Geekflare
Geekflare wird von unserem Publikum unterstützt. Wir können Affiliate-Provisionen durch den Kauf von Links auf dieser Website verdienen.
By Hitesh Sant in Sicherheit  |  Zuletzt aktualisiert: 23. Dezember 2022
Teilen:

E-Mail von Ihrem CEO?: Whaling Phishing Fraud Explained

E-Mail-von-Ihrem-CEO-Whaling-Phishing-Betrug-erklärt
Invicti Web Application Security Scanner – die einzige Lösung, die eine automatische Verifizierung von Schwachstellen mit Proof-Based Scanning™ bietet.

Haben Sie kürzlich eine E-Mail von Ihrem „CEO“ erhalten, in der Sie gebeten werden, Geld an einen „Verkäufer“ zu überweisen? Tu es nicht! Es ist ein CEO-Betrug, den ich im Detail erklären werde.

Beginnen wir mit einer kleinen Hintergrundgeschichte.

CEO Fraud passierte mir fast zwei Monate, nachdem ich als Vollzeitautor zu Geekflare kam.

CEO-Betrug-Betrug

Es war nicht sofort ersichtlich, da der Betrüger einen renommierten Domainnamen von Virgin Media (caneae@virginmedia.com), und ich dachte, mein CEO sei irgendwie mit diesem Telekommunikationsunternehmen verbunden, da beide im Vereinigten Königreich ansässig sind.

Also antwortete ich auf das anfängliche ‚Ich würde Ihnen gerne eine Aufgabe zuweisen, haben Sie Zeit?' positiv. Als Nächstes beschrieb der Absender eine Aufgabe, die eine Überweisung von 24,610 INR (ca.

Aber das machte mich ein wenig misstrauisch, und ich bat den Absender, seine Identität nachzuweisen, bevor ich etwas übertragen konnte. Ein paar E-Mails später rief der Betrüger auf und ich schickte das Gespräch an meinen eigentlichen CEO und die IT-Zelle von Virgin Media.

Obwohl ich keine vorherige Ausbildung hatte, um mit dieser Art von Betrug umzugehen, hatte ich das Glück, nicht in diese Falle zu tappen.

Aber wir sollten uns nicht auf reines Glück verlassen; wissen Sie dies stattdessen im Voraus und informieren Sie andere.

CEO Fraud, aka Executive Phishing

Das kommt unter Speerfischen, ein Angriff, der auf eine bestimmte Organisation oder einige ihrer Mitarbeiter abzielt. Es wird als bekannt sein Walfang-Phishing-Angriff wenn das Ziel ein hochkarätiger Mitarbeiter (wie eine C-Suite) einer Institution ist.

Das Federal Bureau of Investigation, USA, markiert diese Betrügereien unter der Kompromiß bei geschäftlichen E-Mails (BEC) or E-Mail-Kontokompromittierung (EAC), auf die im Jahr 2.4 Verluste in Höhe von fast 2021 Milliarden US-Dollar entfielen Bericht über Internetkriminalität.

Geografisch ist Nigeria das Land Nummer eins Hosting von 46 % der CEO-Betrugsfälle, gefolgt von den USA (27 %) und Großbritannien (15 %).

How does this work?

Wie funktioniert das

Insbesondere erfordert CEO-Fraud keine technischen Fähigkeiten oder kriminelles Know-how. Alles, was Sie erhalten, ist eine zufällige E-Mail und Social Engineering um Sie dazu zu bringen, Geld zu senden oder sensible Details für weitere illegale Handlungen preiszugeben.

Schauen wir uns ein paar Möglichkeiten an, wie schlechte Schauspieler dies „derzeit“ tun.

Typ 1

Eine zufällige E-Mail-Addresse Sich als CEO aufzudrängen, der um etwas Geld bittet, ist die einfachste Form eines solchen Tricks. Und dieser ist leicht zu erkennen. Alles, was Sie suchen müssen, ist die E-Mail-Adresse (und nicht der Name).

Im Allgemeinen ist der Domänenname (xyz@Firmenname.com) verrät Betrug. Die E-Mail-Adresse kann jedoch auf eine renommierte Organisation hinweisen (wie in meinem Fall).

Diese Auszeichnungen haben dem Betrug, der einen uninformierten Fachmann zum Opfer fallen kann, mehr Legitimität verliehen. Darüber hinaus kann die E-Mail-Adresse echt aussehen, aber mit geringfügigen, nicht wahrnehmbaren Änderungen, wie z. B. @gmial.com anstelle von @gmail.com.

Schließlich kann es von einer legitimen, aber kompromittierten E-Mail-Adresse stammen, was es extrem schwierig macht, den Betrug zu erkennen.

Typ 2

Eine andere ausgefeiltere Technik verwendet Videoanrufe. Dazu gehört eine „verwaltete“ E-Mail-Adresse eines hochrangigen Beamten, der „dringende“ Online-Meeting-Anfragen an seine Mitarbeiter sendet, hauptsächlich in der Finanzabteilung.

