Wir bei Kraden sind der Meinung, dass jede Führungskraft lernen muss, einen potenziellen Phishing-Angriff zu erkennen und sich dagegen zu schützen. Der Internet Crime Report des FBI belegt, dass durch Internetkriminalität jedes Jahr Schäden in Höhe von fast 3 Milliarden Dollar entstehen. Und der dadurch verursachte Stress? Der ist unermesslich. Phishing ist eine der häufigsten Formen der Internetkriminalität. Führungskräfte sind das Hauptziel von Spear-Phishing. In diesem Artikel möchten wir dieses Problem ansprechen und Unternehmen dabei helfen, sich und ihre Führungskräfte besser zu schützen!
Was ist Phishing für Führungskräfte?
Executive Phishing, auch Whaling genannt (und manchmal -
Spear-Phishing) sind gezielte, personalisierte Cyberangriffe, die die Interaktion der Führungskraft mit anderen Mitgliedern des Unternehmens oder Dienstleistern nutzen. Es gibt viele Möglichkeiten, einen solchen Angriff durchzuführen und zu starten, aber in der Regel haben es Hacker auf sensible Unternehmensdaten (z. B. Gehaltsabrechnungen, Bankkontodaten, anstehende Geschäfte usw.) oder Geld abgesehen. Letzteres können sie erlangen, indem sie sich Zugang zu den Banken oder Finanzbeteiligungen verschaffen (über Führungskräfte) oder Lösegeld erpressen. Die Kriminellen verschaffen sich das Geld durch Täuschung und Social Engineering, wobei sie sich auch ein wenig mit Malware auskennen.
Phishing-Angriffe sind Teil eines größeren Netzes von Betrügereien, die als Social-Engineering-Techniken bekannt sind, wie bereits erwähnt. Phishing ist eine der von Cyberkriminellen am häufigsten verwendeten Techniken, weil sie billig, einfach zu erstellen und sehr effektiv ist. Das liegt daran, dass sie auf das schwächste Glied in der Sicherheitsarchitektur abzielt - den Benutzer. Um Ihnen eine Vorstellung davon zu geben, wie Executive Phishing durchgeführt werden kann, sehen Sie sich dieses Beispiel an:
Die Führungskraft erhält eine E-Mail von der Finanzabteilung über seinen letzten Gehaltsscheck oder Bonus. Die E-Mail enthält einen Link, der ihn auffordert, seinen Benutzernamen und sein Kennwort auf einer gefälschten Website einzugeben, die wie die offizielle Website der Bank oder des Unternehmens für die Gehaltsabrechnung aussieht. Die Führungskraft denkt, dass sie eine offizielle Website benutzt, aber in Wirklichkeit gibt sie ihre Anmeldedaten auf einer gefälschten Website ein.
Bumm, jetzt hat der Hacker Zugriff auf die Zugangsdaten des hochrangigen Benutzers und kann auf Daten zugreifen.
Wie kann man Executive Phishing erkennen und verhindern?
Die folgende Tabelle fasst einige gute Taktiken und Entscheidungen zusammen, die helfen können, einen Phishing-Angriff zu vermeiden, zu stoppen und/oder zu verhindern.
- Informieren Sie Ihre leitenden Angestellten über das Risiko von Spear-Phishing.
- Strenge und sehr präzise Richtlinien und Regeln für den Datenaustausch und den Datenschutz einführen.
- Versuchen Sie, wo immer möglich, einen MFA- und 2FA-Schutz für Prozesse und Zugriffe zu implementieren.
- Führen Sie ein spezielles Memo darüber ein, wie die unverantwortliche Nutzung sozialer Medien zu Phishing führen kann.
- Kennzeichnen Sie außerdem gezielt alle E-Mails, die von außerhalb des Unternehmens kommen.
- Führen Sie monatliche Schulungen zum Thema Sicherheit durch oder verwenden Sie Software von Drittanbietern wie KnowBe4.
Phishing von Führungskräften ist also eine gefährliche und weit verbreitete Form der Cyberkriminalität, aber wenn Sie sich mit dem nötigen Wissen ausstatten und die richtigen Vorsichtsmaßnahmen ergreifen, kann Ihr Führungsteam Phishing von Führungskräften verhindern oder zumindest die Verluste minimieren, falls sie doch auftreten.
