Was ist ein Whaling-Phishing-Angriff und wie kann man ihn verhindern?

Whaling-Phising verstehen

Was ist Whaling?

In manchen Kreisen wird Whaling auch als „CEO-Betrug“ bezeichnet und ist eine Variante des Spear-Phishing-Angriffs, der in der Regel auf eine bestimmte Gruppe von Mitarbeiter:innen eines Unternehmens abzielt. Im Fall von Whaling handelt es sich bei den Zielpersonen ausschließlich um hochrangige Mitglieder des Unternehmens, wie Führungskräfte und Vorstandsmitglieder.

Ist Whaling wie Social Engineering?

Kurz gesagt: Ja. Es fällt unter den Begriff „Phishing“, eine Unterkategorie von Social-Engineering-Bedrohungen, die darauf abzielt, durch Täuschung vertrauliche Informationen und Daten wie Passwörter oder Zugriffstoken von ahnungslosen Benutzer:innen zu erlangen.

Beeinträchtigt der Whaling die Cybersicherheit?

Da Whaling als Social-Engineering-Bedrohung eingestuft wird, kann es sich sehr wohl auf die Sicherheitslage eines Unternehmens auswirken und tut dies auch. Die Gefahren, die von Whaling-Angriffen ausgehen, variieren – genau wie bei Social-Engineering-Angriffen und ähnlichen Methoden – je nach den Absichten der Angreifer:innen und den Ressourcen, die geschützt sind (oder in diesem Fall ungeschützt sind). Diese Beispiele zeigen ein paar Möglichkeiten, wie Whaling-Angriffe Ihre Verteidigung beeinträchtigen können.

Beispiele für Whaling-Phishing-Angriffe

Nachfolgend finden Sie drei reale Beispiele für Whaling-Angriffe und wie diese die Cybersicherheit von Unternehmen beeinträchtigt haben. Diese Liste ist jedoch bei weitem nicht vollständig:

1. 2016: Einige Mitarbeiter:innen der Crelan Bank in der EU überweisen 75 Millionen US-Dollar auf ein Konto, das Bedrohungsakteuren gehört, nachdem sie E-Mail-Anfragen erhalten hatten, die scheinbar vom CEO der Bank stammten.
2. 2019: Der Vorstandsvorsitzende eines im Vereinigten Königreich ansässigen Energieversorgungsunternehmens wird vom Vorstandsvorsitzenden seiner Muttergesellschaft aufgefordert, 243.000 US-Dollar per Telefon an den ungarischen Lieferanten zu überweisen. Der Anruf stammt jedoch von Cyberkriminellen, die eine KI-Software verwendeten, um die Stimme des CEO zu imitieren.
3. 2020: Der australische Hedgefonds Levitas Capital schließt seine Pforten, nachdem 8 Millionen US-Dollar verloren gingen - und mit ihnen auch der Ruf bei den Kunden. Der Übeltäter war eine gefälschte Zoom-Einladung, wodurch die Cyberkriminellen bösartigen Code installierten, der gefälschte Rechnungen generierte.

Mechanismen eines Whaling-Phishing-Angriffs

Aufschlüsselung eines Whaling-Angriffs

• Recon: Bedrohungsakteure stellen umfangreiche Nachforschungen über ihre Zielperson aus der Geschäftsleitung oder dem oberen Management an, um Informationen zu sammeln, mit denen sie sich überzeugend als diese Person ausgeben können.
• Beschaffung von Tools: Mit den Informationen, die sie gesammelt habe, erstellen die Bedrohungsakteure die eigentlichen Inhalte, die zur Durchführung des Angriffs verwendet werden. Obwohl dies normalerweise per E-Mail im Rahmen eines umfassenderen Business Email Compromise (BEC) kommuniziert wird, kann Whaling auch über folgende Kanäle durchgeführt werden:
  • SMS
  • Nachrichten und soziale Medien
  • Gefälschte Anrufe
• Verbreitung: Die Nachricht wird an die beabsichtigten Opfer übermittelt, oft verknüpft mit einem dringenden Szenario, das die Opfer dazu drängt, sofort zu reagieren. Dabei wird eine Handlung verlangt, die den Anschein erweckt, eine legitime Anfrage der Geschäftsführung oder einer Führungskraft zu sein.
• Ausnutzung: Je nachdem, welche Handlungen die Angreifer:innen fordern, könnten die Opfer vertrauliche Daten oder Zugangsdaten für sensible Ressourcen preisgeben, Systeme im Rahmen einer weitreichenderen Datenschutzverletzung weiter kompromittieren oder Aktionen ausführen, wie das Überweisen von Geldern oder das Bezahlen „offener“ Rechnungen.
• Folgen: Die Folgen eines Whaling-Angriffs sind ebenso vielfältig und hängen stark von der Organisation, dem Ausmaß des Angriffs und den rechtlichen Folgen für die Organisation ab. (Wir werden dies später noch ausführlicher behandeln).

