Cyberbetrüger sind wie Schatzsucher: Je größer die Belohnung, desto besser. Größere Belohnungen sind zwar mit größeren Risiken verbunden, aber um sie zu erhalten, ist auch mehr Geschicklichkeit erforderlich, was für die ruchlosen Täter mehr Angeberrechte bedeutet. Es gibt keine größere Belohnung als einen Wal in einem Phishing-Schema zu landen.

Je mehr Zugang oder vermeintliche Macht eine Person in ihrem Unternehmen hat, desto wahrscheinlicher ist es, dass Cyberkriminelle versuchen, ihre Anmeldedaten zu stehlen. Der Zugriff auf das Konto eines einzigen hochrangigen Mitarbeiters könnte den Zugriff auf Bankkonten des Unternehmens, vertrauliche Informationen und persönliche Mitarbeiterdaten bedeuten.

Wer zum Führungsteam eines Unternehmens gehört, ist stärker gefährdet, Opfer von gezielten Phishing-Angriffen zu werden. Daher ist es wichtig, so viel wie möglich über diese Art von Angriffen zu wissen und zu wissen, wie man sie verhindern kann.

Um besser zu verstehen, was Whaling ist und wie es sich von anderen Phishing-Methoden unterscheidet, erklären wir zunächst, was Phishing ist.

Was ist Phishing?

Phishing ist eine Technik, die von Cyberkriminellen eingesetzt wird, um an persönliche Daten (wie Kreditkartennummern oder Anmeldedaten) zu gelangen, indem sie eine E-Mail versenden, die so aussieht, als käme sie von einer legitimen Quelle, die Sie aber dazu verleiten soll, auf einen bösartigen Link zu klicken oder einen Anhang herunterzuladen, der möglicherweise mit Malware gespickt ist.

Phisher erstellen in der Regel gefälschte E-Mails, die den Anschein erwecken, von jemandem zu stammen, dem Sie vertrauen, z. B. von einer Bank, einem Kreditkartenunternehmen oder einer beliebten Website. In der E-Mail werden Sie möglicherweise aufgefordert, „Ihre Kontodaten zu bestätigen“, und zu einer Website weitergeleitet, die wie die echte Website aussieht, deren einziger Zweck jedoch darin besteht, Informationen zu stehlen.

Phishing-Angriffe können bei Personen zu Hause, im Büro, am Telefon und sogar über Textnachrichten erfolgen, daher ist es wichtig, wachsam zu sein, egal welches Gerät Sie verwenden.

Was ist Whale Phishing oder Whaling?

Whaling oder Wal-Phishing ist eine Art gezielter Phishing-Angriff, der auf die Führungsebene eines Unternehmens abzielt. Diese hochrangigen Ziele haben in der Regel weitreichenden Zugang zu den Ressourcen eines Unternehmens, was sie zu „Walen“ macht.

Wenn Spear-Phishing in der Regel auf Angestellte oder kleine Unternehmen (die „Fische“) abzielt, dann ist der „Wal“ beim Whaling der „Big Fish“, ein hochrangiges Mitglied eines Unternehmens. Um ihre Aufmerksamkeit zu erregen, können die E-Mails den Anschein erwecken, dass es sich um rechtliche Drohungen oder wichtige Beschwerden handelt.

Das Ziel eines Kriminellen beim Whaling ist dasselbe wie bei jedem anderen Phishing-Angriff: eine Person dazu zu bringen, sensible Informationen preiszugeben, die zum Einbruch in das Netzwerk eines Unternehmens verwendet werden können.

Wie können Sie Ihr Unternehmen vor Whale-Phishing schützen?

Whale-Phishing kann auf die gleiche Weise verhindert werden, wie Sie sich vor jedem anderen E-Mail-Phishing-Angriff schützen würden:

• Überfahren Sie Links in E-Mails, um das Ziel zu überprüfen, bevor Sie darauf klicken.
• Löschen Sie verdächtige E-Mails mit aufsehenerregenden Betreffzeilen wie „Sie müssen jetzt handeln“ oder mit unprofessionellen Rechtschreibfehlern im Nachrichtentext.
• Öffnen Sie nur Anhänge aus vertrauenswürdigen Quellen.
• Rufen Sie im Zweifelsfall den Absender an, um sich zu vergewissern, dass er die E-Mail gesendet hat.

Da Wal-Phishing-Angriffe auf Top-Führungskräfte eines Unternehmens abzielen, ist es wichtig, dass sie ein gezieltes rollenbasiertes Sicherheitstraining absolvieren, damit sie sich der spezifischen Arten von Angriffen bewusst sind, mit denen sie aufgrund ihres Titels konfrontiert werden.

Das Versenden von Phishing-Simulationskampagnen kann ebenfalls dazu beitragen, diese Angriffe zu verhindern, indem Einzelpersonen durch ihr Beispiel lernen. Erfahren Sie mehr über den Anti-Phishing-Simulator von Inspired eLearning, PhishProof™.