Phishing-Angriffe auf Führungskräfte - Praktische Einblicke und Präventionsstrategien
von
Lesezeit: 9 min
Außergewöhnliche Phishing-Angriffe auf Führungskräfte sind eine der effektivsten und kostengünstigsten Methoden, um die Sicherheit eines Unternehmens zu gefährden. Führungskräfte können per E-Mail oder Telefonanruf angelockt werden, aber das Ergebnis ist fast immer das gleiche.
Ein Phishing-Angriff auf Führungskräfte ist für alle Arten von Unternehmen ein großes Problem. Er ist einer der Hauptgründe für den Verlust von über $43 Milliarden (USD) von 2016 bis 2021wobei spezielle CEO-Betrügereien erheblich zu diesen Verlusten beitragen und zu einem Problem werden, das das FBI als mehrere Milliarden Dollar jährlich bezeichnet.
In diesem Artikel erörtern wir die Definition von Executive Phishing, warum es eine solche Bedrohung darstellt und wie Sie vermeiden können, das nächste Opfer zu werden.
Wichtigste Erkenntnisse
- Phishing von Führungskräften, einschließlich CEO-Betrug, zielt auf leitende Angestellte ab, indem sie sich als vertrauenswürdige Quellen ausgeben, um Daten zu stehlen oder betrügerische Überweisungen zu veranlassen.
- Zu den gängigen Taktiken gehören Business Email Compromise (BEC), gefälschte Rechnungen und Social Engineering, wobei häufig Dringlichkeit erzeugt oder Vertrauen ausgenutzt wird.
- Wachsamkeit ist der Schlüssel: Untersuchen Sie E-Mails auf ungewöhnliche Anfragen, schlechte Grammatik oder merkwürdige Absenderangaben, und überprüfen Sie verdächtige Nachrichten über separate Kanäle.
- Technische Schutzmaßnahmen wie DMARC/SPF/DKIM-E-Mail-Authentifizierung, Multi-Faktor-Authentifizierung (MFA) und fortschrittliche E-Mail-Filterung sind unerlässlich.
- Organisatorische Maßnahmen wie Sicherheitsschulungen, strenge Finanzprotokolle, regelmäßige Audits und Pläne für die Reaktion auf Zwischenfälle bieten wichtige Schutzmaßnahmen.
Was ist Executive Phishing?
Executive Phishing ist eine Cyberkriminalität, die auf hochrangige Führungskräfte und andere Entscheidungsträger wie den CEO, CFO und hochrangige Führungskräfte abzielt. Bei dieser betrügerischen Praxis, die manchmal speziell als CEO-Phishing bezeichnet wird, wenn die oberste Führungskraft verkörpert wird, imitieren Cyberkriminelle diese Führungskräfte, um Mitarbeiter oder die Führungskräfte selbst zu täuschen. Der Name der Führungskraft, die E-Mail-Signatur, die digitale Visitenkarte, der Schreibstil und andere Details werden häufig während des Phishing-Angriffs verwendet, um die Nachricht legitim erscheinen zu lassen.
Unter 2020kosten Cyberkriminalität wie CEO-Betrug und Ransomware über 4,1 Milliarden US-Dollar, wobei die gemeldeten Fälle von 2019 bis 2020 um 69 % auf über 791.000 ansteigen. Einigen Berichten zufolge hat sich der BEC-Betrug (Business Email Compromise), zu dem auch CEO-Phishing gehört, allein zwischen 2018 und 2019 fast verdoppelt. Leider werden diese Cyber-Bedrohungen nicht langsamer, sondern verschlimmern sich und betreffen Unternehmen auf der ganzen Welt.
Er soll dem Opfer vorgaukeln, dass es eine E-Mail von einem Mitarbeiter seines Unternehmens oder einer anderen vertrauenswürdigen Quelle erhält, und nutzt so das Vertrauen und die hierarchische Struktur von Unternehmen aus.
