Whaling oder Whale-Phishing ist eine spezielle Art von Phishing-Angriff, bei der hochrangige Unternehmensleiter Zielscheibe betrügerischer E-Mails, SMS-Nachrichten oder Telefonanrufe werden. Die sorgfältig verfassten Nachrichten sollen Empfänger dazu verleiten, hohe Zahlungen an Cyberkriminelle zu genehmigen oder vertrauliche bzw. wertvolle Unternehmens- oder persönliche Daten preiszugeben.
Whaling zielt auf Führungskräfte der C-Ebene (CEOs, CFOs, COOs), andere leitende Angestellte, politische Amtsträger und Organisationsleiter ab, die ohne die Zustimmung anderer Personen große Zahlungen, Überweisungen oder die Freigabe sensibler Informationen genehmigen können. Diese Zielpersonen werden im Englischen als Whales (zu Deutsch: Wale) bezeichnet – in Anlehnung an die umgangssprachliche Nutzung des Begriffs für Kunden (oder Glücksspieler), die überdurchschnittlich viel Geld besitzen.
Es ist wichtig, die Unterschiede zwischen Phishing, Spear-Phishing und Whale-Phishing zu verstehen, da die Begriffe oft synonym, falsch oder ohne Kontext verwendet werden.
Beim Phishing werden Menschen anhand betrügerischer E-Mails, SMS-Nachrichten oder Telefonanrufe dazu verleitet, Malware herunterzuladen (über einen bösartigen Link oder einen Dateianhang), vertrauliche Informationen weiterzugeben, Geld an Kriminelle zu überweisen oder andere Handlungen vorzunehmen, die sie selbst oder ihre Unternehmen der Cyberkriminalität aussetzen.
Wer einen Computer oder ein Smartphone besitzt, ist höchstwahrscheinlich schon einmal Ziel eines Massen-Phishing-Angriffs geworden. Man erhält dabei eine Nachricht, die scheinbar von einem bekannten Unternehmen oder einer vertrauenswürdigen Organisation stammt. Darin wird zunächst eine gewöhnliche bzw. glaubwürdige Situation beschrieben, bevor Empfänger dazu angehalten werden, dringend eine bestimmte Aktion auszuführen. Z. B.: „Ihre Kreditkarte wurde abgelehnt. Bitte klicken Sie auf den unten stehenden Link, um Ihre Zahlungsinformationen zu aktualisieren.“ Empfänger, die auf den Link klicken, werden auf eine schädliche Website weitergeleitet, auf der möglicherweise ihre Kreditkartennummer gestohlen oder Malware auf ihren Computer heruntergeladen wird.
Das Erfolgsrezept solcher Massen-Phishing-Kampagnen ist ganz einfach die schiere Anzahl an versendeten Nachrichten. Angreifer kontaktieren so viele Personen wie möglich und können sich dabei sicher sein, dass ein gewisser Prozentsatz den Köder schlucken wird. In einer Studie wurden im Jahr 2022 in einem Zeitraum von sechs Monaten über 255 Millionen Phishing-Nachrichten entdeckt (Link außerhalb von ibm.com). Laut dem IBM-Bericht Kosten eines Datenschutzverstoßes 2022 war Phishing im Jahr 2022 die zweithäufigste Ursache für Datenschutzverletzungen und die häufigste Methode zur Verbreitung von Ransomware.
Beim Spear-Phishing erfolgt ein Phishing-Angriff auf eine bestimmte Person oder Personengruppe innerhalb eines Unternehmens. Zielpersonen sind in der Regel Manager der mittleren Ebene, die Zahlungen oder Datenübertragungen autorisieren können – also zum Beispiel Kreditorenbuchhalter oder Personalleiter. Angreifer geben sich dabei als Vorgesetzte oder Kollegen (z. B. Lieferanten, Geschäftspartner, Berater) aus, denen die Zielperson vertraut.
Bei Spear-Phishing-Angriffen werden die versendeten Nachrichten stärker personalisiert als bei Massen-Phishing-Angriffen. Daher verlangen sie den Betrügern mehr Arbeit und Nachforschungen ab. Doch der Mehraufwand kann sich für Cyberkriminelle lohnen. Beispielsweise haben Spear-Phisher zwischen 2013 und 2015 mehr als 100 Millionen US-Dollar von Facebook und Google gestohlen, indem sie sich als legitime Lieferanten ausgaben und Mitarbeiter dazu verleiteten, gefälschte Rechnungen zu bezahlen (Link außerhalb von ibm.com).
