[email protected] +44 (0)20 7917 9527
Buchen Sie Ihre Demo
Zurück
Neue Produkte

Produkte

Entdecken Sie unser Angebot an personalisierten Sicherheitsschulungen, die Ihr Team gegen moderne Cyberbedrohungen wappnen und schulen sollen. Von der Verwaltung von Richtlinien bis hin zu Phishing-Simulationen - unsere Plattform stattet Ihre Mitarbeiter mit dem Wissen und den Fähigkeiten aus, die zum Schutz Ihres Unternehmens erforderlich sind.

Automatisierung des Sicherheitsbewusstseins

Planen Sie Ihre jährliche Sensibilisierungskampagne mit ein paar Klicks

Phishing-Simulation

Stoppen Sie Phishing-Angriffe mit preisgekrönter Phishing-Software auf der Stelle

Cyber-Sicherheit eLearning

Engagieren und schulen Sie Ihre Mitarbeiter, damit sie die erste Verteidigungslinie sind

Richtlinienmanagement

Zentralisieren Sie Ihre Richtlinien an einem Ort und verwalten Sie mühelos die Lebenszyklen von Richtlinien

Datenschutz-Management

Einfache Kontrolle, Überwachung und Verwaltung der Compliance

Inhalt Bibliothek

Entdecken Sie unsere preisgekrönte Elearning-Bibliothek, die für jede Abteilung maßgeschneidert ist

Cyber-Polizei Cyber-Sicherheitstraining für Abteilungen
Management von Zwischenfällen

Übernehmen Sie die Kontrolle über interne Vorfälle und beheben Sie, was wichtig ist

Zurück
Industrie

Branchen

Entdecken Sie die Vielseitigkeit unserer Lösungen in verschiedenen Branchen. Vom dynamischen Technologiesektor bis hin zum Gesundheitswesen - erfahren Sie, wie unsere Lösungen in verschiedenen Branchen für Furore sorgen. 


Finanzdienstleistungen

Schaffung einer ersten Verteidigungslinie für Finanzdienstleistungsunternehmen

Regierungen

Eine Go-To Security Awareness Lösung für Regierungen

Unternehmen

Eine Lösung für die Schulung des Sicherheitsbewusstseins für große Unternehmen

Fernarbeitskräfte

Verankern Sie eine Kultur des Sicherheitsbewusstseins - auch zu Hause

Sektor Bildung

Engagierte Sicherheitsschulung für den Bildungssektor

Beschäftigte im Gesundheitswesen

Siehe unser maßgeschneidertes Sicherheitsbewusstsein für Mitarbeiter im Gesundheitswesen

Technische Industrie

Veränderung der Sicherheitsschulung in der Technologiebranche

NIS2-Konformität

Unterstützen Sie Ihre Nis2-Compliance-Anforderungen mit Initiativen zur Sensibilisierung für Cybersicherheit

Zurück
Ressourcen

Ressourcen

Von Postern und Richtlinien bis hin zu ultimativen Leitfäden und Fallstudien - unsere kostenlosen Informationsmaterialien können dazu beitragen, das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern.

Blog zur Cybersicherheit Nachrichten
Bewusstsein für Cybersicherheit für Dummies

Eine unverzichtbare Ressource für die Schaffung einer Kultur des Cyber-Bewusstseins

Dummies Leitfaden für Cyber-Sicherheit Elearning

Der ultimative Leitfaden für die Implementierung von effektivem Cyber Security Elearning

Ultimativer Leitfaden für Phishing

Aufklärung der Mitarbeiter über die Erkennung und Verhinderung von Phishing-Angriffen

Kostenlose Aufklärungsposter

Laden Sie diese kostenlosen Poster herunter, um die Wachsamkeit der Mitarbeiter zu erhöhen

Anti-Phishing-Politik

Schaffung einer sicherheitsbewussten Kultur und Förderung des Bewusstseins für Cybersicherheitsbedrohungen