Bei Phishing-Angriffen auf Führungskräfte handelt es sich in der Regel um eine gut gestaltete E-Mail von einem Mitarbeiter Ihres Unternehmens, es kann aber auch eine E-Mail von einem Mitarbeiter außerhalb Ihres Unternehmens sein.
Die E-Mails enthalten oft Informationen über eine bevorstehende Sitzung, z. B. die Tagesordnung oder einen anstehenden Vertrag, oder sie fordern zu dringenden Maßnahmen wie Überweisungen oder der Weitergabe vertraulicher Daten auf.
Der Angreifer kann auch versuchen, auf vertrauliche Daten im Unternehmensnetzwerk zuzugreifen, indem er sich als vertrauenswürdiger Mitarbeiter mit Zugang zu vertraulichen Informationen ausgibt.
Ziel von Executive Phishing ist es, vertrauliche Daten wie Passwörter, sensible Dokumente und Anmeldedaten zu stehlen oder Mitarbeiter dazu zu verleiten, Geld zu überweisen oder Zugang zu Systemen zu gewähren. Der Angreifer nutzt dann diese gestohlenen Anmeldedaten oder den erlangten Zugang für böswillige Zwecke.
Lesen Sie dazu: Was ist eine Phishing-E-Mail?
Schützen Sie sich mit PowerDMARC vor Executive Phishing!
Warum zielen Phishing-Angriffe auf Führungskräfte?
Durch Angriffe auf Führungskräfte können Hacker an wertvolle Informationen gelangen, die im Dark Web verkauft oder als Erpressung gegen das Unternehmen des Opfers verwendet werden könnten. Diese Angriffe nutzen oft die Autorität und das Vertrauen aus, die mit Führungspositionen verbunden sind, um Mitarbeiter zu Handlungen zu bewegen, die sie sonst nicht tun würden, wie z. B. die Überweisung von Geldern oder die Preisgabe von Anmeldedaten.
Da Führungskräfte der obersten Ebene in der Regel Zugang zu sensiblen Daten wie Finanzdaten, personenbezogenen Informationen und anderen vertraulichen Geschäftsdokumenten haben, können sie zum bevorzugten Ziel von Phishing-Angriffen werden, die darauf abzielen, diese Daten mit allen Mitteln zu erlangen. Darüber hinaus können ihre Konten, wenn sie kompromittiert werden, dazu verwendet werden, sehr überzeugende Angriffe gegen andere Mitarbeiter oder Partner zu starten. Die potenziellen Auswirkungen eines erfolgreichen Phishing-Angriffs auf Führungskräfte sind schwerwiegend und umfassen erhebliche finanzielle Verluste, Rufschädigung des Unternehmens, rechtliche Konsequenzen, Betriebsunterbrechungen, Datenschutzverletzungen und erheblichen Stress für die betroffenen Mitarbeiter.
Beispiel eines Phishing-Angriffs für Führungskräfte
Ein Beispiel für eine Phishing-E-Mail für Führungskräfte ist in der folgenden Abbildung zu sehen:
Hauptarten von Phishing-Angriffen auf Führungskräfte
Im Folgenden werden einige der wichtigsten Arten von Phishing-Angriffen auf Führungskräfte beschrieben:
Business Email Compromise (BEC) Angriffe
BEC-Angriffe zielen auf CEOs und andere hochrangige Beamte ab (in diesem speziellen Fall oft als CEO-Betrug bezeichnet), indem sie sich als deren E-Mails ausgeben und um Geldüberweisungen oder sensible Informationen bitten.
BEC-Angreifer versenden betrügerische E-Mails mit gefälschten Firmenlogos und gefälschten Absenderadressen, wobei sie manchmal den Schreibstil des Geschäftsführers imitieren, um den Empfänger in dem Glauben zu lassen, es handele sich um eine echte E-Mail und er würde der betrügerischen Anfrage nachkommen.