Ziele der Whaling-Angriffe

Wie bereits erwähnt, richten sich die Whaling-Angriffe nur gegen eine bestimmte Gruppe. Zu diesen Gruppen gehören

• Mitglieder des Managements:
  • CEO
  • CFO
  • COO
  • CSO
  • CISO
• Mitglieder des Verwaltungsrats
• Hochrangige Führungskräfte
  • Leiter:innen
  • Direktor:innen

Auswirkungen von Whaling-Phishing-Angriffen

Mögliche Folgen von Whaling-Angriffen

Die Folgen von Whaling-Angriffen können von Organisation zu Organisation variieren und hängen stark von einer Vielzahl von Faktoren ab. Häufige, reale Folgen von Whaling-Phishing-Angriffen sind:

• Verpflichtende Sicherheitsschulungen für die Belegschaft zur Bekämpfung künftiger Angriffe
• Kündigung des Arbeitsverhältnisses aller Verantwortlichen
• Verlust des Wettbewerbsvorteils oder der Betriebskapazität des Unternehmens
• Negative Auswirkungen auf den Ruf und/oder das Ansehen in der Branche
• Erhebliche finanzielle Verluste, die oft nicht kompensiert werden können
• Zivil- und/oder strafrechtliche Haftung aufgrund von Verstößen gegen Rechtsvorschriften
• Vollständige oder teilweise Einstellung des Geschäftsbetriebs

Whaling verhindern

Leitlinien zur Identifizierung potenzieller Whaling-Angriffe

Whaling- und in noch stärkerem Maße Phishing-Angriffe weisen historisch gesehen verräterische Anzeichen auf, die stark darauf hindeuten, dass eine Kommunikation versucht, Phishing (oder Whale-Phishing) bei ihrem Ziel anzuwenden.

Auch wenn dies nicht immer der Fall ist, finden Sie im Folgenden einige Hinweise, worauf Sie achten sollten, wenn Sie die nächste „dringende Anfrage“ von einem leitenden Angestellten erhalten. Dies kann Ihnen dabei helfen, herauszufinden, ob es sich um eine legitime Anfrage oder um einen Betrugsversuch handelt:

