Was ist Whaling?

Whale-Phishing zielt auf Führungskräfte der C-Ebene (CEOs, CFOs, COOs), andere leitende Angestellte, politische Amtsträger und Führungskräfte in Organisationen ab, die ohne die Zustimmung anderer Personen große Zahlungen, Überweisungen oder die Freigabe sensibler Informationen genehmigen können. Diese Zielpersonen werden im Englischen als Whales (zu Deutsch: Wale) bezeichnet – in Anlehnung an die umgangssprachliche Nutzung des Begriffs für Kunden (oder Glücksspieler), die überdurchschnittlich viel Geld besitzen.

Es ist wichtig, die Unterschiede zwischen Phishing, Spear-Phishing und Whale-Phishing zu verstehen, da die Begriffe oft synonym, falsch oder ohne Kontext verwendet werden.

Beim Phishing werden Menschen anhand betrügerischer E-Mails, SMS-Nachrichten oder Telefonanrufe dazu verleitet, Malware herunterzuladen (über einen bösartigen Link oder Dateianhang), vertrauliche Informationen weiterzugeben, Geld an Kriminelle zu überweisen oder andere Handlungen vorzunehmen, die sie selbst oder ihre Unternehmen der Cyberkriminalität aussetzen.

Wer einen Computer oder ein Smartphone besitzt, ist höchstwahrscheinlich schon einmal Ziel eines Massen-Phishing-Angriffs geworden. Man erhält dabei eine Nachricht, die scheinbar von einem bekannten Unternehmen oder einer vertrauenswürdigen Organisation stammt. Darin wird zunächst eine gewöhnliche bzw. glaubwürdige Situation beschrieben, bevor Empfänger dazu angehalten werden, dringend eine bestimmte Aktion auszuführen. Z. B.: „Ihre Kreditkarte wurde abgelehnt. Bitte klicken Sie auf den unten stehenden Link, um Ihre Zahlungsinformationen zu aktualisieren.“ Empfänger, die auf den Link klicken, werden auf eine schädliche Website weitergeleitet, auf der möglicherweise ihre Kreditkartennummer gestohlen oder Malware auf ihren Computer heruntergeladen wird.

Eine Massen-Phishing-Kampagne ist ein Zahlenspiel. Angreifer senden Nachrichten an so viele Personen wie möglich, wohl wissend, dass ein gewisser Prozentsatz dazu verleitet wird, den Köder zu schlucken. In einer Studie wurden über einen Zeitraum von sechs Monaten im Jahr 2022 über 255 Millionen Phishing-Nachrichten entdeckt. Laut dem IBM-Bericht Kosten einer Datenschutzverletzung 2024 war Phishing im Jahr 2024 die zweithäufigste Ursache für Datenschutzverletzungen und die häufigste Methode zur Verbreitung von Ransomware.

Beim Spear-Phishing erfolgt ein Phishing-Angriff auf eine bestimmte Person oder Personengruppe innerhalb eines Unternehmens. Zielpersonen sind in der Regel Manager der mittleren Führungsebene, die Zahlungen oder Datenübertragungen autorisieren können – also zum Beispiel Kreditorenbuchhalter oder Personalleiter. Angreifer geben sich dabei als Vorgesetzte oder Kollegen (z. B. Lieferanten, Geschäftspartner, Berater) aus, denen die Zielperson vertraut.

Bei Spear-Phishing-Angriffen werden die versendeten Nachrichten stärker personalisiert als bei Massen-Phishing-Angriffen. Daher verlangen sie den Betrügern mehr Arbeit und Recherche ab. Doch der Mehraufwand kann sich für Cyberkriminelle lohnen. So haben Spear-Phisher zwischen 2013 und 2015 beispielsweise mehr als 100 Millionen US-Dollar von Facebook und Google gestohlen, indem sie sich als legitime Verkäufer ausgaben und Mitarbeiter dazu verleiteten, betrügerische Rechnungen zu bezahlen.

Whale-Phishing oder Whaling ist ein Spear-Phishing-Angriff, der sich ausschließlich gegen hochrangige Führungskräfte oder Funktionäre richtet. Der Angreifer gibt sich in der Regel als ein Kollege innerhalb des Unternehmens der Zielperson oder als ein gleich- bzw. höhergestellter Mitarbeiter eines anderen Unternehmens aus.

Whale-Phishing-Nachrichten sind hochgradig personalisiert. Angreifer geben sich große Mühe, den Schreibstil des tatsächlichen Absenders zu imitieren, und beziehen sich in ihren Nachrichten (wenn möglich) auf aktuelle Geschäftsgespräche. Whale-Phishing-Betrüger spionieren häufig Interaktionen zwischen dem Absender und der Zielperson aus. Viele versuchen, das echte E-Mail- oder Messaging-Konto des Absenders zu kapern, um die Angriffsnachricht direkt von dort aus zu versenden und möglichst authentisch erscheinen zu lassen.