Fallstudien

Erfahren Sie, wie wir unseren Kunden dabei helfen, positives Verhalten in ihren Organisationen zu fördern

Terminologie für Cybersicherheit von A-Z

Ein Glossar der wichtigsten Begriffe zur Cybersicherheit

Reifegradmodell für das Verhalten im Bereich Cybersicherheit

Prüfen Sie Ihre Awareness-Schulung und vergleichen Sie Ihre Organisation mit den besten Praktiken

Kostenloses Zeugs

Laden Sie unsere kostenlosen Awareness-Assets herunter, um das Bewusstsein für Cybersicherheit in Ihrer Organisation zu verbessern

Zurück
Über

Über

MetaCompliance verfügt über mehr als 18 Jahre Erfahrung auf dem Markt für Cybersicherheit und Compliance und bietet eine innovative Lösung für die Sensibilisierung der Mitarbeiter für die Informationssicherheit und die Automatisierung des Vorfallsmanagements. Die MetaCompliance-Plattform wurde entwickelt, um den Bedarf der Kunden an einer einzigen, umfassenden Lösung für das Management von Risiken in den Bereichen Cybersicherheit, Datenschutz und Compliance zu erfüllen.

Warum uns wählen

Erfahren Sie, warum Metacompliance der vertrauenswürdige Partner für Security Awareness Training ist

Spezialisten für Mitarbeiterengagement

Wir machen es einfacher, Mitarbeiter einzubinden und eine Kultur des Cyber-Bewusstseins zu schaffen

Automatisierung des Sicherheitsbewusstseins

Einfaches Automatisieren von Sicherheitsschulungen, Phishing und Richtlinien in wenigen Minuten

MetaBlog

Halten Sie sich auf dem Laufenden über Schulungen zur Cybersicherheit und verringern Sie die Risiken in Ihrem Unternehmen.

Achtsamer Umgang mit Cybergefahren
Phishing und Ransomware
eLearning
Richtlinienmanagement
Compliance
Datenschutz, DSGVO und CCPA
GRC

Was ist Whaling in der Cybersicherheit?

Walfang in der Cybersicherheit

über den Autor

James MacKay

James MacKay

James MacKay ist der COO von MetaCompliance und ein anerkannter Experte für Schulungen zum Thema Sicherheitsbewusstsein. James MacKay kennt sich bestens mit der Durchführung effektiver Sicherheitsschulungen aus und setzt sich dafür ein, Organisationen dabei zu helfen, ihre Mitarbeiter online zu schützen, ihr digitales Vermögen zu sichern und den Ruf ihres Unternehmens zu wahren. 

Whaling ist eine Art von Cyberangriff, der speziell auf hochrangige Führungskräfte oder wichtige Personen innerhalb einer Organisation abzielt. Es handelt sich dabei um eine Form des Spear-Phishings, die darauf abzielt, sensible Informationen zu stehlen oder unbefugten Zugang zu Unternehmensnetzwerken zu erhalten. In diesem Blog werden wir erörtern, was Whaling ist, wie es funktioniert und was Mitarbeiter tun können, um sich und ihr Unternehmen vor dieser Art von Cyberangriff zu schützen.

Was ist Walfang?

Whaling, auch bekannt als CEO-Betrug oder Kompromittierung von Geschäfts-E-Mails, ist ein gezielter Angriff, bei dem Social-Engineering-Techniken eingesetzt werden, um hochrangige Führungskräfte dazu zu verleiten, vertrauliche Informationen preiszugeben oder nicht autorisierte Transaktionen durchzuführen. Whaling-Angriffe werden in der Regel per E-Mail durchgeführt, wobei die Cyberkriminellen E-Mails erstellen, die sich als vertrauenswürdige Quelle ausgeben, z. B. als CEO oder CFO. Die E-Mails enthalten oft dringende Anfragen für Überweisungen oder Anweisungen, die sofortiges Handeln erfordern, z. B. die Überweisung von Geldern oder die Weitergabe sensibler Daten.