• Externe E-Mails: Viele E-Mail-Dienste bieten der IT-Abteilung die Möglichkeit, E-Mails zu kennzeichnen, die von externen Quellen stammen. Schauen Sie genau hin, wenn diese Einstellung aktiviert ist: Haben Sie eine E-Mail erhalten, die vorgibt, vom CEO oder von einem leitenden Angestellten zu sein, obwohl die E-Mail als „extern“ gekennzeichnet ist? Wenn dies der Fall ist, sollten Sie diese E-Mail vorsichtshalber melden, da die meisten E-Mails, die von der Belegschaft eines Unternehmens versandt/empfangen werden, intern sind und nicht von extern eingehen.
• Dringlichkeit: Die meisten Social-Engineering-Angriffe stellen die Dringlichkeit in den Mittelpunkt der Attacke. Das bedeutet: Durch den Aufbau eines Narrativs, das sofortige, reaktive Aufgaben erfordert (ohne Zeit für Rückfragen oder die Verifizierung des Geforderten), wird der Erfolg dieser Kampagnen oft den schnellen Reaktionszeiten zugeschrieben, die den Opfern aufgrund der Schwere der angedrohten Konsequenzen abverlangt werden.
• Konsequenzen: Die Kehrseite der Medaille zur Dringlichkeit sind die Konsequenzen. Zum Beispiel: „Wenn Sie die geforderte Aktion nicht sofort machen, passiert dies oder das." Verhängnisvolle Konsequenzen, Drohungen, Ultimaten und rechtliche Schritte sind nur einige der Taktiken, die Bedrohungsakteure einsetzen, um Zielpersonen einzuschüchtern und zu Opfern zu machen.
• Vertraulichkeit: Kommunikationsmethoden, auch wenn sie scheinbar sicher und vielleicht sogar verschlüsselt sind, werden im Allgemeinen nicht als „sicher“ genug angesehen, um über vertrauliche Informationen zu sprechen oder diese auszutauschen. Dies gilt vor allem für öffentliche Plattformen, wie z. B. soziale Medien. Wenn Sie eine E-Mail erhalten, in der Sie ausdrücklich aufgefordert werden, die Anfrage aus Sicherheitsgründen für sich zu behalten, gleichzeitig gebeten werden, private Informationen oder Anmeldedaten preiszugeben, ist das bestenfalls verdächtig und schlimmstenfalls ein Social-Engineering-Angriff.
• Links und Anhänge: Dies ist schwer zu erkennen, da die Kommunikationskanäle so konzipiert wurden, dass Links und Anhänge schnell und effizient mit Kolleg:innen ausgetauscht werden können. Diese einfache Handhabung ist jedoch genau das, worauf Bedrohungsakteure setzen, wenn sie ihre Nachrichten verfassen. Da es sich um ein „Feature“ handelt, kann sie doch nicht so schlimm sein, oder? Falsch gedacht. Es kann sehr schlimm sein. Im Zweifel sollte man lieber nicht auf Links klicken oder Anhänge herunterladen.
• Überprüfung: Anfragen jeglicher Art, insbesondere solche, die sich auf eine finanzielle Transaktion beziehen - oder solche, die außerhalb der üblichen Kommunikationswege gestellt werden - sollten persönlich verifiziert werden. Bevor irgendwelche Maßnahmen ergriffen werden, muss zumindest überprüft werden, ob es sich um eine rechtmäßige Anfrage handelt. Deshalb sollte man persönlich beim Antragsteller nachfragen. Bei Änderungen von Kontonummern oder Zahlungsmethoden sollten strenge Protokolle eingehalten werden, um das Risiko zu minimieren, Opfer eines Betrugs zu werden.

Warum Sensibilisierung und Schulung so wichtig ist

Es gibt viele Produkte und Lösungen, die dieses Sicherheitsproblem beheben oder dieses entschärfen sollen. Und obwohl viele dieser Maßnahmen durchaus gut funktionieren, bleibt die Tatsache bestehen, dass es beim Thema Whaling heißt: „Ein Gramm Prävention wiegt so schwer wie ein Kilogramm Therapie.“ Benjamin Franklin sagte dies bereits 1736 – lange bevor es Phishing, das Internet oder auch nur Computer, wie wir sie heute kennen, überhaupt gab.

Aber die Kernbotschaft gilt heute genauso wie vor ein paar Jahrhunderten. Prävention ist besser als Behebung, wenn es um Cybersicherheit geht.

Es gibt einige wichtige Lösungen, die bei der Bekämpfung von Social Engineering besonders effektiv sind, wenn sie mit einer mehrschichtigen Strategie oder einem Defense-in-Depth-Sicherheitsplan kombiniert werden. Dazu gehören:

