Whaling: So haben Betrüger*innen es auf Top-Führungskräfte abgesehen

Stellen Sie sich vor, Sie erhalten eine dringende E-Mail von Ihrem CEO, in der er Sie anweist, eine Überweisung von hohem Wert zu autorisieren. Alles sieht legitim aus, doch es gibt nur ein Problem … Es handelt sich um einen Betrug. Genauer gesagt: Sie sind das Ziel eines Whaling-Angriffs!

Whaling-Angriffe sind zwar nicht neu, doch hat ihre Raffinesse mit dem Aufstieg von KI exponentiell zugenommen.

In diesem Leitfaden lesen Sie:

• was Whaling ist
• wie Whaling funktioniert
• reale Fälle von Unternehmen, die Millionen verloren haben
• unsere besten Ratschläge zur Erkennung und Verhinderung von Whaling-Angriffen

Wie sieht ein Whaling-Angriff aus?

Beginnen wir erst einmal damit: Was ist Whaling (manchmal auch als „Whaling-Phishing“ bezeichnet) überhaupt?

Bei einem Whaling-Angriff handelt es sich um eine Form eines Phishing-Angriffs, bei dem in der Regel betrügerische E-Mails eingesetzt werden, um Führungskräfte oder Manager*innen ins Visier zu nehmen.

Genauer gesagt handelt es sich um eine Form des Spear Phishing, das heißt einen Phishing-Angriff, der auf eine bestimmte Person abzielt. Nur ist in diesem Fall das Ziel ein „Wal”, ein Begriff aus der Glücksspiel-Branche, wo Spieler*innen, die große Wetteinsätze machen, als „Wale“ bezeichnet werden.

Hier ist ein Szenario:

1. Erika Mustermann, CFO eines schnell wachsenden Technologieunternehmens, überprüft am Montagmorgen ihren Posteingang. Sie bemerkt eine als „dringend“ gekennzeichnete E-Mail von ihrem CEO mit der Betreffzeile „Vertrauliche Geldüberweisung erforderlich“.
   
2. In der E-Mail teilt ihr (vermeintlicher) CEO ihr mit, dass eine wichtige Übernahme abgeschlossen wird und sie sofort 500.000 USD an das Rechtsteam überweisen muss. Außerdem wird sie darüber informiert, dass das Geschäft höchst vertraulich ist – sie soll mit niemandem darüber sprechen, das Geld auf das unten stehende Konto überweisen und so schnell wie möglich eine Bestätigung senden.
   
3. Erika zögert, aber alles sieht legitim aus: die E-Mail-Signatur, das Firmenlogo, der Tonfall. Sogar die Absenderadresse der E-Mail ist korrekt! Sie veranlasst die Überweisung …
   
4. Später ruft sie ihren CEO an, um zu bestätigen, dass die Transaktion durchgeführt wurde. Dabei erfährt sie, dass sie gerade einen schrecklichen Fehler gemacht hat … Bis die IT-Abteilung die Sache untersuchen kann, wurden die Gelder bereits auf ein unauffindbares Offshore-Konto überwiesen. – Das Unternehmen ist gerade Opfer eines Whaling-Angriffs geworden.

Whaling-Angriffe basieren in vielfacher Hinsicht auf den gleichen Social-Engineering-Taktiken wie Phishing-Angriffe:

• Vertrauen: Die Angreifenden imitieren die Kommunikationscodes des Unternehmens, einschließlich Logos, Schriftarten, Schreibstil etc.
  
• Folgen von Autoritäten: Als Menschen neigen wir von Natur aus dazu, Autoritätspersonen zu gehorchen.
  
• Gefühl der Dringlichkeit/Gefahr: Menschen verlieren oft jegliches rationale Denken, wenn sie plötzlich mit einem Gefühl der Panik oder Dringlichkeit konfrontiert werden. Angreifende nutzen dies zu ihrem Vorteil, um ihre Ziele zu erreichen.

