Sale % Sale Holiday sale Sale Sale % Sale Sale Holiday sale Sale Sale % Sale Sale Holiday sale

Was ist ein Whaling-Angriff? Erkennen und Vermeiden von CEO-Betrug

Lukas Grigas
Werbetexter für Cybersicherheit
Whaling attack

Seit dem Jahr 2013 haben US-Unternehmen unbeabsichtigt mehr als 12 Milliarden Dollar an Kriminelle überwiesen, die hinter Whaling-Angriffen stecken. Wahrscheinlich denken Sie, dass Sie niemals auf eine verdächtig aussehende E-Mail hereinfallen würden. Doch Whaling-Angriffe imitieren geschickt Ihren CEO oder CFO und stehlen so die wertvollsten Dateien und Informationen Ihres Unternehmens.

Wie funktioniert also ein Whaling-Angriff? Und was können Sie gleich jetzt tun, um einen solchen Angriff zu verhindern? In diesem Artikel zeigen wir Ihnen genau das.

Was ist ein Whaling-Angriff?

Ein Whaling-Angriff, auch bekannt als CEO-Betrug, zielt auf die großen Fische eines Unternehmens ab. Bei dieser Art von Angriff gibt sich ein Cyberkrimineller als ein hochrangiges Mitglied eines Unternehmens aus, um Finanzdaten und sensible Informationen zu stehlen oder auf Computersysteme zuzugreifen.

Whaling ähnelt dem Phishing – und kann auch als Whale-Phishing bezeichnet werden – in dem Sinne, dass es E-Mail- und Website-Spoofing verwendet, um Mitarbeiter oder Kunden dazu zu bringen, sensible Informationen preiszugeben oder Geld zu überweisen. Aber im Gegensatz zum Phishing lassen Whaling-Angriffe die Nachricht so aussehen, als stamme sie von einem CEO oder einer vergleichbar hohen Führungskraft. Auf diese Weise setzen die Cyberkriminellen auf das Vertrauen einer Person gegenüber einer Autorität, um ihren kriminellen Plan in die Tat umzusetzen.

Unterschiede zwischen Phishing, Whaling-Phishing und Spear-Phishing

Phishing, Spear-Phishing und Whaling klingen zwar alle nach Fischfang, sind aber drei verschiedene Arten von Cyberangriffen, bei denen es darum geht, durch Täuschung Informationen von einer ahnungslosen Person zu erhalten. Der Unterschied zwischen den drei Arten von Angriffen liegt in ihrer Präzision und dem Profil der Opfer.

Phishing-Versuche sind der allgemeinste Angriffstyp, bei dem unerwünschte E-Mails an eine große Anzahl von Personen gesendet werden. In der Regel imitieren diese E-Mails eine bekannte Organisation, um ahnungslose Personen dazu zu verleiten, sensible Daten wie Anmeldedaten oder Kreditkartennummern preiszugeben.

Spear-Phishing unterscheidet sich vom traditionellen Phishing dadurch, dass diese Form von Angriff speziell auf eine Person oder ein Unternehmen zugeschnitten wird. Im Gegensatz zum Phishing, bei dem ein großes Netz ausgeworfen wird, konzentriert sich Spear-Phishing auf persönliche Informationen über ein einzelnes Opfer, die häufig aus sozialen Medien stammen. Dadurch steigt die Wahrscheinlichkeit, dass die E-Mails vom Empfänger beachtet werden.

Whaling ist eine sehr spezielle Form des Spear-Phishing, bei der die hochrangigen Zielpersonen eher Führungskräfte oder andere wichtige Personen in einem Unternehmen sind. Der Begriff „Whaling“ stammt daher, dass diese Angriffe auf wichtige Persönlichkeiten in einer Organisation abzielen, die sogenannten „Wale“. Diese Angriffe werden oft sehr individuell gestaltet. Einige von ihnen verwenden zum Beispiel interne Mitteilungen oder kommen von einer Adresse, die einer Adresse innerhalb des Unternehmens sehr ähnlich ist. Diese Angriffe zielen oft darauf ab, große Geldsummen zu erbeuten oder sensible und vertrauliche Daten zu sammeln.