• Bewusstsein für Bedrohungen: Wie können Sie sich vor Bedrohungen schützen, wenn Sie nicht einmal wissen, welche Bedrohungen Sie betreffen oder auf welche Weise sie sich auf Sie auswirken? Ein guter erster Schritt, um sich zu schützen, ist, sich durch Informationsaustausch, offene Dialoge und professionelle Weiterbildungsseminare für IT- und Sicherheitsteams mit den Taktiken der Bedrohungsakteure vertraut zu machen und zu erfahren, wie sich Bedrohungen entwickeln, wie sie funktionieren, worauf sie abzielen, welche Auswirkungen sie auf die Ressourcen haben und wie sie sich auf Ihre individuellen Anforderungen auswirken.
• Fortlaufende Schulungen: Nächste Frage: Wie können Sie von den Mitarbeiter:inen erwarten, dass sie zum Schutz der Unternehmensressourcen beitragen, wenn sie nicht einmal wissen, gegen welche aktuellen Bedrohungen sie sich überhaupt zur Wehr setzen müssen? Schließlich sind sie nicht nur Ihre erste Verteidigungslinie, sondern auch Teil der Lösung. Regelmäßige Schulungen, die mit anderen Unternehmensrichtlinien abgestimmt sind, stellen sicher, dass sich die Sicherheitsschulungen für die Belegschaft parallel zur Entwicklung der Bedrohungslage weiterentwickeln, damit die Mitarbeiter:innen stets auf dem Laufenden bleiben. Schließlich sind alle für die Sicherheit verantwortlich - nicht nur die IT-Abteilung.
• Entwicklung sicherer Protokolle: Dieser Tipp könnte auch als allgemeine, unternehmensweite Richtlinie angewandt werden, aber der Schwerpunkt dieses Blogs liegt auf Whaling, so dass wir ihn speziell den Mitgliedern der Führungsebene empfehlen, da sie die primäre Zielgruppe für Whaling-Angriffe darstellen. Führungskräfte müssen mit ihren Daten vorsichtiger umgehen, insbesondere im Hinblick darauf, was geteilt wird, wo dies geschieht und wer diese Informationen sehen kann. So wird beispielsweise durch die Aktivierung von Datenschutzbeschränkungen auf öffentlich zugänglichen Websites wie Profilen in sozialen Medien die Menge der persönlichen und geschäftlichen Daten eingeschränkt, die einem größeren Publikum zugänglich sind. Weniger Informationen bedeuten weniger Daten im Pool, die Bedrohungsakteure bei ihren Nachahmungsversuchen gegen die Opfer einsetzen können.
• Weiterentwicklung Ihrer Sicherheitslösungen: Sicherheitslösungen sind großartig, aber eine Richtlinie, die starke, eindeutige Passwörter erzwingt, wird den Zugriff auf vertrauliche Unternehmensressourcen nicht verhindern, wenn jemand, der sich als COO ausgibt, Fernzugriff auf ein Gerät verlangt, das Zugriff auf eine HR-Datenbank mit allen Mitarbeiterdatensätzen hat – und dieser Zugriff ohne Hinterfragen gewährt wird. Die Implementierung zusätzlicher Schutzebenen für die Endpunktsicherheit, die Advanced Persistent Threats (APT) erkennen und darauf reagieren können, könnte jedoch den entscheidenden Unterschied ausmachen, ob die Bedrohung schnell identifiziert und abgewehrt wird oder ob sie unentdeckt bleibt und böswillige Akteure genügend Zeit haben, Ihre Daten zu stehlen.

Fazit

Die Zukunft des Whalings

Es wird erwartet, dass die Phishing-Angriffe auch in absehbarer Zukunft weitergehen werden. Dies ist keine bloße Spekulation, wenn Behörden wie das FBI, die „einen 1.300-prozentigen Anstieg der identifizierten offengelegten Verluste“ vorhersehen. Sie stellen Schutzmaßnahmen und Anleitungen für Unternehmen bereit, um sich besser vor diesem wachsenden Segment der Phishing-Bedrohungen zu schützen.