Whale-Phishing oder Whaling ist ein Spear-Phishing-Angriff, der sich ausschließlich gegen hochrangige Führungskräfte oder Funktionäre richtet. Der Angreifer gibt sich in der Regel als ein Kollege innerhalb des Unternehmens der Zielperson oder als ein gleich- bzw. höhergestellter Mitarbeiter eines anderen Unternehmens aus.
Whale-Phishing-Nachrichten sind stark personalisiert. Die Angreifer geben sich große Mühe, den Schreibstil des tatsächlichen Absenders zu imitieren, und beziehen sich in ihren Nachrichten (wenn möglich) auf aktuelle Geschäftsgespräche. Whale-Phishing-Betrüger spionieren häufig Interaktionen zwischen dem Absender und der Zielperson aus. Viele versuchen, das echte E-Mail- oder Messaging-Konto des Absenders zu kapern, um die Angriffsnachricht direkt von dort aus zu versenden und möglichst authentisch erscheinen zu lassen.
Da Whaling-Angriffe auf Personen abzielen, die größere Zahlungen genehmigen können, bieten sie Betrügern einen potenziell höheren unmittelbaren Gewinn.
Whaling wird manchmal mit Business Email Compromise (BEC) gleichgesetzt, einer anderen Art von Spear-Phishing-Angriff, bei dem der Angreifer der Zielperson eine betrügerische E-Mail schickt, die scheinbar von einem Mitarbeiter oder Kollegen stammt. BEC ist nicht immer Whaling (da Ersteres häufig auf Mitarbeiter der unteren Ebenen abzielt), und Whaling ist nicht immer BEC (da es nicht immer per E-Mail erfolgt), doch viele der kostspieligsten Whaling-Angriffe sind auch BEC-Angriffe. Einige Beispiele:
- Im Jahr 2015 verlor Ubiquity Networks in nur 17 Tagen fast 47 Millionen US-Dollar (Link außerhalb von ibm.com), als Whale-Phishing-Angreifer, die sich als CEO und Chief Counsel des Unternehmens ausgaben, den Chief Accounting Officer per E-Mail dazu aufforderten, eine Reihe von Überweisungen zur Finanzierung einer geheimen Übernahme vorzunehmen.
- Im Jahr 2018 verlor die Pathé Film Group 19,2 Millionen Euro (21 Millionen US-Dollar) (Link außerhalb von ibm.com), als Betrüger, die sich als CEO am französischen Hauptsitz von Pathé ausgaben, eine E-Mail an den CEO des niederländischen Büros von Pathé schickten und um Überweisungen zur Finanzierung einer Übernahme baten.
- Ebenfalls im Jahr 2018 verleiteten Angreifer, die sich als CEO, leitende Angestellte und Rechtsbeistand der italienischen Firma Tecnimont SpA ausgaben, den Leiter der indischen Geschäftseinheit des Unternehmens dazu, 1,3 Milliarden INR (18,25 Millionen USD) an eine Bank in Hongkong zu überweisen (Link außerhalb von ibm.com), ebenfalls angeblich zur Finanzierung einer Akquisition. Im Rahmen dieses Betrugsversuchs gingen die Angreifer soweit, mehrere gefälschte Telefonkonferenzen abzuhalten, um die Einzelheiten der „Übernahme“ zu erörtern.
Phishing, Spear-Phishing und Whale-Phishing sind alles Beispiele für Social-Engineering-Angriffe – also Angriffe, die in erster Linie menschliche Schwachstellen statt technischer Sicherheitslücken ausnutzen, um die Sicherheit zu beeinträchtigen. Da sie viel weniger digitale Beweise hinterlassen als Malware oder Hackerangriffe, sind diese Attacken für Sicherheitsteams und Cybersicherheitsexperten viel schwieriger zu erkennen oder zu verhindern.