Indem sie sich als CEO oder eine hochrangige Führungskraft ausgeben, nutzen Cyberkriminelle alle drei dieser Taktiken, um ihre Opfer auszutricksen. In der Regel versuchen sie, große Überweisungen und sensible Daten zu erhalten oder Malware mit betrügerischen Links einzuschleusen.

Reale Fälle von Whaling-Angriffen

Nachdem wir nun einen Blick auf ein theoretisches Beispiel geworfen haben, lassen Sie uns einige reale Fälle von Whaling-Angriffen untersuchen und herausfinden, was wir daraus lernen können.

Der CEO-Betrug bei FACC

Im Jahr 2016 wurde FACC, ein österreichischer Hersteller von Luft- und Raumfahrzeugen, Opfer eines Whaling-Angriffs, der das Unternehmen 40 Millionen USD kostete.

Bei diesem großangelegten Angriff gaben sich die Cyberkriminellen als der Geschäftsführer Walter Stephan aus und schickten eine E-Mail an die Finanzabteilung des Unternehmens, in der sie um eine dringende Überweisung für ein „geheimes Geschäftsprojekt“ baten.

Im Glauben, dass die Anfrage legitim war, genehmigte das Finanzteam die Transaktion. Als der Betrug aufgedeckt wurde, waren die Gelder bereits auf ausländische Bankkonten überwiesen worden und verschwunden. Glücklicherweise konnten etwa 10 Millionen USD wiedergefunden werden. Aber die restlichen 40 Millionen USD sind für immer verschwunden.

Dieser Whaling-Angriff war eine klassische Anwendung verschiedener Social-Engineering-Taktiken:

• E-Mail-Spoofing: Die Angreifenden verwendeten eine gefälschte E-Mail-Domain, die fast identisch war mit der des Unternehmens. Dann untersuchten sie den Schreibstil und den Tonfall des CEO, um die E-Mail authentisch erscheinen zu lassen.
  
• Dringlichkeit: Die E-Mail betonte die Dringlichkeit der Transaktion und dass die Mitarbeitenden schnell handeln müssen.
  
• Autorität: Der Absender der E-Mail gab sich direkt als der CEO aus, was dem Angriff einen Hauch von Glaubwürdigkeit verlieh.

Wenn Sie mehr über diesen Fall erfahren möchten, lesen Sie diesen Presseartikel.

Google & Facebook verlieren 100 Millionen USD

Im Jahr 2019 wurde ein Hacker namens Evaldas Rimasauskas für einen der größten Whaling-Angriffe der Geschichte zu fünf Jahren Gefängnis verurteilt.

Zwischen 2013 und 2015 führte er einen der raffiniertesten Whaling-Betrugsversuche der Geschichte durch und stahl zusammen 100 Millionen USD von Google und Facebook.

Bei dem Betrug erstellte Rimasauskas überzeugende E-Mails mit gefälschten E-Mail-Konten und gab vor, ein Lieferant von Facebook und Google zu sein. Diese Phishing-E-Mails enthielten gefälschte Rechnungen in Höhe von mehreren Millionen USD, eine Rechnungshöhe, die für die Mitarbeitenden grundsätzlich nicht ungewöhnlich war.

Letztendlich wurden die Angestellten durch diese Täuschung dazu gebracht, mehr als 100 Millionen USD zu überweisen, bevor sie bemerkten, dass etwas nicht stimmte. Dieser Whaling-Angriff zeigt zwei spezielle Techniken, die von Betrüger*innen eingesetzt werden:

• Fake-Vendor-Scheme: Angreifende erforschen die Lieferkette eines Unternehmens, damit sie sich als ein echtes Unternehmen ausgeben und ihrem Angriff mehr Authentizität verleihen können.
  
• Ausgeklügelte Nachahmung: Die gefälschten Dokumente waren sehr überzeugend und umfassten gefälschte Rechnungen, gefälschte Verträge, offiziell aussehende Firmensiegel und Unterschriften und mehr.

Mehr über diesen Fall erfahren Sie in der Pressemitteilung des US-Justizministeriums.