Das Security Magazine hat im Rahmen eines von GreatHorn durchgeführten Berichts über die Verbreitung von Whaling- und Executive Impersonation-Angriffenfestgestellt, dass „59 % der Unternehmen angaben, eine Führungskraft sei bereits Ziel von Whaling-Angriffen geworden.“ Und was noch schlimmer ist: „46 % sagen, dass Führungskräfte diesen Angriffen zum Opfer gefallen sind.“

Whaling + KI

Die Lücke zwischen der Skalierbarkeit von Phishing und den Auswirkungen, die Whaling auf einzelne Empfänger:innen hat, zu schließen, ist nicht der Angriffsvektor, der in einer Folge von „Mr. Robot“ gezeigt wird. Es ist das Whaling, was von KI unterstützt wird.

Trend Micro erklärt, dass das als „Harpoon Whaling“ bezeichnete Verfahren „in hohem Maße automatisiert werden kann und vom Einsatz eines generativen, vortrainierten (GPT) KI-Sprachmodells profitiert, das es ermöglicht, äußerst erfolgreiche gezielte Angriffe gleichzeitig auf ausgewählte Verteilerlisten durchzuführen.“ Diese Listen bestehen aus vielen Führungskräften oder hochrangigen Beamten, z. B. „alle Führungskräfte im Bankwesen“, „alle hochrangigen Polizeibeamten“ oder „alle Politiker des Landes X“."

Aufruf zur Wachsamkeit und zur Sensibilisierung durch Schulungen

„Die Angriffe erfolgen nicht ausschließlich per E-Mail.“ Federal Bureau of Investigations

Die im vorigen Abschnitt erwähnten Einzellösungen bieten zwar einen gewissen Schutz, aber ein mehrstufiger Schutz liegt in der Kombination von sicheren Protokollen und einer Lösung, die eine fortschrittliche Erkennung und Abwehr von Bedrohungen sowie eine Behebung für den Fall bietet, dass etwas in den laufenden Schulungen der Mitarbeiter:innen nicht erkannt wurde.

Zusammenfassung der wichtigsten Erkenntnisse

• Whaling ist eine Art von Social-Engineering-Angriff, der sich ausschließlich gegen hochrangige Mitglieder richtet, z. B. Führungskräfte und Vorstandsmitglieder.
• Das FBI hat Whaling als eine der größten Phishing-Bedrohungen für Unternehmen identifiziert, die Verluste in Höhe von bis zu 12 Milliarden US-Dollar verursachen.
• Whaling-Angriffe in der Praxis haben weltweit direkt zu Datenschutzverletzungen, finanziellen Verlusten und Unternehmensschließungen geführt.
• Bei Whaling-Angriffen führen die Angreifer umfangreiche Recherchen über öffentlich zugängliche Quellen durch, um Informationen über Führungskräfte des Unternehmens zu sammeln und so die Erfolgsquote von Identitätsbetrugsangriffen zu erhöhen.
• Die Angriffe erfolgen nicht nur per E-Mail, sondern auch per SMS, über Messaging- und Social-Media-Plattformen und per Telefon.
• Wie bei anderen Formen des Phishings sind Dringlichkeit und die Androhung schwerwiegender Folgen zwei wirksame Taktiken, mit denen die Cyberkriminellen ihre Opfer dazu drängen wollen, ohne Überprüfung zu handeln.
• Schulungen für die Beschäftigten spielen eine wichtige Rolle, wenn es darum geht, die Benutzer:innen nicht nur über Bedrohungen aufzuklären, sondern sie auch über neue Angriffsarten auf dem Laufenden zu halten, auf die sie achten sollten.
• 59 % der Unternehmen geben an, dass eine Führungskraft bereits ein Ziel von Whaling-Attacken war, und 46 % sagen, dass die Führungskräfte diesen Angriffen zum Opfer gefallen sind.
• Angriffe, die KI nutzen, um die Effektivität von Whaling und die Skalierbarkeit von Phishing zu automatisieren, gehört die Zukunft. Schauen Sie sich dazu „Harpoon Whaling“ an.
• Eine Einheitslösung mag zwar eine einzelne Bedrohungsstufe abwehren, doch eine umfassende Lösung kombiniert Software zur Endpunktsicherheit mit Schulungen für Endbenutzer:innen und weiterentwickelten Sicherheitsprotokollen, um einen mehrschichtigen Schutz zu gewährleisten.