Wie funktioniert der Walfang?

Whaling-Angriffe sind sehr zielgerichtet und erfordern eine umfangreiche Recherche seitens der Hacker. Sie nutzen häufig öffentlich zugängliche Informationen, wie Profile in sozialen Medien, um Informationen über ihre Ziele zu sammeln. Sie können auch Phishing-E-Mails verwenden, um Anmeldedaten oder andere vertrauliche Informationen zu sammeln, mit denen sie sich Zugang zu Unternehmensnetzwerken verschaffen können.

Sobald die Hacker genügend Informationen gesammelt haben, erstellen sie eine überzeugende E-Mail, die so aussieht, als käme sie vom CEO oder einer anderen hochrangigen Führungskraft. Die E-Mail enthält häufig dringende Anfragen oder Anweisungen, die ein sofortiges Handeln erfordern, z. B. die Überweisung von Geldern oder die Weitergabe sensibler Daten. Die E-Mail enthält in der Regel ein Gefühl der Dringlichkeit, z. B. eine Bitte um Vertraulichkeit oder eine Frist, um den Empfänger unter Druck zu setzen, der Aufforderung nachzukommen.

Warum ist der Walfang so effektiv?

Whaling ist aus mehreren Gründen eine wirksame Cyber-Angriffstechnik. Hier sind einige Schlüsselfaktoren, die zu seiner Wirksamkeit beitragen:

  1. Anvisieren von hochrangigen Personen: Whaling zielt speziell auf hochrangige Führungskräfte oder Personen mit Zugang zu sensiblen Informationen und finanziellen Ressourcen innerhalb einer Organisation ab. Diese Personen haben oft die Befugnis, finanzielle Transaktionen zu genehmigen oder auf vertrauliche Daten zuzugreifen, was sie zu attraktiven Zielen für Cyberkriminelle macht. Indem sie sich auf Personen mit solchen Privilegien konzentrieren, erhöhen die Angreifer ihre Chancen, die Sicherheitsvorkehrungen des Unternehmens erfolgreich zu durchbrechen.
  2. Social-Engineering-Techniken: Whaling-Angriffe nutzen ausgefeilte Social-Engineering-Techniken, um ihre Ziele zu täuschen. Die Angreifer investieren Zeit und Mühe, um detaillierte Informationen über ihre Opfer zu sammeln, z. B. über ihre Aufgaben, Zuständigkeiten und persönlichen Vorlieben. Sie können Social-Media-Profile, Unternehmenswebsites oder Nachrichtenartikel studieren, um personalisierte und überzeugende Phishing-E-Mails zu erstellen. Indem sie ihre Nachrichten so gestalten, dass sie legitim und dringend erscheinen, können die Angreifer die Emotionen und Entscheidungsprozesse der Zielperson manipulieren und so die Wahrscheinlichkeit eines erfolgreichen Angriffs erhöhen.
  3. Ausnutzung von Vertrauen und Autorität: Whaling-Angriffe beruhen auf der Ausnutzung des Vertrauens und der Autorität, die mit hochrangigen Führungskräften verbunden sind. Wenn eine E-Mail scheinbar von einem CEO, CFO oder einem anderen hochrangigen Beamten stammt, neigen die Empfänger dazu, die Nachricht für legitim zu halten und die geforderten Aktionen auszuführen. Die gefühlte Autorität und Dringlichkeit in diesen E-Mails kann die normale Skepsis außer Kraft setzen und dazu führen, dass Personen schnell handeln, ohne die Authentizität der Mitteilung gründlich zu überprüfen.
  4. Begrenzte Aufdeckung und Kontrolle: Whaling-Angriffe sind in der Regel sehr gezielt und konzentrieren sich auf einige wenige Personen innerhalb einer Organisation. Im Gegensatz zu Massen-Phishing-Kampagnen, die ein breiteres Netz auswerfen und von Spam-Filtern erkannt werden können, sind Whaling-Angriffe darauf ausgelegt, unter dem Radar zu fliegen. Die begrenzte Anzahl der Ziele verringert die Wahrscheinlichkeit, entdeckt zu werden, und erhöht die Erfolgswahrscheinlichkeit. Außerdem erhalten hochrangige Führungskräfte im Vergleich zu anderen Mitarbeitern möglicherweise weniger Schulungen zum Thema Sicherheit, was sie anfälliger für solche Angriffe macht.
  5. Finanzielle Auswirkungen und das Potenzial für groß angelegte Schäden: Whaling-Angriffe zielen oft darauf ab, beträchtliche finanzielle Gewinne oder sensible Unternehmensdaten zu erlangen. Erfolgreiche Angriffe können zu erheblichen finanziellen Verlusten für Unternehmen führen, ihren Ruf schädigen und ihren Wettbewerbsvorteil gefährden. Indem sie auf Führungskräfte mit finanzieller Entscheidungsbefugnis abzielen, können die Angreifer deren Zugang zu Geldern und Ressourcen ausnutzen, was zu einem erheblichen finanziellen Schaden führen kann.