Der Deepfake-CEO-Betrug

Im Jahr 2019 wurde die Welt Zeuge eines der ersten KI-gestützten Whaling-Angriffe. Ein im Vereinigten Königreich ansässiges Energieunternehmen verlor rund 220.000 EUR (243.000 USD), nachdem Cyberkriminelle sich mithilfe KI-generierter Deepfake-Audioaufnahmen als der CEO des Unternehmens ausgegeben hatten.

Ein Angestellter erhielt einen Anruf von einem Anrufer, der genauso klang wie sein CEO. In diesem Telefonat wurde er angewiesen, Geld an einen „Lieferanten“ zu überweisen.

Der Angestellte folgte den Anweisungen – nur um später festzustellen, dass die Stimme mithilfe der Deepfake-Technologie künstlich erzeugt wurde. Zu diesem Zeitpunkt war das Geld bereits auf einem ungarischen Konto verschwunden und wurde nie wieder gesehen.

Der Anruf schien von einer bekannten Firmennummer zu kommen, was diesem Whaling-Angriff zusätzliche Legitimität verlieh. Die Angreifenden schickten sogar gefälschte E-Mails nach, in denen sie die Transaktionen bestätigten. Mehr über diesen Fall erfahren Sie hier.

Dieser Fall markierte eine Wende bei den Whaling-Angriffen: die Integration von KI. Mehr dazu im nächsten Abschnitt.

Der Aufstieg von KI bei Whaling-Angriffen

Das Aufkommen von KI hat Social-Engineering-Angriffe revolutioniert, und dazu gehören auch Whaling-Angriffe.

Vor allem dank KI sind Whaling-Angriffe überzeugender, skalierbarer und schwerer zu entdecken geworden als je zuvor.

Lassen Sie uns die verschiedenen Möglichkeiten, wie KI Betrüger*innen hilft, raffiniertere Whaling-Attacken zu entwickeln, genauer untersuchen.

KI-gestütztes Klonen von Stimmen

Eine der alarmierendsten KI-Anwendungen beim Whaling ist das Deepfake Voice Cloning, bei dem Angreifende KI einsetzen, um die Stimme eines CEO oder einer Führungskraft zu replizieren.

Dank KI können Angreifende mit Stimmproben einer Zielperson realistische Stimmklone erstellen.

Diese Proben können aus öffentlichen Interviews, durchgesickerten Telefongesprächen oder einfach aus den sozialen Medien stammen. Wichtiger noch: Dank KI-gestützter Software wie VALL-E oder ElevenLabs benötigen Betrüger*innen nur ein paar Minuten Audio, um eine Stimme realistisch zu replizieren!

Die Stimmenklone können dann in Echtzeit verwendet werden, um sich als CEO oder CFO auszugeben und Mitarbeitende anzuweisen, eine Überweisung zu tätigen.

Deepfake-Videos

Der nächste Schritt nach dem Klonen von Stimmen? Das Klonen von Gesichtern!

Bei den sogenannten „Deepfakes“ können Betrüger*innen bei Videoanrufen das Aussehen von Führungskräften durch hoch realistische, KI-generierte Aufnahmen nachahmen.

Richtig gemacht sind diese Deepfakes von echten Videos fast nicht mehr zu unterscheiden. Und die Technologie ist erst am Anfang … Angreifende können jetzt einen gefälschten CEO in ein Zoom- oder Microsoft-Teams-Gespräch einschleusen, in dem der „CEO“ die Mitarbeitenden persönlich anweist, Zahlungen zu leisten oder sensible Daten weiterzugeben. Die Mitarbeitenden, die ein vertrautes Gesicht sehen, fügen sich ohne Verdacht.

Im Jahr 2024 wurde diese Art von Whaling-Angriff durch den Deepfake eines in Hongkong ansässigen Finanzvorstands bekannt, der zu einem Verlust von 25 Millionen USD führte.