Lesen Sie dazu: Grundlegende BEC-Abwehrstrategie für kleine Unternehmen
Angriffe auf die Rechnungsstellung
Dieser Angriff zielt darauf ab, Geld von Unternehmen zu stehlen, indem gefälschte Rechnungen erstellt werden, die zwar legitim erscheinen, aber Fehler oder Unstimmigkeiten enthalten und oft Zahlungen auf Konten leiten, die von den Angreifern kontrolliert werden.
Der Angreifer fordert dann die Bezahlung dieser Rechnungen durch Banküberweisungen oder andere Zahlungsmethoden an, deren Überprüfung einige Zeit in Anspruch nimmt, wobei er sich manchmal als bekannter Lieferant oder als eine Führungskraft ausgibt, die die Zahlung genehmigt.
Ausnutzung von Videokommunikationsplattformen
Bei diesem Angriff nutzt der Hacker eine Videokommunikationsplattform aus, um sich als die Führungskraft auszugeben. So könnten sie beispielsweise Google Hangouts oder ähnliche Tools verwenden, um sich als CEO auszugeben und während eines gefälschten Treffens oder per Chat nach vertraulichen Informationen zu fragen.
Der Hacker kann den Mitarbeitern auch eine E-Mail schicken, in der er ihnen mitteilt, dass sie sich mit einem Mitarbeiter der Finanzabteilung zu einem Videoanruf treffen werden. Sie weisen sie an, eine App herunterzuladen (die möglicherweise bösartig ist) und ihre Anmeldedaten einzugeben, wodurch möglicherweise Anmeldedaten kompromittiert werden.
Sozialtechnik
Social Engineering ist die Haupttaktik, die bei all diesen Angriffen verwendet wird, um auf sensible Informationen oder Daten zuzugreifen, indem Benutzer dazu verleitet werden, Passwörter, Sozialversicherungsnummern, die Autorisierung von Zahlungen oder andere sensible Aktionen preiszugeben.
Der Angreifer gibt sich oft als Mitarbeiter der IT-Abteilung, eines leitenden Angestellten oder einer anderen Abteilung Ihres Unternehmens aus und bittet um Zugriff auf Ihren Computer oder Ihre Netzwerkressourcen oder fordert dringende Maßnahmen, obwohl normale Geschäftspraktiken diese Anfrage nicht rechtfertigen.
Executive Phishing vs. Whaling
Denken Sie daran, dass sowohl Executive Phishing als auch Whaling Cyberangriffe sind, die auf hochrangige Mitarbeiter abzielen, wobei Whaling eine speziellere Variante ist, die oft als Synonym für Angriffe auf die absolut ranghöchsten Personen (die "größten Fische") verwendet wird. Beide sind Formen des Spear-Phishings, d. h. sie sind sehr gezielt und personalisiert. Angemessene Cybersicherheitsmaßnahmen und Mitarbeiterschulungen sind entscheidend für die Abwehr dieser Bedrohungen.