Als nächstes sehen die Teilnehmer ein Bild ohne Audio (oder mit Deepfake-Audio) mit der Behauptung, dass die Verbindung nicht wie erwartet funktioniert.

Anschließend bittet der „Geschäftsführer“ darum, eine Überweisung auf unbekannte Bankkonten zu initiieren, von wo das Geld nach einem erfolgreichen Betrug über andere Kanäle (sprich Kryptowährungen) abgezweigt wird.

Typ 3

Dieser ist eine Variation von Typ 1, zielt aber auf Geschäftspartner und nicht auf Mitarbeiter ab und erhält einen Namens-Rechnungsbetrug, der besser zu seinem Modus Operandi passt.

In diesem Fall erhält der Kunde einer Organisation eine E-Mail, um eine Rechnung dringend auf bestimmte Bankkonten zu zahlen.

CEO-Betrug-1
Quelle: CBC Nachrichten

Dieser hat die höchste Erfolgsquote, da er normalerweise mit einer gehackten Firmen-E-Mail-Adresse durchgeführt wird. Und da E-Mail die Art und Weise ist, wie manchmal ausschließlich Fachleute kommunizieren, führt dies zu enormen finanziellen und Reputationsverlusten für die Zielorganisation.

How to Check CEO Fraud?

So überprüfen Sie CEO-Betrug

Als Angestellter ist es schwierig, eine Anfrage des eigenen CEO abzulehnen. Diese Psyche ist die Hauptursache dafür, dass Täter mit nur einer zufälligen E-Mail leicht Erfolg haben.

Neben dem Hinterfragen finanzieller Anfragen ist es am besten, vor einer „Kooperation“ um ein Video-Meeting zu bitten.

Darüber hinaus müssen Sie in den meisten Fällen nur die E-Mail-Adresse sorgfältig überprüfen. Dieser gehört möglicherweise nicht Ihrer Organisation oder enthält falsch geschriebene Versionen des Firmennamens.

Außerdem kann eine Institution nicht alle Domainendungen registrieren. Sie müssen sich also davor hüten, eine E-Mail von zu erhalten xyz@firma.net wann die offizielle Adresse sein soll xyz@firma.com.

Zu guter Letzt erhalten Sie möglicherweise E-Mails von einer Firmenadresse, die von „extern“ betrieben wird, oder von einem betrügerischen internen Mitglied. Der Schlüssel zu einer solchen Situation ist die mündliche Bestätigung oder das Halten mehrerer Führungskräfte auf dem Laufenden, bevor Zahlungen getätigt werden.

Und der effektivste Weg, Ihr Unternehmen zu schützen, wenn Sie eines führen, ist die Einbeziehung von Phishing-Simulationen in die routinemäßige Mitarbeiterschulung. Denn diese Betrüger entwickeln sich ständig weiter. Eine einzige, einmalige Warnung wird Ihren Mitarbeitern also nicht viel helfen.

Einpacken!

Leider hängen wir stark davon ab geschäftliche E-Mails, die große Schlupflöcher hinterlassen, die Kriminelle oft ausnutzen.

Obwohl es für diese Form der Kommunikation noch keinen Ersatz gibt, können wir Geschäftspartner in Anwendungen wie Slack oder sogar WhatsApp hinzufügen. Dies hilft, schnell zu bestätigen, ob etwas verdächtig erscheint, und solche Rückschläge zu vermeiden.

PS: Wenn ich Sie wäre, würde ich diese Artikelabdeckung nicht verpassen Arten von Cyberkriminalität für zusätzliche Internetkompetenz.

Markiert als
Danke an unsere Sponsoren
Weitere großartige Lektüre zum Thema Sicherheit
Treiben Sie Ihr Geschäft an
Einige der Tools und Dienste, die Ihr Unternehmen beim Wachstum unterstützen.
  • Invicti
    Invicti verwendet das Proof-Based Scanning™, um die identifizierten Schwachstellen automatisch zu verifizieren und innerhalb weniger Stunden umsetzbare Ergebnisse zu generieren.
    Versuchen Sie es mit Invicti
  • helle Daten
    Web-Scraping, Wohn-Proxy, Proxy-Manager, Web-Unlocker, Suchmaschinen-Crawler und alles, was Sie zum Sammeln von Webdaten benötigen.
    Versuchen Sie es mit Brightdata
  • Semrush
    Semrush ist eine All-in-One-Lösung für digitales Marketing mit mehr als 50 Tools in den Bereichen SEO, Social Media und Content-Marketing.
    Versuchen Sie es mit Semrush
  • Intruder
    Intruder ist ein Online-Schwachstellenscanner, der Cyber-Sicherheitslücken in Ihrer Infrastruktur findet, um kostspielige Datenschutzverletzungen zu vermeiden.
    MIT DER INTELLIGENTEN SCHADENKALKULATION VON Intruder