Die meisten Whaling-Angriffe zielen darauf ab, einer Organisation große Geldsummen zu stehlen, indem ein hochrangiger Mitarbeiter dazu verleitet wird, eine Überweisung an einen betrügerischen Anbieter oder ein betrügerisches Bankkonto vorzunehmen, zu genehmigen oder anzuordnen. Aber Whaling-Angriffe können auch andere Ziele haben, darunter:
- Diebstahl sensibler Daten oder vertraulicher Informationen. Dies umfasst personenbezogene Daten wie z. B. Gehaltsabrechnungsinformationen von Mitarbeitern oder persönliche Finanzdaten von Kunden. Whale-Phishing-Scams können aber auch auf geistiges Eigentum, Geschäftsgeheimnisse und andere vertrauliche Informationen abzielen.
- Diebstahl von Benutzerberechtigungsnachweisen. Einige Cyberkriminelle beginnen ihren Betrugsversuch mit einer vorbereitenden Phishing-Attacke, bei der sie E-Mail-Anmeldedaten stehlen. Anschließend starten sie über dieses gekaperte E-Mail-Konto die eigentliche Whale-Phishing-Attacke. Andere stehlen Zugangsdaten, um privilegierten Zugriff auf Assets oder Daten im Zielnetzwerk zu erhalten.
- Einschleusung von Malware. Bei einem relativ kleinen Teil der Whale-Phishing-Angriffe sollen Zielpersonen einen schädlichen Dateianhang öffnen oder eine schädliche Website besuchen, damit Ransomware oder andere Malware in ihren Systemen verbreitet werden kann.
Die meisten Whale-Phishing-Angriffe erfolgen aus reiner Gier. Andere können durch Rache gegen eine Führungskraft bzw. ein Unternehmen, durch Wettbewerbsdruck oder durch sozialen oder politischen Aktivismus motiviert sein. Angriffe gegen hochrangige Regierungsbeamte können unabhängiger oder staatlich geförderter Cyberterrorismus sein.
Cyberkriminelle wählen einen Whale mit Zugriff auf ihr Ziel und einen Absender mit Zugriff auf ihren Whale. Ein Cyberkrimineller, der beispielsweise Zahlungen an den Supply-Chain-Partner eines Unternehmens abfangen möchte, kann dem CFO des Unternehmens eine Rechnung senden und dem CEO des Supply-Chain-Partners eine entsprechende Zahlungsaufforderung. Ein Angreifer, der Mitarbeiterdaten stehlen möchte, kann sich als CFO ausgeben und Gehaltsabrechnungsinformationen vom Leiter der Personalabteilung anfordern.
Damit die Botschaften der Absender möglichst glaubwürdig und überzeugend sind, recherchieren Whaling-Scammer ihre Ziele und Absender sowie deren Unternehmen äußerst gründlich im Voraus.
Da viele Menschen im Internet reichlich Informationen teilen, können Betrüger viele der benötigten Angaben finden, indem sie einfach Social-Media-Seiten oder andere Orte im Internet durchsuchen. Beispielsweise kann das LinkedIn-Profil einer potenziellen Zielperson einem Angreifer Aufschluss über die Position, die Zuständigkeiten, die geschäftliche E-Mail-Adresse, den Namen der Abteilung, Namen und Titel von Mitarbeitern und Geschäftspartnern, kürzlich besuchte Veranstaltungen und geplante Geschäftsreisen geben.
Je nach Zielperson können Mainstream-, Wirtschafts- und lokale Medien zusätzliche Informationen liefern – z. B. Gerüchte über mögliche Verträge, neu abgeschlossene Geschäfte, ausgeschriebene Projekte, voraussichtliche Baukosten –, die Betrüger nutzen können. Laut einem Bericht des Branchenanalysten Omdia können Hacker nach etwa 100 Minuten allgemeiner Google-Suche eine überzeugende Spear-Phishing-E-Mail erstellen (Link außerhalb von ibm.com).
Bei der Vorbereitung eines Whaling-Angriffs hacken Betrüger oft ihr Ziel und den Absender, um zusätzliches Material von ihnen zu sammeln. Dabei können sie zum Beispiel den Computer des Ziels und des Absenders mit Spyware infizieren, um Dateiinhalte einzusehen. Ehrgeizigere Betrüger hacken sich in das Netzwerk des Absenders ein und verschaffen sich Zugriff auf die E-Mail- oder SMS-Konten des Absenders. Sie können dann Gespräche beobachten oder sich sogar darin einmischen.