Werfen wir einen Blick auf Executive Phishing und Whaling:
| Aspekt | Phishing für Führungskräfte | Walfang |
| Ziel | Executive Phishing zielt auf hochrangige Führungskräfte innerhalb eines Unternehmens ab. | Whaling konzentriert sich auf die obersten Führungskräfte, wie CEOs und CFOs (die "Wale"). |
| Zielsetzung | Executive Phishing zielt darauf ab, sich unbefugten Zugang zu verschaffen, Daten zu stehlen, Anmeldedaten zu erlangen oder betrügerische Transaktionen zu initiieren. | Whaling zielt darauf ab, hochsensible Informationen oder große Geldsummen zu erlangen, indem hochrangige Führungskräfte kompromittiert werden oder sich als solche ausgeben. |
| Angriffsart | Executive Phishing ist eine Art von Spear-Phishing-Angriff, bei dem speziell Führungskräfte ausgetrickst werden oder ihre Persona benutzt wird, um andere auszutricksen. | Whaling ist eine hochspezialisierte Form des Spear-Phishing, die auf die einflussreichsten Personen ("Wale") abzielt. |
| Nachahmung | Beim Phishing von Führungskräften geben sich die Angreifer als leitende Angestellte oder Kollegen aus, um die Zielperson zu täuschen. | Beim Whaling gibt man sich als hochrangige Führungskraft aus, um deren Autorität und Vertrauen auszunutzen. |
| Vorbereitung | Angreifer recherchieren die Rolle, den Kommunikationsstil und die relevanten Informationen der Zielperson, was beim Executive Phishing üblich ist. | Whaling-Täter stellen gründliche Nachforschungen über die Zielperson, ihre Aufgaben, Beziehungen und das Unternehmensumfeld an. |
| E-Mail-Inhalt | Phishing-E-Mails für Führungskräfte imitieren eine offizielle Kommunikation. Oft wird ein Gefühl der Dringlichkeit vermittelt oder es werden sensible Angelegenheiten angesprochen, die für die Rolle der Führungskraft relevant sind. | Whaling-E-Mails enthalten hochgradig individualisierte und personalisierte Nachrichten, die speziell auf die Position, die Aufgaben und den aktuellen Kontext der Zielperson zugeschnitten sind. |
| Sozialtechnik | Beim Executive Phishing werden Machtdynamik, Dringlichkeit oder Neugierde ausgenutzt, um die Zielpersonen zum Handeln zu bewegen. | Whaling nutzt den vermeintlich hochrangigen Zugang und die Autorität der sich als Führungskraft ausgebenden Person, um das Vertrauen der Zielperson und ihre Compliance zu manipulieren. |
| Nutzlast | Beim Executive Phishing werden häufig bösartige Links, Anhänge oder Anfragen nach Informationen oder Finanztransaktionen als Nutzlast verwendet. | Walfang-Nutzlasten zielen oft auf streng vertrauliche Daten, große Finanztransaktionen oder andere wertvolle Vermögenswerte ab, die nur auf höchster Ebene zugänglich sind. |
| Auswirkungen | Die Auswirkungen von Executive Phishing können von kompromittierten Konten und Datenverletzungen bis hin zu erheblichen finanziellen Verlusten und Rufschädigung reichen. | Die Auswirkungen von Whaling können äußerst signifikant sein und zu erheblichen finanziellen Verlusten, schwerwiegenden Rufschädigungen und potenziellen rechtlichen Konsequenzen für Unternehmen führen. |
| Gegenmaßnahmen | Zu den Gegenmaßnahmen gegen Executive Phishing gehören Mitarbeiterschulungen, der Einsatz von Anti-Phishing-Tools, eine starke Authentifizierung und eine wachsame E-Mail-Praxis. | Der Schutz vor Whaling erfordert eine solide Schulung des Sicherheitsbewusstseins (insbesondere für Führungskräfte), eine fortschrittliche Bedrohungserkennung, starke Authentifizierungsmethoden und strenge Überprüfungsprotokolle. |
| Beispiele | Beispiele für Phishing von Führungskräften sind gefälschte Anfragen für Geldtransfers oder die Weitergabe von Daten, die an Führungskräfte gerichtet sind oder scheinbar von ihnen stammen. | Beim Whaling werden sehr gezielte E-Mails an hochrangige Führungskräfte gesendet, oft mit überzeugenden, kontextspezifischen böswilligen Absichten oder betrügerischen Anfragen, die den Anschein erwecken, von Kollegen oder kritischen externen Einrichtungen zu stammen. |
Lesen Sie dazu: Whaling-Phishing vs. Normales Phishing
Abwehr und Abhilfemaßnahmen für Phishing-Angriffe auf Führungskräfte
Die folgenden Sicherheitsmaßnahmen können dazu beitragen, Ihr Unternehmen vor Executive Phishing zu schützen:
DMARC-, SPF- und DKIM-Einführung
DMARC (Domain-based Message Authentication, Reporting & Conformance) ist zusammen mit SPF (Sender Policy Framework) und DKIM (DomainKeys Identified Mail) ein wichtiges E-Mail-Authentifizierungsprotokoll. SPF spezifiziert autorisierte Mailserver, DKIM fügt eine digitale Signatur hinzu, um die E-Mail-Integrität zu überprüfen, und DMARC bietet eine Richtlinie für den Umgang mit E-Mails, die diese Prüfungen nicht bestehen, so dass Unternehmen die empfangenden Mailserver anweisen können, wie sie mit betrügerischen Nachrichten unter Verwendung ihrer Domäne umgehen sollen, und einen Einblick in solche Versuche erhalten. Durch die Umsetzung dieser Maßnahmen wird das Risiko von E-Mail-Imitationen erheblich verringert.
