Whaling oder Whale-Phishing ist eine spezielle Art von Phishing-Angriff, bei der hochrangige Unternehmensleiter Zielscheibe betrügerischer E-Mails, SMS-Nachrichten oder Telefonanrufe werden. Die sorgfältig verfassten Nachrichten sollen Empfänger dazu verleiten, hohe Zahlungen an Cyberkriminelle zu genehmigen oder vertrauliche bzw. wertvolle Unternehmens- oder persönliche Daten preiszugeben.
Whaling zielt auf Führungskräfte der C-Ebene (CEOs, CFOs, COOs), andere leitende Angestellte, politische Amtsträger und Organisationsleiter ab, die ohne die Zustimmung anderer Personen große Zahlungen, Überweisungen oder die Freigabe sensibler Informationen genehmigen können. Diese Zielpersonen werden im Englischen als Whales (zu Deutsch: Wale) bezeichnet – in Anlehnung an die umgangssprachliche Nutzung des Begriffs für Kunden (oder Glücksspieler), die überdurchschnittlich viel Geld besitzen.
Es ist wichtig, die Unterschiede zwischen Phishing, Spear-Phishing und Whale-Phishing zu verstehen, da die Begriffe oft synonym, falsch oder ohne Kontext verwendet werden.
Beim Phishing werden Menschen anhand betrügerischer E-Mails, SMS-Nachrichten oder Telefonanrufe dazu verleitet, Malware herunterzuladen (über einen bösartigen Link oder einen Dateianhang), vertrauliche Informationen weiterzugeben, Geld an Kriminelle zu überweisen oder andere Handlungen vorzunehmen, die sie selbst oder ihre Unternehmen der Cyberkriminalität aussetzen.
Wer einen Computer oder ein Smartphone besitzt, ist höchstwahrscheinlich schon einmal Ziel eines Massen-Phishing-Angriffs geworden. Man erhält dabei eine Nachricht, die scheinbar von einem bekannten Unternehmen oder einer vertrauenswürdigen Organisation stammt. Darin wird zunächst eine gewöhnliche bzw. glaubwürdige Situation beschrieben, bevor Empfänger dazu angehalten werden, dringend eine bestimmte Aktion auszuführen. Z. B.: „Ihre Kreditkarte wurde abgelehnt. Bitte klicken Sie auf den unten stehenden Link, um Ihre Zahlungsinformationen zu aktualisieren.“ Empfänger, die auf den Link klicken, werden auf eine schädliche Website weitergeleitet, auf der möglicherweise ihre Kreditkartennummer gestohlen oder Malware auf ihren Computer heruntergeladen wird.
Das Erfolgsrezept solcher Massen-Phishing-Kampagnen ist ganz einfach die schiere Anzahl an versendeten Nachrichten. Angreifer kontaktieren so viele Personen wie möglich und können sich dabei sicher sein, dass ein gewisser Prozentsatz den Köder schlucken wird. In einer Studie wurden im Jahr 2022 in einem Zeitraum von sechs Monaten über 255 Millionen Phishing-Nachrichten entdeckt (Link außerhalb von ibm.com). Laut dem IBM-Bericht Kosten eines Datenschutzverstoßes 2022 war Phishing im Jahr 2022 die zweithäufigste Ursache für Datenschutzverletzungen und die häufigste Methode zur Verbreitung von Ransomware.
Beim Spear-Phishing erfolgt ein Phishing-Angriff auf eine bestimmte Person oder Personengruppe innerhalb eines Unternehmens. Zielpersonen sind in der Regel Manager der mittleren Ebene, die Zahlungen oder Datenübertragungen autorisieren können – also zum Beispiel Kreditorenbuchhalter oder Personalleiter. Angreifer geben sich dabei als Vorgesetzte oder Kollegen (z. B. Lieferanten, Geschäftspartner, Berater) aus, denen die Zielperson vertraut.
Bei Spear-Phishing-Angriffen werden die versendeten Nachrichten stärker personalisiert als bei Massen-Phishing-Angriffen. Daher verlangen sie den Betrügern mehr Arbeit und Nachforschungen ab. Doch der Mehraufwand kann sich für Cyberkriminelle lohnen. Beispielsweise haben Spear-Phisher zwischen 2013 und 2015 mehr als 100 Millionen US-Dollar von Facebook und Google gestohlen, indem sie sich als legitime Lieferanten ausgaben und Mitarbeiter dazu verleiteten, gefälschte Rechnungen zu bezahlen (Link außerhalb von ibm.com).
Whale-Phishing oder Whaling ist ein Spear-Phishing-Angriff, der sich ausschließlich gegen hochrangige Führungskräfte oder Funktionäre richtet. Der Angreifer gibt sich in der Regel als ein Kollege innerhalb des Unternehmens der Zielperson oder als ein gleich- bzw. höhergestellter Mitarbeiter eines anderen Unternehmens aus.