Beispiele für Whaling-Angriffe

Nun da Sie über grundlegendes Wissen zu Whaling-Angriffen verfügen, werden wir einen solchen Angriff anhand einiger Beispiele erläutern.

Dringende elektronische Zahlungsanweisung

Mit dem Ziel, schnell an billiges Geld zu kommen, versetzt der Hacker die Zielperson mit einer „dringenden“ E-Mail in eine stressige Situation. Die Nachricht wirkt scheinbar wie eine persönliche Mitteilung des Chefs und soll Vertrauen schaffen, damit der Mitarbeiter schließlich der Bitte nach einer elektronischen Zahlungsanweisung nachkommt. Die Überweisung muss auf ein bestimmtes Bankkonto an einem festgelegten Tag erfolgen.

Sie denken jetzt wahrscheinlich: „Warum sollte ich so etwas tun, ohne vorher meinen Chef zu fragen und die Sache bestätigen zu lassen?“Doch stellen Sie sich ein globales Unternehmen mit mehr als 10.000 Mitarbeitern vor. Jede Abteilung verfügt über Führungskräfte, stellvertretende Führungskräfte, Betriebsleiter und Finanzdirektoren, die ständig mit Zahlungen aller Art beschäftigt sind. Aus diesem Grund erscheint eine Bitte zur Geldüberweisung nicht unbedingt ungewöhnlich.

Eine Bitte zum Senden von Dateien

Stellen Sie sich vor, Sie beginnen Ihren Arbeitstag und haben bereits 45 ungelesene E-Mails in Ihrem Postfach. Sie werden diese schnell durchsehen und alle dringenden E-Mails abarbeiten, damit Sie mit Ihren anderen Aufgaben weitermachen können. Unter den dringenden E-Mails befindet sich eine Nachricht Ihres Vorgesetzten. Darin werden Sie gebeten, ein Dokument mit Zahlungsbelegen und den Kreditkarteninformationen des Unternehmens an ihn zu senden. Da es sich um Ihren „Vorgesetzten“ handelt, senden Sie die gewünschten Informationen, ohne dies zu hinterfragen. Und schon sind Sie mit minimalem kriminellen Aufwand auf einen Whaling-Angriff hereingefallen.

Whaling-Angriffe: Eine milliardenschwere Katastrophe für CEOs

Erfolgreiche Vorstandsvorsitzende von Konzernen lassen sich leicht imitieren – nicht nur Stimme und Tonfall, sondern auch ihr Aufenthaltsort kann im Internet recherchiert und von Kriminellen kopiert und instrumentalisiert werden. Whaling-Phishing-Angriffe überwinden Firewalls und umgehen selbst die komplexesten IT-Schutzmechanismen mit einer solchen Leichtigkeit, dass sich die Empfänger völlig inkompetent vorkommen können, weshalb solche Angriffe auch häufig nicht an die Öffentlichkeit gelangen. Zwischen 60 % und 70 % aller CFOs in den USA fielen bereits Whaling-Angriffen zum Opfer, die Milliardenverluste verursacht haben. Da es vielen der Betroffenen peinlich ist, „hereingefallen zu sein“, wird jede Möglichkeit auf Abhilfe im Keim erstickt.

Tausende von Unternehmen haben sich bereits damit abgefunden, jedes Jahr „vermeidbare Verluste“ in Milliardenhöhe abzuschreiben. Dabei ist die Prävention eines Whaling-Angriffs genauso einfach wie der Angriff selbst.