Schulung zum Sicherheitsbewusstsein
Schulungen zum Sicherheitsbewusstsein helfen den Mitarbeitern, potenzielle Bedrohungen zu erkennen, bevor sie zu einem Problem werden. Diese Schulungen sollten regelmäßig stattfinden und auf die jeweilige Rolle zugeschnitten sein, insbesondere für Führungskräfte und Finanzpersonal, die besonders gefährdet sind.
In Schulungen zum Sicherheitsbewusstsein lernen die Mitarbeiter, wie sie verdächtige E-Mails anhand ihres Inhalts (z. B. ungewöhnliche Anfragen, Dringlichkeit, schlechte Grammatik/Rechtschreibung), der Absenderangaben (z. B. leicht veränderte E-Mail-Adressen) und des Kontextes (z. B. Anfragen außerhalb der üblichen Verfahren, unerwartete Kommunikationsmethoden oder -zeiten) erkennen können. Außerdem wird den Mitarbeitern beigebracht, wie sie diese E-Mails sicher melden können und wie wichtig es ist, Anfragen über separate, vertrauenswürdige Kommunikationskanäle zu überprüfen, bevor sie handeln.
Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung (MFA) fügt eine weitere Sicherheitsebene über das Passwort hinaus hinzu, indem sie von den Nutzern verlangt, einen Code einzugeben, der an ihr Telefon gesendet oder von einer App generiert wird, oder einen physischen Sicherheitsschlüssel zu verwenden, bevor sie Zugang zu Konten und Systemen erhalten. Die Implementierung von MFA für alle wichtigen Konten erschwert Angreifern die Arbeit erheblich, selbst wenn sie Anmeldedaten stehlen.
E-Mail-Filterung und Anti-Phishing-Tools
Die erste Verteidigungslinie ist die Verwendung fortschrittlicher E-Mail-Filterlösungen und Anti-Phishing-Tools. Diese Software nutzt verschiedene Techniken, um verdächtige E-Mails zu erkennen und zu blockieren oder zu kennzeichnen, bevor sie den Posteingang der Mitarbeiter erreichen.
Diese Tools analysieren die Reputation des Absenders, E-Mail-Inhalte, Links, Anhänge und Kopfzeileninformationen, um bekannte Phishing-Indikatoren, Spoofing-Versuche und potenzielle Malware zu erkennen.
Lesen Sie dazu: Der Unterschied zwischen Anti-Spam und DMARC
Regelmäßige Software-Updates und Patch-Management
Stellen Sie sicher, dass die gesamte Software, einschließlich Betriebssysteme, Browser, E-Mail-Clients und Anwendungen von Drittanbietern, immer mit den neuesten Sicherheits-Patches aktualisiert wird. Dies gilt sowohl für physische als auch für virtuelle Maschinen.
Die Patches beheben häufig Sicherheitslücken, die von Angreifern über bösartige Links oder Anhänge in Phishing-E-Mails ausgenutzt werden können.