Wenn der Betrüger ausreichend Informationen gesammelt hat, ist es Zeit, die Angriffsnachricht(en) zu versenden. Die effektivsten Whale-Phishing-Nachrichten scheinen diejenigen zu sein, die in den Kontext einer laufenden Unterhaltung passen, auf detaillierte Informationen zu einem bestimmten Projekt oder Geschäft eingehen, eine glaubwürdige Situation darstellen (eine Social-Engineering-Taktik, die als Pretexting bezeichnet wird) und eine ebenso glaubwürdige Anfrage enthalten. Beispielsweise könnte ein Angreifer, der sich als CEO des jeweiligen Unternehmens ausgibt, die folgende Nachricht an den CFO senden:
Wie gestern besprochen schicke ich dir im Anhang eine Rechnung der Anwälte, die sich um die BizCo-Übernahme kümmern. Würdest du sie bitte wie im Vertrag angegeben bis morgen vor 17 Uhr MEZ zahlen? Vielen Dank.
In diesem Beispiel kann es sich bei der beigefügten Rechnung um eine Kopie einer echten Rechnung dieser Anwaltskanzlei handeln, die einfach nur geändert wurde, um die Zahlung auf das Bankkonto des Betrügers zu leiten.
Damit Whaling-Nachrichten für die Zielperson authentisch erscheinen, können darin mehrere Social-Engineering-Taktiken angewendet werden, darunter:
- Gefälschte E-Mail-Domains. Wenn Angreifer das E-Mail-Konto des Absenders nicht hacken können, erstellen sie ähnliche E-Mail-Domains (z. B. bill.smith@cornpany.com für bill.smith@company.com). Whaling-E-Mails können auch kopierte E-Mail-Signaturen, Datenschutzerklärungen und andere visuelle Elemente enthalten, die sie auf den ersten Blick authentisch erscheinen lassen.
- Ein Gefühl der Dringlichkeit. Zeitdruck – z. B. Hinweise auf wichtige Fristen oder Säumniszuschläge – kann die Zielperson dazu bringen, schnell zu handeln, ohne die Anfrage sorgfältig zu prüfen.
- Bestehen auf Vertraulichkeit. Whaling-Nachrichten enthalten oft Anweisungen wie „Bitte behalten Sie dies vorerst für sich“, um zu verhindern, dass die Zielperson mit anderen darüber spricht, die die Forderung in Frage stellen könnten.
- Voice-Phishing (Vishing). Immer häufiger enthalten Phishing-Nachrichten Telefonnummern, die die Zielperson anrufen kann, um die Authentizität der Forderung zu prüfen. Alternativ können Betrüger im Anschluss an eine Phishing-E-Mail eine Sprachnachricht für die Zielperson hinterlassen, in der eine KI-basierte Imitation der Stimme des angeblichen Absenders verwendet wird.
Whale-Phishing-Angriffe gehören – wie alle Phishing-Angriffe – zu den Cyberangriffen, die am schwierigsten zu bekämpfen sind. Das liegt daran, dass sie von herkömmlichen (kennungsbasierten) Cybersicherheitstools nicht immer erkannt werden können. In vielen Fällen muss der Angreifer nur die „menschliche“ Sicherheitsbarriere überwinden. Whaling-Angriffe stellen eine besondere Herausforderung dar, da sie eine bestimmte Zielperson mit personalisierten Inhalten anvisieren, die sowohl das Ziel als auch Beobachter von der Authentizität der Kommunikation überzeugen können.
Es gibt allerdings gewisse Maßnahmen, die Unternehmen ergreifen können, um die Auswirkungen von Whale-Phishing zu minimieren, wenn nicht sogar ganz zu verhindern.
Sensibilisierung für die Sicherheitsproblematik.Da Whaling menschliche Schwachstellen ausnutzt, ist die Schulung von Mitarbeitern eine wichtige Verteidigungsmaßnahme gegen diese Angriffe. Anti-Phishing-Schulungen können Folgendes umfassen:
- Vermittlung von Techniken zur Erkennung verdächtiger E-Mails (z. B. Überprüfung von E-Mail-Absendernamen auf betrügerische Domainnamen)
- Tipps zur Vermeidung der Preisgabe zu vieler Informationen auf Social-Networking-Sites
- Kontinuierliche Vermittlung sicherer Arbeitsgewohnheiten – z. B. niemals nicht angeforderte Anhänge öffnen, ungewöhnliche Zahlungsaufforderungen über einen zweiten Kanal bestätigen, Lieferanten zur Bestätigung von Rechnungen anrufen, direkt zu Websites navigieren, anstatt auf Links in E-Mails zu klicken
- Whaling-Simulationen, bei denen Führungskräfte das Gelernte anwenden können.
