Was ist ein Whaling-Angriff?

Ein Whaling-Angriff ist eine Social-Engineering-Attacke auf eine konkrete Führungskraft oder einen leitenden Mitarbeiter mit dem Ziel, Geld oder Informationen zu stehlen oder Zugriff auf den Computer der Person zu erlangen, um weitere Cyberangriffe durchzuführen.

Whaling, Phishing und Spearphishing im Vergleich

Alle Social-Engineering-Angriffe basieren auf dem Prinzip der Täuschung. Ein Ziel wird zu einer bestimmten Handlung verleitet, z. B. zum Klicken auf einen schädlichen Link. Phishing, Spearphishing und Whaling unterscheiden sich hinsichtlich der angegriffenen Person und des Aufwands, den der Angreifer betreiben muss, um den Angriff zu starten.

Phishing

Ein Phishing-Angriff richtet sich gegen Benutzer, die auf einen schädlichen Link klicken oder einen schädlichen Anhang herunterladen. Ihre Position, Tätigkeit usw. sind für die Täuschung unerheblich.

Spearphishing

Ein Spearphishing-Angriff richtet sich gegen eine demografische Gruppe, z. B. Mitarbeiter in einem bestimmten Unternehmen oder Finanzanalysten in einer bestimmten Branche.

Whaling

Ein Whaling-Angriff nutzt BEC-Techniken (Business Email Compromise, Kompromittierung geschäftlicher E-Mail-Adressen), um eine wichtige Person (z. B. eine Führungskraft) zur gewünschten Aktion zu verleiten.

Wie funktioniert ein Whaling-Angriff?

Whaling-Angriffe können wichtige Personen erfolgreich täuschen, weil sie auf intensiven Nachforschungen basieren. Ein Geschäftsführer könnte zum Beispiel eine fingierte E-Mail von seinem Finanzvorstand erhalten, der gerade im Urlaub ist. Darin könnte es heißen: „Steige gerade in den Flieger. Lieferant X muss dringend noch bezahlt werden oder eine wichtige Lieferung verzögert sich. Kannst Du 2 Mio. EUR auf das folgende Konto überweisen: …?“

Der Geschäftsführer weiß, dass der Finanzvorstand auf Reisen ist. Der Geschäftsführer weiß, dass der Lieferant seriös ist. Der Schreibstil passt zum Schreibstil des Finanzvorstands. Die E-Mail-Adresse sieht richtig aus. Wie ist das möglich?

Betrüger nutzen verschiedene Techniken (z. B. Social Engineering, E-Mail-Spoofing und Content-Spoofing), um überzeugende Whaling-E-Mails zu schreiben. Sie stellen Nachforschungen zur imitierten Person sowie zur getäuschten Person an, indem sie soziale Medien und andere offen zugängliche Datenquellen verfolgen. Ebenso könnten sie einen Phishing-Angriff zur Vorbereitung nutzen und sich Zugang zum Computer eines einfachen Mitarbeiters verschaffen, um Einblick in Personaldaten zu erhalten und zu erfahren, wann wichtige Personen in der Firma frei haben. Auch über das Ausspionieren bestimmter E-Mail-Posteingänge können sie an persönliche Informationen gelangen, mit denen sich eine glaubhafte Nachricht erstellen lässt. Sie könnten sogar physisches Social Engineering betreiben, z. B. in einem Lokal warten, von dem bekannt ist, dass es gern von Mitarbeitern der angegriffenen Firma aufgesucht wird.

Wie erkenne ich eine Whaling-E-Mail?

Die Unternehmen bieten zwar inzwischen viel mehr verpflichtende Sicherheitsschulungen für ihre Mitarbeiter an, allerdings beteiligt sich gerade die Unternehmensführung nicht immer so geschlossen an diesen Programmen. Dies kann daran liegen, dass sie Mitarbeiter haben, die für sie entscheiden, dass sie solche Schulungen nicht brauchen, oder weil es gerade nicht passt bzw. weil für normale Mitarbeiter entwickelte Schulungen keine Relevanz für die Belange einer Führungskraft haben.

Und egal wie rigoros Ihre Whaling-Schutzbemühungen sind, es gibt immer die Möglichkeit, dass eine Whaling-E-Mail durch Ihre Verteidigungslinien schlüpft. Erfolgreiche Betrugsversuche mit E-Mails an Führungskräfte lassen sich nur verhindern, indem diese Führungskräfte gezielte, für ihre Position maßgeschneiderte Sicherheitsschulungen erhalten.