Um die Wirksamkeit von Whaling-Angriffen einzuschränken, sollten Unternehmen auf umfassende Sicherheitsmaßnahmen setzen. Dazu gehören die Einführung solider E-Mail-Sicherheitsprotokolle, regelmäßige Mitarbeiterschulungen zur Erkennung und Meldung von Phishing-Versuchen und die Beibehaltung einer Kultur der Skepsis und Überprüfung bei sensiblen Anfragen. Durch die Kombination technologischer Schutzmaßnahmen mit der Sensibilisierung der Mitarbeiter und bewährten Praktiken können Unternehmen das Risiko, Opfer von Whaling-Angriffen zu werden, erheblich verringern.

Beispiele für Angriffe auf Wale

Es gibt mehrere Beispiele von Angriffen aus dem wirklichen Leben, die Unternehmen erheblichen Schaden zufügten:

  1. Snapchat
    Im Februar 2016 wurde Snapchat Opfer eines Phishing-Angriffs. Eine Person, die sich als CEO Evan Spiegel ausgab, schickte eine E-Mail an einen Mitarbeiter der Personalabteilung und forderte die Gehaltsabrechnungsdaten aktueller und ehemaliger Mitarbeiter an, einschließlich Aktienoptionen und W-2s.
  2. Ubiquiti Networks
    Im Jahr 2015 wurde Ubiquiti Networks Opfer eines ausgeklügelten CEO-Betrugs. Betrüger überzeugten die Finanzabteilung einer der in Hongkong ansässigen Tochtergesellschaften erfolgreich davon, 46,7 Millionen US-Dollar auf nicht verbundene Konten im Ausland zu überweisen. Zwar gelang es dem Unternehmen, 14,9 Millionen Dollar zurückzuerhalten, doch der Schaden für den Ruf des Unternehmens war irreversibel.
  3. FBI
    Im Jahr 2008 wurde die Vorladungskampagne des FBI als einer der ersten dokumentierten Fälle von Whaling-Angriffen bekannt. Ungefähr 20.000 CEOs waren das Ziel, von denen 2.000 dem Betrug zum Opfer fielen, indem sie auf einen bösartigen Link klickten. Der Link war als sicheres Browser-Add-on getarnt, installierte aber stattdessen einen Keylogger, der ihre Anmeldedaten und Passwörter aufzeichnete.
  4. FACC
    Ein weiterer bemerkenswerter Angriff, der die Unternehmenswelt erschütterte, ereignete sich 2016. Ziel war FACC, ein österreichischer Luft- und Raumfahrtkonzern, der für seine Produktion von Teilen für Airbus und Boeing bekannt ist. Bei diesem Vorfall handelte es sich um eine klassische CEO-Imitation, die zur Überweisung von 55,8 Millionen Dollar auf nicht offengelegte Konten im Ausland führte. Mehrere Mitarbeiter, darunter der CEO und der CFO, wurden daraufhin entlassen.
  5. Levitas Capital
    Levitas Capital, ein australischer Hedge-Fonds, wurde Opfer eines umfangreichen Whaling-Angriffs, der durch einen bösartigen Zoom-Link ermöglicht wurde. Obwohl das Unternehmen den größten Teil der Gelder zurückerhielt, beschloss es, seine Geschäftstätigkeit aufgrund der schweren Schädigung seines Rufs einzustellen. 