Multi-Faktor-Authentifizierung und adaptive Authentifizierung. Die Implementierung einer mehrstufigen Authentifizierung (die neben dem Benutzernamen und dem Kennwort weitere Anmeldedaten erfordert) und/oder einer adaptiven Authentifizierung (die zusätzliche Anmeldedaten erfordert, wenn sich Benutzer von verschiedenen Geräten oder Standorten aus anmelden) kann verhindern, dass Hacker Zugriff auf das E-Mail-Konto eines Benutzers erhalten, selbst wenn es ihnen gelingt, dessen E-Mail-Kennwort zu stehlen.
Sicherheitssoftware. Es gibt kein einzelnes Sicherheitstool, das Whale-Phishing-Angriffe vollständig verhindern kann, doch mehrere Tools können zusammen dazu beitragen, diese Angriffe zu verhindern oder den dadurch verursachten Schaden zu minimieren:
- Einige E-Mail-Sicherheitstools, darunter KI-basierte Anti-Phishing-Software, Spamfilter und sichere E-Mail-Gateways, können dabei helfen, Whaling-E-Mails zu erkennen und umzuleiten.
- Antivirensoftware kann dazu beitragen, Spyware oder Malware zu neutralisieren, mit der Angreifer sich in Zielnetzwerke hacken möchten, um dort Nachforschungen anzustellen, Gespräche abzuhören oder die Kontrolle über E-Mail-Konten zu übernehmen. (Diese Software kann auch dabei helfen, durch Whale-Phishing verursachte Ransomware- oder Malware-Infektionen zu neutralisieren.)
- System- und Software-Patches können technische Schwachstellen schließen, die häufig von Spear-Phishern ausgenutzt werden.
- Sichere Web-Gateways und andere Webfilter-Tools können die in Whale-Phishing-E-Mails verlinkten schädlichen Websites blockieren.
- Sicherheitslösungen für Unternehmen können Sicherheitsteams und Security Operations Center (SOCs) dabei unterstützen, bösartigen Datenverkehr und Netzwerkaktivitäten im Zusammenhang mit Whale-Phishing-Angriffen zu erkennen und abzufangen. Zu diesen Lösungen zählen unter anderem Security Orchestration, Automation and Response (SOAR), Security Incident and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR).
Fangen Sie komplexe Bedrohungen ab, die andere übersehen. QRadar SIEM nutzt Analysen und künstliche Intelligenz, um Bedrohungsdaten sowie Netzwerk- und Benutzerverhaltensanomalien zu überwachen und um zu bestimmen, welche Sicherheitsbedrohungen Ihre sofortige Aufmerksamkeit und Abhilfemaßnahmen erfordern.
IBM Trusteer Rapport hilft Finanzinstituten, Malware-Infektionen und Phishing-Attacken zu erkennen und zu verhindern, indem es deren Privat- und Geschäftskunden schützt.
Schützen Sie Endpunkte vor Cyberangriffen, erkennen Sie anomales Verhalten und schaffen Sie Abhilfe in nahezu Echtzeit mit dieser hochentwickelten und dennoch benutzerfreundlichen EDR-Lösung (EDR = Endpoint Detection and Response).
Lesen Sie mehr über die neuesten Whale-Phishing-Trends und Präventionsverfahren auf Security Intelligence, dem Thought Leadership Blog von IBM Security.
Ransomware ist eine Form von Malware. Dabei drohen Angreifer Opfern damit, Daten oder Dateien zu löschen, zurückzuhalten oder dauerhaft verschlüsselt zu lassen, wenn nicht ein Lösegeld gezahlt wird.
Die 17. Ausgabe dieses Berichts präsentiert neueste Erkenntnisse über die immer größer werdende Sicherheitsbedrohungslandschaft und bietet Empfehlungen, um Zeit zu sparen und Verluste zu begrenzen.