Auch wenn leitende Mitarbeiter bereits für die Gefahren von BEC-Angriffen sensibilisiert wurden, müssen sie verstehen, dass Whaling-E-Mails viel komplexer als Phishing- oder Spearphishing-E-Mails sind und dass selbst die vorsichtigsten Personen getäuscht werden können. Betonen Sie die folgenden Punkte:

• Inhalt: Das erste Warnzeichen ist die Art der Bitte. Wenn es um eine Überweisung oder eine Übermittlung vertraulicher Daten geht, ist näheres Hinsehen angebracht.
• Dringlichkeit: Wenn die Bitte mit einer Frist versehen ist und negative Folgen suggeriert werden, sollte die Frist verpasst werden, muss sie als hoch verdächtig eingestuft und einem mehrstufigen Verifizierungsprozess unterzogen werden, z. B. einer Untersuchung durch das Sicherheitsteam.
• Domäne: Die Domäne muss exakt mit der Unternehmensdomäne übereinstimmen. Achten Sie auf Domänennamen, in denen beispielsweise die beiden Buchstaben „rn“ durch den Buchstaben „m“ oder „vv“ durch „w“ usw. ersetzt wurden.

Ziele von Whaling-Angriffen

Die ganze Mühe lohnt sich für Betrüger, weil eine riesige Belohnung winken kann. Zu den Whaling-Opfern, die es in die Schlagzeilen schafften, gehören ein Getreideunternehmen, das 17,2 Millionen US-Dollar verlor, und eine Filmfirma, die 21 Millionen US-Dollar einbüßte. Ein Hersteller von Flugzeugteilen verlor 54 Millionen US-Dollar und entließ daraufhin seinen Geschäftsführer nach 17 Jahren Betriebszugehörigkeit.

Andere Firmen melden die Exfiltration umfangreicher vertraulicher Daten. Ein Festplattenhersteller hatte Einkommenssteuerdaten mehrerer Mitarbeiter und vertrauliche Daten tausender anderer Personen an einen Betrüger übermittelt. Der Hersteller wurde von seinen eigenen Mitarbeitern verklagt. Eine Social-Media-Firma hatte Gehaltsinformationen an einen Betrüger übermittelt, der sich als Geschäftsführer ausgab. Gestohlene Informationen können im Dark Web verkauft oder von nationalstaatlichen Akteuren für politische Zwecke genutzt werden.

Bei den meisten Whaling-Angriffen werden die oben genannten Summen zwar nicht erzielt, doch die von den Angreifern aufgerufenen Beträge steigen: Die durchschnittlichen geforderten Überweisungsbeträge sind in allein in den letzten drei Monaten des Jahres 2020 von 48.000 auf 75.000 US-Dollar gestiegen. Die 2020 insgesamt am meisten durch Phishing angegriffenen Branchen waren Finanzinstitute, Web-Mail-Anbieter und SaaS.

Wie können Sie einen Whaling-Angriff vermeiden?

Da ein Whaling-Angriff wie ein Phishing-Angriff beginnt, helfen auch dieselben Schutzvorkehrungen, zum Beispiel:

• Stoppen Sie E-Mails mit gefälschten Adressen, indem Sie E-Mails von außerhalb des Netzwerks blockieren, wenn die Domäne verdächtig ist (z. B. wenn eine E-Mail, die von widget.com sein soll, tatsächlich von vvidget.com kommt).
• Implementieren Sie Software für Datenverlustprävention (DLP), um E-Mails zu blockieren, die die Firmenregeln verletzen, und E-Mails auf der Basis des Domänenalters im Vergleich zum Alter der Domäne des angeblichen Benutzers zu markieren, wenn verdächtige Begriffe wie „Überweisung“ oder andere Attribute enthalten sind.
• Etablieren Sie Whaling-Präventionspraktiken, z. B. durch die Durchsetzung einer Regel, dass per E-Mail gesendete Bitten um vertrauliche Informationen oder Überweisungen über einem bestimmten Betrag telefonisch verifiziert und von einer zweiten Person genehmigt werden müssen.
• Fordern Sie Ihre Mitarbeiter auf, ihre Social-Media-Profile nur für Freunde freizugeben, damit Betrüger dort keine wertvollen Informationen finden können.
• Bieten Sie maßgeschneiderte Sicherheitsschulungen für Führungskräfte an, da diese andere Schwachstellen und Bedürfnisse als normale Benutzer haben.