Whale-Phishing-Nachrichten sind stark personalisiert. Die Angreifer geben sich große Mühe, den Schreibstil des tatsächlichen Absenders zu imitieren, und beziehen sich in ihren Nachrichten (wenn möglich) auf aktuelle Geschäftsgespräche. Whale-Phishing-Betrüger spionieren häufig Interaktionen zwischen dem Absender und der Zielperson aus. Viele versuchen, das echte E-Mail- oder Messaging-Konto des Absenders zu kapern, um die Angriffsnachricht direkt von dort aus zu versenden und möglichst authentisch erscheinen zu lassen.
Da Whaling-Angriffe auf Personen abzielen, die größere Zahlungen genehmigen können, bieten sie Betrügern einen potenziell höheren unmittelbaren Gewinn.
Whaling wird manchmal mit Business Email Compromise (BEC) gleichgesetzt, einer anderen Art von Spear-Phishing-Angriff, bei dem der Angreifer der Zielperson eine betrügerische E-Mail schickt, die scheinbar von einem Mitarbeiter oder Kollegen stammt. BEC ist nicht immer Whaling (da Ersteres häufig auf Mitarbeiter der unteren Ebenen abzielt), und Whaling ist nicht immer BEC (da es nicht immer per E-Mail erfolgt), doch viele der kostspieligsten Whaling-Angriffe sind auch BEC-Angriffe. Einige Beispiele:
Phishing, Spear-Phishing und Whale-Phishing sind alles Beispiele für Social-Engineering-Angriffe – also Angriffe, die in erster Linie menschliche Schwachstellen statt technischer Sicherheitslücken ausnutzen, um die Sicherheit zu beeinträchtigen. Da sie viel weniger digitale Beweise hinterlassen als Malware oder Hackerangriffe, sind diese Attacken für Sicherheitsteams und Cybersicherheitsexperten viel schwieriger zu erkennen oder zu verhindern.
Die meisten Whaling-Angriffe zielen darauf ab, einer Organisation große Geldsummen zu stehlen, indem ein hochrangiger Mitarbeiter dazu verleitet wird, eine Überweisung an einen betrügerischen Anbieter oder ein betrügerisches Bankkonto vorzunehmen, zu genehmigen oder anzuordnen. Aber Whaling-Angriffe können auch andere Ziele haben, darunter:
Die meisten Whale-Phishing-Angriffe erfolgen aus reiner Gier. Andere können durch Rache gegen eine Führungskraft bzw. ein Unternehmen, durch Wettbewerbsdruck oder durch sozialen oder politischen Aktivismus motiviert sein. Angriffe gegen hochrangige Regierungsbeamte können unabhängiger oder staatlich geförderter Cyberterrorismus sein.
Cyberkriminelle wählen einen Whale mit Zugriff auf ihr Ziel und einen Absender mit Zugriff auf ihren Whale. Ein Cyberkrimineller, der beispielsweise Zahlungen an den Supply-Chain-Partner eines Unternehmens abfangen möchte, kann dem CFO des Unternehmens eine Rechnung senden und dem CEO des Supply-Chain-Partners eine entsprechende Zahlungsaufforderung. Ein Angreifer, der Mitarbeiterdaten stehlen möchte, kann sich als CFO ausgeben und Gehaltsabrechnungsinformationen vom Leiter der Personalabteilung anfordern.
Damit die Botschaften der Absender möglichst glaubwürdig und überzeugend sind, recherchieren Whaling-Scammer ihre Ziele und Absender sowie deren Unternehmen äußerst gründlich im Voraus.
Da viele Menschen im Internet reichlich Informationen teilen, können Betrüger viele der benötigten Angaben finden, indem sie einfach Social-Media-Seiten oder andere Orte im Internet durchsuchen. Beispielsweise kann das LinkedIn-Profil einer potenziellen Zielperson einem Angreifer Aufschluss über die Position, die Zuständigkeiten, die geschäftliche E-Mail-Adresse, den Namen der Abteilung, Namen und Titel von Mitarbeitern und Geschäftspartnern, kürzlich besuchte Veranstaltungen und geplante Geschäftsreisen geben.
Je nach Zielperson können Mainstream-, Wirtschafts- und lokale Medien zusätzliche Informationen liefern – z. B. Gerüchte über mögliche Verträge, neu abgeschlossene Geschäfte, ausgeschriebene Projekte, voraussichtliche Baukosten –, die Betrüger nutzen können. Laut einem Bericht des Branchenanalysten Omdia können Hacker nach etwa 100 Minuten allgemeiner Google-Suche eine überzeugende Spear-Phishing-E-Mail erstellen (Link außerhalb von ibm.com).
Bei der Vorbereitung eines Whaling-Angriffs hacken Betrüger oft ihr Ziel und den Absender, um zusätzliches Material von ihnen zu sammeln. Dabei können sie zum Beispiel den Computer des Ziels und des Absenders mit Spyware infizieren, um Dateiinhalte einzusehen. Ehrgeizigere Betrüger hacken sich in das Netzwerk des Absenders ein und verschaffen sich Zugriff auf die E-Mail- oder SMS-Konten des Absenders. Sie können dann Gespräche beobachten oder sich sogar darin einmischen.