Wie sich Whaling-Angriffe vermeiden lassen

Whaling-Cyber-Angriffe nutzen Social Engineering, um die Opfer zur Herausgabe von Geldern zu bewegen. Lassen Sie sich jedoch nicht von einem Begriff einschüchtern, der nichts anderes bedeutet als „die Eigenart eines Menschen ausnutzen“. Wenn Sie dies berücksichtigen, können Whaling-Angriffe kostengünstig und wirksam bekämpft werden:

  1. Sensibilisierung des Teams

Um Whaling-Angriffe richtig abwehren zu können, sollten die Schulungen zum Sicherheitsbewusstsein der Mitarbeiter über bloße Grundlagen hinausgehen. Sie können fortschrittliche Simulationen einführen, die reale Szenarien widerspiegeln und die Fähigkeit der Mitarbeiter verbessern, Whaling-Angriffe zu erkennen und darauf zu reagieren. In Fortbildungen sollten die psychologischen Taktiken hervorgehoben werden, die für Whaling-Angriffe genutzt werden, wie z. B. Imitation und Manipulation. Außerdem könnten Sie abteilungsübergreifende Workshops organisieren, denn diese können dazu beitragen, dass alle Mitarbeiter, vom Einsteiger bis zur Führungskraft, auf dem gleichen Stand sind, wenn es um die allgemeine Wachsamkeit geht. Indem Sie kontinuierliches Lernen fördern und Ihre Mitarbeiter motivieren, über die neuesten Whaling-Techniken informiert zu bleiben, können Sie ein Team schaffen, das Whaling-Angriffe abwehren kann.

2. Lassen Sie elektronische Zahlungsanweisungen zweifach authorisieren

Wie bereits angedeutet, ist es wichtig, bei der Forderung einer Zahlungsanweisung eine zweite Meinung einzuholen. Drohende Whaling-Angriffe können verhindert werden, wenn man elektronische Zahlungsanweisungen von zwei Personen genehmigen lässt.

3. Führungskräfte sollten über private Social-Media-Konten verfügen

Whaling-Angriffe zielen auf die großen Fische eines Unternehmens ab. Hacker können Informationen von Führungskräften in sozialen Medien nutzen, um ihre wahre Identität zu verheimlichen und die Opfer zu täuschen. Dabei kann es sich beispielsweise um einen Beitrag zu einem Grillfest handeln, an dem die Führungskraft teilgenommen hat.

4. Cybersicherheits-Vorgaben und -Richtlinien

Cybersicherheits-Vorgaben und -Richtlinien. Der Aufbau einer sicheren Unternehmensumgebung erfordert einen vielschichtigen Ansatz. Bei Whaling-Angriffen ist die Umsetzung einer umfassenden Strategie entscheidend, die sämtliche Kommunikationsaspekte abdeckt. Die Strategie sollte eine Echtzeit-Analyse von E-Mail-Inhalten beinhalten, um die Erkennung potenzieller Phishing-Versuche per Social Engineering zu automatisieren. Sie sollten außerdem den Einsatz fortschrittlicher Sicherheitswerkzeuge wie Firewalls, Verschlüsselung und Angriffserkennungssysteme in Betracht ziehen.

5. Verschlüsseln Sie sensible Informationen

Abgesehen von den offensichtlichen Dingen wie einem guten Umgang mit E-Mails und der Überprüfung verdächtiger Forderungen und Behauptungen, kann eine zweite Vorsichtsmaßnahme nie schaden. Schützen und sichern Sie die sensiblen Informationen Ihres Unternehmens mit NordPass. NordPass verwendet die XChaCha20-Verschlüsselung XChaCha20-Verschlüsselung , um die Kreditkartendaten und Systempasswörter Ihres Unternehmens zu speichern und sie in einem cloudbasierten Tresor einzuschließen, der durch biometrische Schlösser gesichert ist. Sollte ein Mitarbeiter bei einem Whaling-Angriff auf eine Nachricht hereinfallen, bleiben die brisantesten Informationen Ihres Unternehmens mit einem Master-Passwort gesichert, auf das nur autorisierte Mitarbeiter zugreifen können.

Kleinere Unternehmen können durch Whaling-Angriffe große Verluste erleiden, da sie nicht wie große Konzerne die Möglichkeit haben, Verluste abzuschreiben. Mit einem guten Business-Passwort-Manager kann Ihre sensiblen Dateien vor unerlaubtem Zugriff schützen und irreversible Schäden durch Whaling-Angriffe verhindern.

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.