Was können Arbeitnehmer tun, um sich vor Walfang zu schützen?

Wie bei jeder Art von Phishing-Angriff ist der beste Weg, sich vor Whaling zu schützen, sich der Bedrohung bewusst zu sein und wachsam zu sein, wenn es um E-Mails geht, die nach sensiblen Informationen fragen oder sofortiges Handeln erfordern. Im Folgenden finden Sie einige Tipps, mit denen sich Mitarbeiter vor Whaling-Angriffen schützen können:

  1. Überprüfen Sie Anfragen: Wenn Sie eine E-Mail erhalten, in der Sie um vertrauliche Informationen gebeten werden oder in der Sie zu einer dringenden Handlung aufgefordert werden, sollten Sie die Anfrage immer mit dem vermeintlichen Absender auf einem anderen Weg überprüfen, z. B. durch einen Anruf oder ein persönliches Gespräch.
  2. Seien Sie vorsichtig mit Links und Anhängen: Klicken Sie nicht auf Links oder öffnen Sie keine Anhänge in E-Mails, die Sie nicht erwarten oder die von unbekannten Quellen stammen. Auch wenn die E-Mail legitim aussieht, könnte es sich um einen Phishing-Versuch handeln, bei dem Malware installiert wird.
  3. Prüfen Sie E-Mail-Adressen: Schauen Sie sich die E-Mail-Adresse des Absenders genau an. Whaling-Angriffe verwenden oft E-Mail-Adressen, die der echten E-Mail-Adresse des Absenders ähneln, aber leichte Abweichungen aufweisen, z. B. durch Hinzufügen eines zusätzlichen Buchstabens oder einer Zahl.
  4. Verwenden Sie die Zwei-Faktor-Authentifizierung: Die Zwei-Faktor-Authentifizierung kann dazu beitragen, den unbefugten Zugang zu Unternehmensnetzwerken zu verhindern, indem zusätzlich zum Passwort eine zweite Form der Authentifizierung verlangt wird, z. B. ein Code, der an Ihr Telefon gesendet wird.
  5. Bleiben Sie informiert: Bleiben Sie auf dem Laufenden über die neuesten Phishing-Taktiken und -Betrügereien. Dies kann Ihnen helfen, Phishing-Versuche zu erkennen und zu vermeiden, einschließlich Whaling-Angriffe.

Whaling-E-Mails sind eine ernsthafte Bedrohung, die zu erheblichen finanziellen Verlusten und zur Schädigung des Rufs eines Unternehmens führen kann. Indem sie sich der Bedrohung bewusst sind und Maßnahmen zum eigenen Schutz ergreifen, können Mitarbeiter dazu beitragen, Whaling-Angriffe zu verhindern und ihre Unternehmen zu schützen. Denken Sie daran, bei E-Mails, in denen sensible Informationen angefordert werden oder die ein sofortiges Handeln erfordern, immer vorsichtig zu sein und die Anfragen mit dem vermeintlichen Absender auf einem anderen Kommunikationsweg zu überprüfen. Bleiben Sie informiert und bleiben Sie sicher!

Bild

LESETIPPS

Demo anfordern

Fordern Sie noch heute eine kostenlose Demo an und erfahren Sie, wie Ihr Unternehmen von unserem erstklassigen Cyber Security Awareness Training profitieren kann.

Die Demo nimmt nur 30 Minuten Ihrer Zeit in Anspruch und Sie müssen keine Software installieren.