KI-gestütztes Website-Spoofing

Herkömmliche Phishing-Seiten hatten oft verräterische Anzeichen – Tippfehler, schlechte Formatierung oder verdächtige URLs.

Mit KI hat sich das geändert. Algorithmen des maschinellen Lernens können jetzt nahezu perfekte Klone von Unternehmenswebsites erstellen, um Mitarbeitende dazu zu bringen, ihre Anmeldedaten einzugeben oder Transaktionen zu genehmigen.

Angreifer*innen setzen jetzt KI-Webcrawler ein, um echte Websites zu scrapen und sie Pixel für Pixel nachzubauen. Domain-Spoofing-Techniken erzeugen ähnliche URLs (zum Beispiel maifence.com statt mailfence.com). KI-Chatbots können sogar echte Kundendienstmitarbeitende simulieren, um Glaubwürdigkeit aufzubauen.

KI-gestützter E-Mail-Betrug

In der Vergangenheit enthielten die E-Mails bei Whaling-Angriffen oft grammatikalische Fehler, wodurch sie leichter zu erkennen waren.

Mit KI-gestützten Tools zur Texterstellung (wie ChatGPT, Jasper AI und WormGPT) können Angreifende heute fehlerfreie, hoch personalisierte E-Mails erstellen, die den Schreibstil und den Tonfall einer Führungskraft imitieren.

Alles, was die Angreifenden brauchen, ist Zugang zu früheren E-Mails, um ihre KI-Modelle zu trainieren. Die KI kann dann im Stil des CEO schreiben und die E-Mail sehr überzeugend gestalten.

Wie können Sie einen Whaling-Angriff erkennen?

Dank (oder eher wegen) KI sind Whaling-Angriffe heute schwerer zu erkennen als je zuvor.

Es gibt jedoch Anzeichen, auf die Sie achten sollten, wenn Sie misstrauisch sind:

• Personalisierung: Die E-Mail, die zur Einleitung des Whaling-Angriffs verschickt wird, enthält höchstwahrscheinlich personalisierte Informationen über den verkörperten CEO (oder eine andere hochrangige Führungskraft, als die sich der*die Absendende ausgibt), das Opfer (ein*e Manager*in oder eine andere Führungskraft) oder die Organisation. Damit soll ein Gefühl des Bekanntseins erzeugt werden.

• Dringlichkeit: Betrügerische E-Mails, die Dringlichkeit vermitteln, können das Opfer dazu bringen, zu handeln, bevor es an Sicherheitsmaßnahmen denkt. Angreifer*innen versuchen oft, ihre Opfer mithilfe mächtiger Personen (CEO, hochrangige Führungskräfte) einzuschüchtern. Die Befehle dieser Personen lassen sich nur sehr schwer missachten.

• Sprache: Oft werden Geschäftssprache und Tonfall eingesetzt, um das Opfer davon zu überzeugen, dass die E-Mail von einer hochrangigen Person stammt. Die Angreifenden verwenden oft ein Szenario, in dem sie das Opfer auf der Grundlage einer gefälschten Drohung zu einer Handlung mit geringem Aufwand auffordern (zum Beispiel eine schnelle Geldüberweisung an einen Lieferpartner). Möglicherweise betonen sie auch die Vertraulichkeit, sodass das Opfer es vermeidet, über die erhaltene E-Mail zu sprechen. Damit kann dem Opfer auch niemand sagen, dass es sich bei dieser E-Mail um einen Whaling-Angriff handelt.

• Legitime Signatur: Es kann sein, dass die Angreifenden eine glaubwürdige E-Mail-Adresse, Signatur und einen Link verwenden, der auf eine betrügerische Website führt. Wir zeigen Ihnen gleich, wie Sie solche Angaben erkennen können.

• Dateien und Links: Cyberkriminelle verwenden möglicherweise Anhänge oder Links, um Malware einzuschleusen oder sensible Informationen abzufragen. Selbst wenn nichts passiert, wenn der*die angegriffene Manager*in auf einen Link klickt oder Informationen auf der aufgerufenen Website eingibt, könnte dies einen versteckten Malware-Download auslösen.