Strenge Finanzprotokolle
Festlegung und Durchsetzung klarer, strenger Protokolle für alle Finanztransaktionen, insbesondere für Überweisungen oder Änderungen von Zahlungsdaten. Dazu sollte die obligatorische Genehmigung durch mehrere Personen für hohe Beträge oder ungewöhnliche Anfragen gehören, unabhängig vom Dienstalter der scheinbaren Quelle.
Überprüfung von Anträgen
Sorgen Sie für eine Unternehmenskultur, in der sich die Mitarbeiter ermächtigt fühlen und verpflichtet sind, ungewöhnliche oder heikle Anfragen (insbesondere finanz- oder datenbezogene) über einen separaten, vertrauenswürdigen Kommunikationskanal zu überprüfen (z. B. durch einen Anruf bei einer bekannten Nummer oder ein persönliches Gespräch), bevor sie Maßnahmen ergreifen, selbst wenn die Anfrage scheinbar von einer Führungskraft kommt.
Entwicklung von Cybersicherheitsrichtlinien
Implementieren Sie umfassende Cybersicherheitsrichtlinien, die sichere E-Mail-Praktiken, den Umgang mit Daten, die Verwaltung von Passwörtern, die Meldung von Vorfällen und die akzeptable Nutzung von Kommunikationsplattformen umfassen. Stellen Sie sicher, dass diese Richtlinien klar kommuniziert und regelmäßig überprüft werden.
Regelmäßige Sicherheitsaudits
Durchführung regelmäßiger Sicherheitsprüfungen, um die Wirksamkeit bestehender Schutzmaßnahmen zu bewerten, potenzielle Schwachstellen in Systemen und Prozessen zu ermitteln und die Einhaltung von Sicherheitsrichtlinien zu gewährleisten.
Einen Plan für die Reaktion auf Zwischenfälle aufstellen
Verfügen Sie über einen gut definierten Reaktionsplan für Vorfälle, der speziell auf Phishing- und BEC-Szenarien ausgerichtet ist. Dieser Plan sollte Schritte zur Eindämmung, Untersuchung, Beseitigung, Wiederherstellung und Analyse nach dem Vorfall enthalten, um eine schnelle und organisierte Reaktion zur Schadensminimierung zu gewährleisten.
Klare Kommunikationsprotokolle
Definieren Sie klare Protokolle dafür, wie sensible Informationen und Finanzanfragen innerhalb der Organisation kommuniziert und genehmigt werden sollten. Stellen Sie sicher, dass die Mitarbeiter diese Protokolle verstehen und Anfragen, die davon abweichen, als potenzielle Warnsignale erkennen.
Letzte Worte
Obwohl Phishing insgesamt nicht die häufigste Form von Phishing ist, sind Phishing-Angriffe auf Führungskräfte wie der CEO-Betrug sehr gezielt und können unverhältnismäßig negative Auswirkungen auf Einzelpersonen und Unternehmen haben. Wenn Sie Nachrichten von Personen erhalten, die Sie nicht kennen, Anfragen, die ungewöhnlich oder dringend erscheinen, oder Mitteilungen über Situationen, die nicht sofort real erscheinen, sollten Sie nicht voreilig auf Links klicken, Dateien öffnen oder Anweisungen befolgen.
Sie könnten sehr wohl Ziel eines Phishing-Angriffs sein. Wenn Sie wachsam bleiben, robuste technische Schutzmaßnahmen einführen und eine sicherheitsbewusste Unternehmenskultur mit klaren Verfahren fördern, können Sie das Risiko, Opfer eines Phishing-Angriffs zu werden, erheblich verringern. Befolgen Sie unsere Tipps, um sich und Ihr Unternehmen zu schützen.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
- Microsoft Sender Requirements Enforced - Wie man 550 5.7.15 Ablehnungen vermeidet - 30. April 2025
- Wie kann man Spyware vorbeugen? - April 25, 2025
- Wie man SPF, DKIM und DMARC für Customer.io einrichtet - 22. April 2025