Da Whaling-Angriffe auf Personen abzielen, die größere Zahlungen genehmigen können, bieten sie Betrügern einen potenziell höheren unmittelbaren Gewinn.

Whaling wird manchmal mit Business Email Compromise (BEC) gleichgesetzt, einer anderen Art von Spear-Phishing-Angriff, bei dem der Angreifer der Zielperson eine betrügerische E-Mail schickt, die scheinbar von einem Mitarbeiter oder Kollegen stammt. BEC ist nicht immer Whaling (da Ersteres häufig auf Mitarbeiter der unteren Ebenen abzielt), und Whaling ist nicht immer BEC (da es nicht immer per E-Mail erfolgt), doch viele der kostspieligsten Whaling-Angriffe sind auch BEC-Angriffe. Einige Beispiele:

• Im Jahr 2015 verlor Ubiquity Networks in nur 17 Tagen fast 47 Millionen US-Dollar, als Whale-Phishing-Angreifer, die sich als CEO und Chief Counsel des Unternehmens ausgaben, E-Mails verschickten, um den Chief Accounting Officer davon zu überzeugen, eine Reihe von Überweisungen zu tätigen, um eine geheime Akquisition zu finanzieren.
  
  
• Im Jahr 2018 verlor die Pathé Film Group 19,2 Millionen Euro, als Betrüger, die sich als CEO am französischen Hauptsitz von Pathé ausgaben, eine E-Mail an den CEO des niederländischen Büros von Pathé schickten und um Überweisungen zur Finanzierung einer Übernahme ersuchten.
  
  
• Ebenfalls im Jahr 2018 verleiteten Angreifer, die sich als CEO, leitende Angestellte und Rechtsbeistand der italienischen Firma Tecnimont SpA ausgaben,den Leiter des indischen Unternehmensbereichs dazu, 1,3 Milliarden INR (18,25 Millionen USD) an eine Bank in Hongkong zu überweisen, ebenfalls angeblich zur Finanzierung einer Akquisition. Im Rahmen dieses Betrugsversuchs gingen die Angreifer soweit, mehrere gefälschte Telefonkonferenzen abzuhalten, um die Einzelheiten der „Übernahme“ zu erörtern.

Phishing, Spear-Phishing und Whale-Phishing sind alles Beispiele für Social-Engineering-Angriffe – also Angriffe, die in erster Linie menschliche Schwachstellen statt technischer Sicherheitslücken ausnutzen, um die Sicherheit zu beeinträchtigen. Da sie viel weniger digitale Beweise hinterlassen als Malware oder Hackerangriffe, sind diese Attacken für Sicherheitsteams und Cybersicherheitsexperten viel schwieriger zu erkennen oder zu verhindern.

Die meisten Whaling-Angriffe zielen darauf ab, einer Organisation große Geldsummen zu stehlen, indem ein hochrangiger Mitarbeiter dazu verleitet wird, eine Überweisung an einen betrügerischen Anbieter oder ein betrügerisches Bankkonto vorzunehmen, zu genehmigen oder anzuordnen. Aber Whaling-Angriffe können auch andere Ziele haben, darunter:

• Diebstahl sensibler Daten oder vertraulicher Informationen. Dies umfasst personenbezogene Daten wie z. B. Gehaltsabrechnungsinformationen von Mitarbeitern oder persönliche Finanzdaten von Kunden. Whale-Phishing-Scams können auch auf geistiges Eigentum, Geschäftsgeheimnisse und andere vertrauliche Informationen abzielen.
  
  
• Diebstahl der Anmeldedaten von Benutzern. Einige Cyberkriminelle beginnen ihren Betrugsversuch mit einer vorbereitenden Phishing-Attacke, bei der sie E-Mail-Anmeldedaten stehlen. Anschließend starten sie über dieses gekaperte E-Mail-Konto den eigentlichen Whale-Phishing-Angriff. Andere stehlen die Zugangsdaten, um privilegierten Zugriff auf Assets oder Daten im Zielnetzwerk zu erhalten.
  
  
• Einschleusung von Malware. Bei einem relativ kleinen Teil der Whale-Phishing-Angriffe sollen Zielpersonen einen schädlichen Dateianhang öffnen oder eine schädliche Website besuchen, damit Ransomware oder andere Malware in ihren Systemen verbreitet werden kann.

Die meisten Whale-Phishing-Angriffe erfolgen aus reiner Gier. Andere können durch Rache gegen eine Führungskraft bzw. ein Unternehmen, durch Wettbewerbsdruck oder durch sozialen oder politischen Aktivismus motiviert sein. Angriffe gegen hochrangige Regierungsbeamte können unabhängiger oder staatlich geförderter Cyberterrorismus sein.

