. Befolgen Sie diese Tipps, und Sie werden sich weniger anfällig für die Flut von Walfangangriffen machen, die jeden Tag stattfinden.
Informieren Sie Ihre Führungskräfte und Mitarbeiter
Die meisten Menschen halten Phishing-Betrügereien für sehr fehlerhaft und leicht zu erkennen, sodass sie möglicherweise keine Ahnung von akribischem Social Engineering beim Walfang haben. Lassen Sie Ihr Team zunächst wissen, dass diese Betrügereien existieren!
Dann trainiere sie
Wenn Sie Ihrem Team helfen, die Warnzeichen eines Walfangangriffs zu erkennen, können Sie am Ende Millionen sparen. IT-versierte Unternehmen wie Marco können sogar einen Überraschungsangriff simulieren, um festzustellen, wie anfällig Ihre Mitarbeiter sind.
E-Mails außerhalb Ihres Netzwerks kennzeichnen
Dies ist eine unglaublich einfache und effektive Möglichkeit, gefälschte E-Mail-Adressen preiszugeben. Der Unterschied zwischen „@smithlenses.com “ und „@smith1″.com“ kann in einer bestimmten Schriftart schwer zu erkennen sein, aber wenn Sie zeigen, dass die E-Mail außerhalb des Netzwerks ist, wird ein Alarm ausgelöst.
Einrichten von Protokollen zur Verhinderung des Walfangs
Einige großartige Beispiele hierfür sind die Überprüfung von Anfragen nach vertraulichen Informationen über andere Kanäle, z. B. einen Telefonanruf. Eine andere Person zu zwingen, sich von diesen Anfragen abzumelden, ist ebenfalls eine großartige Idee – es ist schwieriger, zwei Personen zu betrügen als eine.
In DLP-Software investieren
DLP-Software (Data Loss Prevention) kann Verstöße gegen die von Ihnen eingeführten Protokolle blockieren. Es kann auch E-Mails basierend auf dem Namen und dem Alter der Domain (neue Domains sind verdächtiger), der Ähnlichkeit des Anzeigenamens mit bekannten Kontakten und verdächtigen Schlüsselwörtern wie „Überweisung“ kennzeichnen.
Mitarbeiter müssen Social-Media-Profile privat machen
Wenn Sie LinkedIn- und Facebook-Profile von Mitarbeitern so einstellen, dass sie nur für Freunde sichtbar sind, wird es für zufällige Betrüger schwieriger, Zugriff auf ihre persönlichen Daten zu erhalten und diese als Teil eines Walfangangriffs zu verwenden.
Halten Sie Ihre Wache
Der einzige Weg, Walfangangriffe zu verhindern, besteht darin, sich so sorgfältig wie möglich darauf vorzubereiten. Wenn Sie jetzt ein wenig Hilfe von einer Firma wie Marco erhalten, können Sie Millionen von Dollar und Kopfschmerzen in Walgröße sparen.