Wenn der Betrüger ausreichend Informationen gesammelt hat, ist es Zeit, die Angriffsnachricht(en) zu versenden. Die effektivsten Whale-Phishing-Nachrichten scheinen diejenigen zu sein, die in den Kontext einer laufenden Unterhaltung passen, auf detaillierte Informationen zu einem bestimmten Projekt oder Geschäft eingehen, eine glaubwürdige Situation darstellen (eine Social-Engineering-Taktik, die als Pretexting bezeichnet wird) und eine ebenso glaubwürdige Anfrage enthalten. Beispielsweise könnte ein Angreifer, der sich als CEO des jeweiligen Unternehmens ausgibt, die folgende Nachricht an den CFO senden:
Wie gestern besprochen schicke ich dir im Anhang eine Rechnung der Anwälte, die sich um die BizCo-Übernahme kümmern. Würdest du sie bitte wie im Vertrag angegeben bis morgen vor 17 Uhr MEZ zahlen? Vielen Dank.
In diesem Beispiel kann es sich bei der beigefügten Rechnung um eine Kopie einer echten Rechnung dieser Anwaltskanzlei handeln, die einfach nur geändert wurde, um die Zahlung auf das Bankkonto des Betrügers zu leiten.
Damit Whaling-Nachrichten für die Zielperson authentisch erscheinen, können darin mehrere Social-Engineering-Taktiken angewendet werden, darunter:
Whale-Phishing-Angriffe gehören – wie alle Phishing-Angriffe – zu den Cyberangriffen, die am schwierigsten zu bekämpfen sind. Das liegt daran, dass sie von herkömmlichen (kennungsbasierten) Cybersicherheitstools nicht immer erkannt werden können. In vielen Fällen muss der Angreifer nur die „menschliche“ Sicherheitsbarriere überwinden. Whaling-Angriffe stellen eine besondere Herausforderung dar, da sie eine bestimmte Zielperson mit personalisierten Inhalten anvisieren, die sowohl das Ziel als auch Beobachter von der Authentizität der Kommunikation überzeugen können.
Es gibt allerdings gewisse Maßnahmen, die Unternehmen ergreifen können, um die Auswirkungen von Whale-Phishing zu minimieren, wenn nicht sogar ganz zu verhindern.
Sensibilisierung für die Sicherheitsproblematik.Da Whaling menschliche Schwachstellen ausnutzt, ist die Schulung von Mitarbeitern eine wichtige Verteidigungsmaßnahme gegen diese Angriffe. Anti-Phishing-Schulungen können Folgendes umfassen:
Multi-Faktor-Authentifizierung und adaptive Authentifizierung. Die Implementierung einer mehrstufigen Authentifizierung (die neben dem Benutzernamen und dem Kennwort weitere Anmeldedaten erfordert) und/oder einer adaptiven Authentifizierung (die zusätzliche Anmeldedaten erfordert, wenn sich Benutzer von verschiedenen Geräten oder Standorten aus anmelden) kann verhindern, dass Hacker Zugriff auf das E-Mail-Konto eines Benutzers erhalten, selbst wenn es ihnen gelingt, dessen E-Mail-Kennwort zu stehlen.
Sicherheitssoftware. Es gibt kein einzelnes Sicherheitstool, das Whale-Phishing-Angriffe vollständig verhindern kann, doch mehrere Tools können zusammen dazu beitragen, diese Angriffe zu verhindern oder den dadurch verursachten Schaden zu minimieren:
Fangen Sie komplexe Bedrohungen ab, die andere übersehen. QRadar SIEM nutzt Analysen und künstliche Intelligenz, um Bedrohungsdaten sowie Netzwerk- und Benutzerverhaltensanomalien zu überwachen und um zu bestimmen, welche Sicherheitsbedrohungen Ihre sofortige Aufmerksamkeit und Abhilfemaßnahmen erfordern.
IBM Trusteer Rapport hilft Finanzinstituten, Malware-Infektionen und Phishing-Attacken zu erkennen und zu verhindern, indem es deren Privat- und Geschäftskunden schützt.
Schützen Sie Endpunkte vor Cyberangriffen, erkennen Sie anomales Verhalten und schaffen Sie Abhilfe in nahezu Echtzeit mit dieser hochentwickelten und dennoch benutzerfreundlichen EDR-Lösung (EDR = Endpoint Detection and Response).
Lesen Sie mehr über die neuesten Whale-Phishing-Trends und Präventionsverfahren auf Security Intelligence, dem Thought Leadership Blog von IBM Security.
Ransomware ist eine Form von Malware. Dabei drohen Angreifer Opfern damit, Daten oder Dateien zu löschen, zurückzuhalten oder dauerhaft verschlüsselt zu lassen, wenn nicht ein Lösegeld gezahlt wird.
Die 17. Ausgabe dieses Berichts präsentiert neueste Erkenntnisse über die immer größer werdende Sicherheitsbedrohungslandschaft und bietet Empfehlungen, um Zeit zu sparen und Verluste zu begrenzen.