Wie können Sie Whaling-Angriffe verhindern?

Wollen Sie nicht Teil einer weiteren Statistik in einem Bericht über Whaling-Attacken werden? Dann halten Sie sich an diese Schritte:

• Überprüfen Sie die E-Mail-Adresse des*der Absender*in, wenn sie von einem*einer Kolleg*in gesendet wurde, insbesondere wenn es sich um eine hochrangige Führungskraft in Ihrer Organisation handelt. Wenn die E-Mail von einer dritten Partei stammt, suchen Sie nach der tatsächlichen E-Mail-Adresse dieses Unternehmens und vergleichen Sie die beiden.
  
• Fahren Sie mit der Maus über jeden eingebetteten Link, um die Echtheit der Website zu überprüfen. Gibt es einen Tippfehler in der Domain der Website oder werden Sie auf eine andere Website weitergeleitet? Dann sollten Sie nicht auf den Link klicken.
  
• Stellen Sie die Richtigkeit jeglicher Anfragen nach Geld oder sensiblen Informationen infrage, selbst wenn sie von einem*einer Ihrer Manager*innen kommen. Holen Sie sich im Zweifelsfall eine telefonische Bestätigung direkt bei der jeweiligen Person ein.
  
• Seien Sie sich der Macht von Social Media bewusst. Alles, was Sie online posten, kann gegen Sie verwendet werden, sei es zum Klonen von Stimmen oder zum Erstellen von Deepfakes. Angreifer*innen können auch Namen, Daten und Orte verwenden, die Sie online erwähnt haben, um ihre Angriffe glaubwürdiger zu machen. Als Faustregel gilt: Stellen Sie Ihre Social-Media-Konten auf privat.

Abschließende Gedanken zu Whaling

KI definiert das Ausmaß und die Raffinesse von Whaling-Angriffen neu. Wir sollten damit rechnen, dass geklonte Stimmen und Deepfakes bald nicht mehr von der Realität zu unterscheiden sind.

Was tun Sie, wenn Sie nicht zwischen Fälschung und Realität unterscheiden können? Sie überprüfen das Ganze noch einmal, bevor Sie handeln.

Kommt Ihnen eine E-Mail verdächtig vor? Oder klingt ein Telefonanruf etwas … merkwürdig? Bohren Sie nach und stellen Sie Fragen, die nur die echte Person beantworten kann. Und wenn Sie Zweifel haben, beantworten Sie die E-Mail nicht und legen Sie den Hörer auf. Erkundigen Sie sich bei Ihrer IT-Abteilung und rufen Sie die betreffende Person direkt an, um sich zu vergewissern. Dies sind Ihre besten Verteidigungsmaßnahmen gegen Whaling-Angriffe.

Wenn Sie Ihre Cybersicherheit erhöhen wollen, dann sollte Ihr erster Schritt darin bestehen, einen privaten und sicheren E-Mail-Anbieter zu wählen. Hier bei Mailfence sind wir stolz auf diese Features:

• Erweiterte Sicherheitstools. Wir bieten Ende-zu-Ende-Verschlüsselung, symmetrische Verschlüsselung, digitale Signaturen und vieles mehr.
• Kein Tracking, keine Werbung. Bei uns gibt es weder Werbung noch Marketing-Tracker von Dritten. Wir verfolgen Ihre Aktivitäten in der App nicht. Mailfence ist vollkommen frei von Werbung.
• Strenge Datenschutzgesetze. Die Server von Mailfence befinden sich in Belgien, wo strenge Gesetze zum Schutz der Privatsphäre gelten. Nur ein gültiger belgischer Gerichtsbeschluss kann uns zwingen, Daten herauszugeben.

Möchten Sie Ihren digitalen Fußabdruck verkleinern und Ihre Cybersicherheit auf die nächste Stufe heben? Erstellen Sie jetzt Ihr kostenloses Konto!