Cyberkriminelle wählen einen Whale mit Zugriff auf ihr Ziel und einen Absender mit Zugriff auf ihren Whale. Ein Cyberkrimineller, der beispielsweise Zahlungen an den Supply-Chain-Partner eines Unternehmens abfangen möchte, kann dem CFO des Unternehmens eine Rechnung senden und dem CEO des Supply-Chain-Partners eine entsprechende Zahlungsaufforderung. Ein Angreifer, der Mitarbeiterdaten stehlen möchte, kann sich als CFO ausgeben und Gehaltsabrechnungsinformationen vom Leiter der Personalabteilung anfordern.

Damit die Botschaften der Absender möglichst glaubwürdig und überzeugend sind, recherchieren Whaling-Scammer ihre Ziele und Absender sowie deren Unternehmen äußerst gründlich im Voraus.

Da viele Menschen im Internet reichlich Informationen teilen, können Betrüger viele der benötigten Angaben finden, indem sie einfach Social-Media-Seiten oder andere Orte im Internet durchsuchen. Beispielsweise kann das LinkedIn-Profil einer potenziellen Zielperson einem Angreifer Aufschluss über die Position, die Zuständigkeiten, die geschäftliche E-Mail-Adresse, den Namen der Abteilung, Namen und Titel von Mitarbeitern und Geschäftspartnern, kürzlich besuchte Veranstaltungen und geplante Geschäftsreisen geben.

Je nach Zielperson können Mainstream-, Wirtschafts- und lokale Medien zusätzliche Informationen liefern – beispielsweise Gerüchte über mögliche Verträge, neu abgeschlossene Geschäfte, ausgeschriebene Projekte, voraussichtliche Baukosten –, die Betrüger nutzen können. Hacker können oft eine überzeugende Spear-Phishing-E-Mail mit nur einer allgemeinen Google-Suche erstellen.

Bei der Vorbereitung eines Whaling-Angriffs hacken Betrüger oft ihr Ziel und den Absender, um zusätzliches Material von ihnen zu sammeln. Dabei können sie zum Beispiel den Computer des Ziels und des Absenders mit Spyware infizieren, um Dateiinhalte einzusehen. Ehrgeizigere Betrüger hacken sich in das Netzwerk des Absenders ein und verschaffen sich Zugriff auf die E-Mail- oder SMS-Konten des Absenders. Sie können dann Gespräche beobachten oder sich sogar darin einmischen.

Wenn der Betrüger ausreichend Informationen gesammelt hat, ist es Zeit, die Angriffsnachricht(en) zu versenden. Die effektivsten Whale-Phishing-Nachrichten scheinen diejenigen zu sein, die in den Kontext einer laufenden Unterhaltung passen, auf detaillierte Informationen zu einem bestimmten Projekt oder Geschäft eingehen, eine glaubwürdige Situation darstellen (eine Social-Engineering-Taktik, die als Pretexting bezeichnet wird) und eine ebenso glaubwürdige Anfrage enthalten. Beispielsweise könnte ein Angreifer, der sich als CEO des jeweiligen Unternehmens ausgibt, die folgende Nachricht an den CFO senden:

Wie gestern besprochen schicke ich dir im Anhang eine Rechnung der Anwälte, die sich um die BizCo-Übernahme kümmern. Würdest du sie bitte wie im Vertrag angegeben bis morgen vor 17 Uhr MEZ zahlen? Vielen Dank.

In diesem Beispiel kann es sich bei der beigefügten Rechnung um eine Kopie einer echten Rechnung dieser Anwaltskanzlei handeln, die einfach nur geändert wurde, um die Zahlung auf das Bankkonto des Betrügers zu leiten.

Damit Whaling-Nachrichten für die Zielperson authentisch erscheinen, können darin mehrere Social-Engineering-Taktiken angewendet werden, darunter:

• Gefälschte E-Mail-Domains. Wenn Angreifer das E-Mail-Konto des Absenders nicht hacken können, erstellen sie ähnliche E-Mail-Domains (bill.smith@cornpany.com für bill.smith@company.com). Whaling-E-Mails können auch kopierte E-Mail-Signaturen, Datenschutzerklärungen und andere visuelle Elemente enthalten, die sie auf den ersten Blick authentisch erscheinen lassen.
  
  
• Ein Gefühl der Dringlichkeit. Zeitdruck – durch Hinweise auf kritische Fristen oder Säumniszuschläge – kann die Zielperson dazu bringen, schnell zu handeln, ohne die Anfrage sorgfältig zu prüfen.
  
  
• Bestehen auf Vertraulichkeit. Whaling-Nachrichten enthalten oft Anweisungen wie „Bitte behalten Sie dies vorerst für sich“, um zu verhindern, dass die Zielperson mit anderen darüber spricht, die die Forderung in Frage stellen könnten.
  
