Spear Phishing klingt wie etwas, das man gerne in den Ferien oder am Wochenende machen würde. Tatsächlich handelt es sich dabei um ein erhebliches Sicherheitsrisiko, das die meisten Unternehmen heutzutage betrifft.
Was ist Spear Phishing?
Bei Spear-Phishing-Angriffen suchen sich Cyber-Kriminelle ein bestimmtes Unternehmen aus, legen mit Hilfe von Social Media wie LinkedIn und Facebook Profile der Mitarbeiter an und versenden dann intelligent formulierte E-Mails, die von einer vertrauenswürdigen Quelle zu kommen scheinen.
Diese E-Mails vermitteln eine gewisse Dringlichkeit und verlangen nach einer schnellen Handlung wie zum Beispiel die Überweisung von Geldern auf ein falsches Bankkonto, das Anklicken eines Links oder Öffnen eines infizierten Anhangs.
Das FBI geht davon aus, dass seit 2013 allein in den USA mehr als 2,1 Milliarden USD durch Spear Phishing verloren gegangen sind. In einem bekannten Fall aus dem Jahr 2015 hat ein Mitarbeiter in drei einzelnen Über-weisungen über 17 Millionen USD an ein falsches Unternehmenskonto in China überwiesen.
Schützen Sie Ihr Unternehmen mit der DART-Methode
Delay – Verzögern:
Sie sollten immer erstmal abwarten. Prüfen Sie immer erst mit Kollegen oder der Geschäfts-führung, ob es sich um eine legitime Anfrage handelt.
Authenticate – Authentifizieren:
Kontaktieren Sie das Unternehmen des angeblichen Absenders direkt, um dessen Echtzeit zu prüfen. Wenn sich ein Cyber-Krimineller beispielsweise als Bankmitarbeiter ausgibt, wenden Sie sich an die Zentrale, um die Echtheit des Schreibens zu verifizieren, bevor Sie eine Überweisung vornehmen.
Resist – Widerstehen:
Cyber-Kriminelle möchten Sie dazu verleiten, auf einen Link zu klicken oder einen Anhang herunterzuladen, um so Malware auf Ihrem Computer zu installieren. Widerstehen Sie der Versuchung, auf etwas zu klicken oder es herunterzuladen, bis die IT Ihnen seine Echtheit und Sicherheit bestätigt.
Transfer – Weitergeben:
Bitten Sie ruhig Ihr IT-Sicherheitsteam, eine Mail für Sie zu prüfen. Es ist Best Practice, eine E-Mail mit der Bemerkung weiterzuleiten, dass es sich vermutlich um Spear Phishing handelt. So können Sie sich und Ihr Unternehmen schützen.
Klar definierte Unternehmensrichtlinien und Schulungen wie zum Beispiel die Befolgung der DART-Methode sind extrem wichtig, damit Ihre Mitarbeiter nicht dazu verleitet werden, vertrauliche Unternehmensdaten offenzulegen oder – noch schlimmer – enorme Geldbeträge an Cyber-Kriminelle zu überweisen, die Ihr Unternehmen sorgfältig ausgewählt und sich das Vertrauen ihrer Mitarbeiter erschlichen haben.
Seit Januar 2015 hat die Zahl der Spear-Phishing-Vorfälle um über 270% zugenommen, wobei gezielte Betrugsversuche in mehr als 70 Ländern auf der ganzen Welt gemeldet wurden. Der Grund für diesen „Erfolg“ ist die persönliche Ansprache. Durch sie werden Phishing-Mails glaubhaft, effizient und nur schwer zu durchschauen.
==========
Ihr Ansprechpatrtner für Cyberversicherung in Deutschland: René Ehlen
Folgen Sie CNA Hardy auf XING