Das Erkennen von Phishing-Angriffen ist ziemlich schwierig, vor allem auf der Ebene der Führungskräfte. Das liegt vor allem daran, dass Führungskräfte viele E-Mails erhalten und sehr beschäftigt sind, so dass ihre Aufmerksamkeit sehr leicht ausgenutzt werden kann. Die Implementierung von Richtlinien und Schulungen kann jedoch dazu beitragen, diese Risiken zu verringern. Wenn Sie mehr über Phishing bei Führungskräften erfahren oder Ihre Mitarbeiter davor schützen möchten, können Sie einen Berater oder ein Beratungsunternehmen beauftragen, Ihnen bei der Einrichtung zu helfen.
Phishing-E-Mails kommen in der Regel von außerhalb des Unternehmens, und Unternehmen sollten sich des E-Mail-Spoofings bewusst sein. Phishing-E-Mails an Führungskräfte können jedoch von innen oder außen kommen, was die Abwehr dieser Art von Cyberkriminalität sehr schwierig macht. Aus diesem Grund ist eine Schulung der Führungskräfte erforderlich, um Phishing zu vermeiden.
Wenn einer Ihrer Mitarbeiter oder Führungskräfte feststellt, dass er von einem Phishing-Betrug betroffen ist, sollte er sich immer an das IT-Personal des Unternehmens wenden, um Hilfe zu erhalten. Wenn es sich um eine externe Partei handelt, die sich als solche ausgibt, können Sie sich an diese Partei wenden (Bank, Dienstleister usw.), um deren Unterstützung zu erhalten und sie zu informieren. Auch die Cyber-Polizei sollte informiert werden, wenn der Angriff wirklich die Sicherheit Ihres Unternehmens und die Integrität Ihres Rufs bedroht.
Kann eine private, Ende-zu-Ende-verschlüsselte Kommunikation das Risiko von Spear-Phishing verringern?
Eine Ende-zu-Ende-verschlüsselte Kommunikation ist eine gute Möglichkeit, die Datensicherheit innerhalb eines Unternehmens zu erhöhen.
Auch wenn es Phishing von Führungskräften nicht unmöglich macht, so kann es doch das Risiko von Spear-Phishing von Führungskräften verringern, indem es die Nachrichten widerstandsfähiger gegen Man-in-the-Middle-Angriffe (MITM) und Spoofing macht.
Ein einfaches Beispiel dafür, wie MITM-Angriffe funktionieren.
MMS-Anhänge sind bei Hackern sehr beliebt, da sie es ihnen ermöglichen, Malware einzuschleusen, um auf Geräte und Daten von Führungskräften zuzugreifen. Eine private, Ende-zu-Ende-verschlüsselte Kommunikation schafft eine sichere Umgebung, die es Hackern sehr viel schwerer macht, auf Anmeldedaten und sensible Informationen von Führungskräften zuzugreifen.
Kraden ist eine hochmoderne Lösung für Privatanwender und Unternehmensvertreter, die eine sichere Umgebung für den Austausch von Text-, Sprach-, Bild- und Videodateien nutzen möchten. verwenden
Kraden sollte dazu beitragen, ein Umfeld zu schaffen, das für Phishing im Allgemeinen viel weniger anfällig ist.
Schlussfolgerung
Executive Phishing ist eine sehr häufige Art von Cyberangriffen, aber es gibt Maßnahmen, die mehr Unternehmen dabei helfen können, sie zu vermeiden oder die durch sie verursachten Schäden zu minimieren.
Unternehmen sollten stets Schulungen für Führungskräfte durchführen, um das Phishing-Risiko zu verringern, denn bei diesen Angriffen werden nicht die Systeme, sondern die Menschen und ihr mangelndes Bewusstsein für diese Art von Situationen ausgenutzt.
Eine Ende-zu-Ende-verschlüsselte Kommunikation, wie wir sie mit Kraden praktizieren, ist eine großartige Möglichkeit, die Vertraulichkeit der Kommunikation zu erhöhen und externe Sicherheitsbedrohungen wie Executive Phishing zu vermeiden.