  
• Voice-Phishing (Vishing). Immer häufiger enthalten Phishing-Nachrichten Telefonnummern, die die Zielperson anrufen kann, um die Authentizität der Forderung zu prüfen. Alternativ können Betrüger im Anschluss an eine Phishing-E-Mail eine Sprachnachricht für die Zielperson hinterlassen, in der eine KI-basierte Imitation der Stimme des angeblichen Absenders verwendet wird.

Whale-Phishing-Angriffe gehören wie alle Phishing-Angriffe zu den Cyberangriffen, die am schwierigsten zu bekämpfen sind. Das liegt daran, dass sie von herkömmlichen (signaturbasierten) Cybersicherheitstools nicht immer erkannt werden können. In vielen Fällen muss der Angreifer nur die „menschliche“ Sicherheitsbarriere überwinden. Whaling-Angriffe stellen eine besondere Herausforderung dar, da sie eine bestimmte Zielperson mit personalisierten Inhalten anvisieren, die sowohl diese Person als auch Beobachter von der Authentizität der Kommunikation überzeugen können.

Es gibt allerdings gewisse Maßnahmen, die Unternehmen ergreifen können, um die Auswirkungen von Whale-Phishing zu minimieren, wenn nicht sogar ganz zu verhindern.

Schulung zum Sicherheitsbewusstsein.Da Whaling menschliche Schwachstellen ausnutzt, ist die Schulung von Mitarbeitern eine wichtige Verteidigungsmaßnahme gegen diese Angriffe. Anti-Phishing-Schulungen können Folgendes umfassen:

• Vermittlung von Techniken zur Erkennung verdächtiger E-Mails (Überprüfung von E-Mail-Absendernamen auf betrügerische Domainnamen)
  
  
• Tipps, um „Oversharing“ in sozialen Netzwerken zu vermeiden
  
  
• Kontinuierliche Vermittlung sicherer Arbeitsgewohnheiten – z. B. niemals nicht angeforderte Anhänge öffnen, ungewöhnliche Zahlungsaufforderungen über einen zweiten Kanal bestätigen, Lieferanten zur Bestätigung von Rechnungen anrufen, direkt zu Websites navigieren, anstatt auf Links in E-Mails zu klicken
  
  
• Whale-Phishing-Simulationen, bei denen Führungskräfte das Gelernte anwenden können

Multi-Faktor-Authentifizierung und adaptive Authentifizierung. Die Implementierung einer Multi-Faktor-Authentifizierung (die neben dem Benutzernamen und dem Kennwort weitere Anmeldedaten erfordert) und/oder einer adaptiven Authentifizierung (die zusätzliche Anmeldedaten erfordert, wenn sich Benutzer von verschiedenen Geräten oder Standorten aus anmelden) kann verhindern, dass Hacker Zugriff auf das E-Mail-Konto eines Benutzers erhalten, selbst wenn es ihnen gelingt, dessen E-Mail-Kennwort zu stehlen.

Sicherheitssoftware. Es gibt kein einzelnes Sicherheitstool, das Whale-Phishing-Angriffe vollständig verhindern kann, doch mehrere Tools können zusammen dazu beitragen, diese Angriffe zu verhindern oder den dadurch verursachten Schaden zu minimieren:

• Einige E-Mail-Sicherheitstools, darunter KI-basierte Anti-Phishing-Software, Spamfilter und sichere E-Mail-Gateways, können dabei helfen, Whaling-E-Mails zu erkennen und umzuleiten.
  
  
• Antivirensoftware kann dazu beitragen, Spyware oder Malware zu neutralisieren, mit der Angreifer sich in Zielnetzwerke hacken möchten, um dort Nachforschungen anzustellen, Gespräche abzuhören oder die Kontrolle über E-Mail-Konten zu übernehmen. Die Software kann auch dabei helfen, Ransomware oder Malware-Infektionen zu neutralisieren, die durch Whale-Phishing verursacht werden.
  
  
• System- und Software-Patches können technische Schwachstellen schließen, die häufig von Spear-Phishern ausgenutzt werden.
  
  
• Sichere Web-Gateways und andere Webfilter-Tools können die in Whale-Phishing-E-Mails verlinkten schädlichen Websites blockieren.
  
  
• Sicherheitslösungen für Unternehmen können Sicherheitsteams und Security Operations Center (SOCs) dabei unterstützen, bösartigen Datenverkehr und Netzwerkaktivitäten im Zusammenhang mit Whale-Phishing-Angriffen zu erkennen und abzufangen. Zu diesen Lösungen zählen unter anderem Security Orchestration, Automation and Response (SOAR), Security Incident and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR).