Was ein Whaling-Phishing-Angriff ist und wie man ihn verhindern kann

Whaling-Phising verstehen

Was ist Whaling?

In manchen Kreisen wird Whaling auch als „CEO-Betrug” bezeichnet und ist eine Variante des Spear-Phishing-Angriffs, der in der Regel auf eine bestimmte Gruppe von Mitarbeiter*innen eines Unternehmens abzielt. Außer im Fall von Whaling handelt es sich bei den Zielpersonen ausschließlich um hochrangige Mitglieder des Unternehmens, wie Führungskräfte und Vorstandsmitglieder.

Ist Whaling wie Social Engineering?

Mit einem Wort: Ja. Er fällt unter den Begriff Phishing, eine Untergruppe von Social-Engineering-Bedrohungen, die darauf abzielen, durch Täuschung vertrauliche Informationen und Daten wie Passwörter oder Zugriffstoken von ahnungslosen Benutzer*innen zu erhalten.

Beeinträchtigt das Whaling die Cybersicherheit?

Da Whaling als Social-Engineering-Bedrohung eingestuft wird, kann es sich sehr wohl auf die Sicherheitslage eines Unternehmens auswirken und tut dies auch. Die von Whaling-Angriffen ausgehenden Bedrohungen variieren, genau wie Social-Engineering-Angriffe u. a., je nach dem Ziel des bösen Akteurs/der bösen Akteurin und den geschützten (oder in diesem Fall nicht geschützten) Ressourcen. Die folgenden Beispiele geben einen Einblick in einige Möglichkeiten, wie Whaling-Angriffe Ihre Verteidigung beeinträchtigen können.

Beispiele für Whaling-Phishing-Angriffe

Nachfolgend finden Sie drei reale Beispiele für Whaling-Angriffe und wie diese die Cybersicherheit von Unternehmen beeinträchtigt haben, die jedoch bei weitem nicht vollständig sind:

1. 2016: Mitarbeiter*innen der Crelan Bank in der EU überwiesen 75 Millionen US-Dollar auf ein Bankkonto, das Bedrohungsakteur*innen gehörte, nachdem sie E-Mail-Anfragen erhalten hatten, die scheinbar vom CEO der Bank stammten.
2. 2019: Der Vorstandsvorsitzende eines im Vereinigten Königreich ansässigen Energieversorgungsunternehmens wurde vom Vorstandsvorsitzenden seiner Muttergesellschaft aufgefordert, 243.000 Dollar per Telefon an ihren ungarischen Lieferanten zu überweisen. Nur war der Anruf in betrügerischer Absicht von Angreifer*innen erstellt worden, die eine KI-Software verwendeten, um die Stimme des CEO zu imitieren.
3. 2020: Die australische Hedge-Fonds-Gesellschaft Levitas Capital schließt ihre Pforten, nachdem sie 8 Millionen Dollar verloren hat - und damit auch ihren Ruf bei den Kund*innen. Der Übeltäter war eine gefälschte Zoom-Einladung, die es Angreifer*innen ermöglichte, bösartigen Code zu installieren , der gefälschte Rechnungen generierte.

Mechanismen eines Whaling-Phishing-Angriffs

Zusammenbruch eines Whaling -Angriffs

• Aufklärung: Bedrohungsakteur*innen stellen umfangreiche Nachforschungen über ihre Zielperson aus der Geschäftsleitung oder dem oberen Management an, um Details zu sammeln, mit denen sie sich überzeugend als diese Person ausgeben können.
• Bewaffnung: Mit den erforderlichen Informationen ausgestattet, erstellen die Bedrohungsakteur*innen die eigentlichen Inhalte, die zur Durchführung des Angriffs verwendet werden. Obwohl dies in der Regel per E-Mail als Teil eines größeren Business E-Mail Compromise (BEC) kommuniziert wird, kann Whaling auch über das Internet durchgeführt werden:
  • SMS
  • Nachrichtenübermittlung und Plattformen für soziale Medien
  • Gefälschte Anrufe
• Zustellung: Der Nachrichtentyp wird an die beabsichtigten Opfer übermittelt, oft mit einem dringenden Szenario, das die Opfer dazu auffordert, eine Aktion durchzuführen, die scheinbar wie eine Aufforderung der Chefetage oder der Geschäftsführung wirkt.
• Ausbeutung: Je nachdem, welche Aktionen die Angreifer*innen verlangen, könnten die Opfer vertrauliche Daten oder Zugangsdaten zu sensiblen Ressourcen weitergeben, Systeme in einem größeren Ausmaß kompromittieren oder Aktionen wie Überweisungen oder die Bezahlung „offener” Rechnungen durchführen.
• Fallout: Die Folgen eines Whaling-Angriffs sind ebenso vielfältig und hängen stark von der Organisation, dem Ausmaß des Verbrechens und den rechtlichen Folgen für die Organisation ab. (Wir werden dies später noch ausführlicher behandeln).

Ziele der Whaling- Angriffe

Wie bereits erwähnt, richten sich die Whaling-Angriffe nur gegen eine bestimmte Gruppe. Das können sein:

• C-Suite-Mitglieder:
  • CEO
  • CFO
  • COO
  • CSO
  • CISO
• Mitglieder des Verwaltungsrats
• Hochrangige Führungskräfte
  • Aufsichtsbehörden
  • Direktor*innen

Auswirkungen von Whaling-Phishing-Angriffen

Mögliche Folgen von Whaling- Angriffen

Die Reaktionen auf Whaling-Angriffe können von Organisation zu Organisation unterschiedlich ausfallen und hängen stark von einer Reihe von Faktoren ab. Einige häufige, reale Folgen von Whaling-Phishing-Angriffen sind:

• Verpflichtende Sicherheitsschulungen für Mitarbeiter*innen zur Bekämpfung künftiger Angriffe
• Beendigung des Arbeitsverhältnisses für alle Verantwortlichen
• Verlust des Wettbewerbsvorteils oder der Betriebskapazität des Unternehmens
• Negative Auswirkungen auf den öffentlichen Ruf und/oder das Ansehen der Branche
• Umfangreiche finanzielle Verluste, die oft nicht ausgeglichen werden
• Zivil- und/oder strafrechtliche Haftung aufgrund von Verstößen gegen Rechtsvorschriften
• Vollständige oder teilweise Einstellung des Geschäftsbetriebs

Whaling-Angriffe verhindern

Leitlinien zur Identifizierung potenzieller Whaling- Angriffe

Whaling- und in noch stärkerem Maße Phishing-Angriffe weisen seit jeher verräterische Anzeichen auf, die stark darauf hindeuten, dass eine Nachricht einen Phishing-Versuch (oder Whale-Phishing) bei ihrem Ziel darstellt.

Auch wenn dies nicht immer der Fall ist, finden Sie im Folgenden einige Hinweise, worauf Sie achten sollten, wenn Sie die nächste „dringende Anfrage” von einem leitenden Angestellten erhalten - sie könnten Ihnen dabei helfen, festzustellen, ob es sich um eine legitime Anfrage oder einen Betrug handelt:

• Externe E-Mails: Viele E-Mail-Dienste bieten der IT-Abteilung die Möglichkeit, E-Mails zu kennzeichnen, die von externen Quellen stammen. Haben Sie bei aktivierter Einstellung eine E-Mail erhalten, die vorgibt, vom CEO oder Sr zu stammen? Die Verwaltung, obwohl die Benachrichtigung vorhanden ist, die erklärt, dass die E-Mail extern empfangen wurde? Wenn dies der Fall ist, sollten Sie diese E-Mail vorsichtshalber melden, da die meisten E-Mails, die von den Mitarbeiter*innen des Unternehmens versandt/empfangen werden, intern und nicht extern eingehen.
• Dringlichkeit: Die meisten Social-Engineering-Angriffe stellen die Dringlichkeit in den Mittelpunkt der Kampagne. Das bedeutet, dass der Erfolg dieser Aktionen oft auf die schnelle Reaktionszeit der Opfer im Verhältnis zur Schwere der Folgen zurückzuführen ist, da sie ein Narrativ schaffen, das eine sofortige, reaktionsschnelle Ausführung von Aufgaben erfordert (ohne Zeit, Fragen zu stellen oder zu überprüfen, was verlangt wird).
• Konsequenzen: Die andere Seite der Medaille zur Dringlichkeit sind die Konsequenzen. Zum Beispiel: „Wenn du nicht die geforderte Aktion sofortdurchführst, dann wird dir dies passieren.” Verhängnisvolle Konsequenzen, Drohungen, Ultimaten und rechtliche Schritte sind nur einige der Taktiken, die Bedrohungsakteur*innen einsetzen, um Ziele einzuschüchtern und zu Opfern zu machen.
• Vertraulichkeit: Kommunikationsmethoden, auch wenn sie scheinbar sicher und vielleicht sogar verschlüsselt sind, werden im Allgemeinen nicht als „sicher” genug angesehen, um vertrauliche Daten zu besprechen oder auszutauschen. Dies gilt doppelt für öffentliche Plattformen, wie z. B. soziale Medien. Wenn Sie eine E-Mail erhalten, in der Sie ausdrücklich aufgefordert werden, die Anfrage aus Sicherheitsgründen für sich zu behalten, während Sie gleichzeitig aufgefordert werden, private Informationen oder Anmeldedaten anzugeben, ist das bestenfalls verdächtig und schlimmstenfalls ein Social Engineering-Angriff.
• Links und Anhänge: Dies ist schwer zu erkennen, da die Kommunikationskanäle so konzipiert wurden, dass Links und Anhänge schnell und effizient mit Kolleg*innen ausgetauscht werden können. Diese einfache Handhabung ist jedoch genau das, worauf Bedrohungsakteur*innen setzen, wenn sie ihre Botschaften verfassen. Da es sich um eine „Funktion” handelt, kann sie doch nicht so schlimm sein, oder? Falsch, und es kann sehr schlimm sein. Einfach gesagt: nicht auf Links klicken oder Anhänge herunterladen/öffnen, nur für den Fall.
• Überprüfung: Anfragen jeglicher Art, insbesondere solche, die eine finanzielle Angelegenheit betreffen - oder solche, die außerhalb des Systems gestellt werden - sollten persönlich überprüft werden. Bevor Maßnahmen ergriffen werden, muss zumindest überprüft werden, ob es sich um eine rechtmäßige Anfrage handelt, indem mit dem Antragsteller/der Antragstellerin gesprochen wird. Bei Änderungen von Kontonummern oder Zahlungsverfahren sollten strenge Protokolle angewandt werden, um das Risiko, Opfer eines Betrugs zu werden, zu minimieren.

Die Bedeutung von Sensibilisierung und Bildung

Es gibt viele Produkte und Lösungen, die dieses Sicherheitsproblem beheben oder abschwächen sollen. Und obwohl viele von ihnen vielleicht sogar gut genug funktionieren, bleibt die Tatsache bestehen, dass, wenn es um Whaling geht, „eine Unze Prävention ein Pfund Heilung wert ist.” Benjamin Franklin sagte dies im Jahr 1736, lange bevor es Phishing, das Internet oder sogar Computer, wie wir sie heute kennen, gab.

Aber die Kernbotschaft gilt heute noch genauso wie vor Jahrhunderten. Prävention ist > Abhilfe, wenn es um Cybersicherheit geht.

Es gibt einige wichtige Lösungen, die bei der Bekämpfung von Social Engineering besonders effektiv sind, wenn sie in einer mehrschichtigen Strategie oder einem Defense-in-Depth-Sicherheitsplan kombiniert werden. Diese sind:

• Bewusstsein für Bedrohungen: Wie können Sie sich vor Bedrohungen schützen, wenn Sie nicht einmal wissen, welche Bedrohungen Sie betreffen oder auf welche Weise sie sich auf Sie auswirken? Ein guter erster Schritt, um sich zu schützen, ist es, sich durch Informationsaustausch, offene Dialoge und professionelle Weiterbildungsseminare für IT- und Sicherheitsteams mit den Taktiken der Bedrohungsakteur*innen vertraut zu machen und mehr über die Bedrohungen, ihre Entwicklung, ihre Funktionsweise, ihre Ziele, ihre Auswirkungen auf die Ressourcen und ihre speziellen Anforderungen zu erfahren.
• Fortbildung: Folgefrage: Wie sollen die Mitarbeiter*innen zum Schutz der Unternehmensressourcen beitragen, wenn sie nicht wissen, mit welchen aktuellen Bedrohungen sie konfrontiert sind? Schließlich sind sie nicht nur Ihre erste Verteidigungslinie, sondern auch Teil der Lösung. Regelmäßig angesetzte Schulungen, die mit anderen Unternehmensrichtlinien abgestimmt sind, stellen sicher, dass die Sicherheitsschulung der Mitarbeiter*innen mit der Entwicklung der Bedrohungen Schritt hält und die Mitarbeiter*innen informiert bleiben. Schließlich ist jeder für die Sicherheit verantwortlich - nicht nur die IT-Abteilung.
• Entwickeln Sie sichere Protokolle: Dieser Tipp könnte zwar als allgemeine, unternehmensweite Richtlinie angewandt werden, aber der Schwerpunkt dieses Blogs liegt auf Whaling, sodass wir ihn speziell den Mitgliedern der Führungsebene empfehlen, da sie die Zielgruppe für Whaling-Angriffe darstellen. Führungskräfte müssen mit ihren Daten vorsichtiger umgehen, wenn es darum geht, was weitergegeben wird, wo und wer es sehen kann. Wenn Sie beispielsweise Datenschutzbeschränkungen auf öffentlich zugänglichen Websites wie Social-Media-Profilen aktivieren, wird die Menge der persönlichen und geschäftlichen Daten, die einem breiteren Publikum zugänglich sind, eingeschränkt. Weniger ausgetauschte Informationen bedeuten weniger Daten im Pool, die die Bedrohungsakteur*innen bei ihren Imitationsversuchen gegen die Opfer einsetzen können.
• Entwickeln Sie Ihre Sicherheitslösungen weiter: Sicherheitslösungen sind großartig, aber eine Richtlinie, die starke, eindeutige Passwörter erzwingt, wird den Zugang zu einer vertraulichen Geschäftsressource nicht verhindern, wenn jemand, der sich als COO ausgibt, Fernzugriff auf ein Computergerät verlangt, welches Zugang zu einer Personaldatenbank hat, die alle Mitarbeiterdaten enthält, und der Zugang wird ohne Frage gewährt. Die Implementierung von zusätzlichen Sicherheitsschichten für Endpoints, die Advanced Persistent Threats (APT) erkennen und darauf reagieren können, könnte jedoch den Unterschied ausmachen, ob die Bedrohung schnell erkannt und beseitigt wird oder ob sie weiter bestehen bleibt und böswilligen Akteur*innen genügend Zeit gibt, Ihre Daten vollständig zu zerstören.

Schlussfolgerung

Die Zukunft des Whalings?

Es wird erwartet, dass die Phishing-Angriffe in absehbarer Zukunft weitergehen werden. Dies ist keine Spekulation, wenn Behörden wie das FBI, daseinen „1.300-prozentigen Anstieg der identifizierten gefährlichen Verluste” angibt, Schutzmaßnahmen und Anleitungen für Unternehmen vorschlagen, um sich besser gegen dieses wachsende Segment von Phishing-Bedrohungen zu schützen.

Das Security Magazine hat im Rahmen eines von GreatHorn durchgeführten Berichts über die Verbreitung von Whaling- und Executive-Impersonation-Angriffenfestgestellt, dass59 % der Unternehmen angeben, dass eine Führungskraft das Ziel von Whaling-Angriffen war. Was ist noch schlimmer als das?„46 % geben an, dass eine Führungskraft zum Opfer geworden ist.”

Whaling + KI

Die Lücke zwischen der Skalierbarkeit von Phishing und den Auswirkungen von Whaling pro Nachricht zu schließen, ist kein Angriffsvektor, der in einer Folge von Mr. Robot gezeigt wird. Es ist die KI-gestützte Zukunft von Whaling.

Trend Micro erklärt, dass „Harpoon Whaling extrem automatisiert werden kann und von einem generativen, vortrainierten (GPT) KI-Sprachmodell profitiert, das es ermöglicht, extrem erfolgreiche gezielte Angriffe auf kuratierte Verteilerlisten gleichzeitig durchzuführen. Diese Listen bestehen aus vielen Führungskräften oder hochrangigen Beamt*innen, z. B. „alle Führungskräfte im Bankwesen”, „alle hochrangigen Polizeibeamt*innen” oder „alle Politiker*innen des Landes X”.”

Ermutigung zu Wachsamkeit und Bildung

„Verlassen Sie sich nicht allein auf E-Mails” - Federal Bureau of Investigations

Die im vorigen Abschnitt erwähnten Einzellösungen bieten zwar einen gewissen Schutz, aber ein mehrstufiger Schutz liegt in der Kombination von sicheren Protokollen und einer Lösung, die eine fortschrittliche Bedrohungserkennung und -abwehr sowie Abhilfemaßnahmen für den Fall bietet, dass etwas nicht durch laufende Mitarbeiterschulungen erkannt wurde.

Zusammenfassung der wichtigsten Erkenntnisse

• Whaling ist eine Art von Social-Engineering-Angriff, der sich ausschließlich gegen hochrangige Mitglieder richtet, z. B. Führungskräfte und Vorstandsmitglieder.
• Das FBI hat Whaling als eine der größten Phishing-Bedrohungen für Unternehmen identifiziert, die Verluste in Höhe von 12 Milliarden Dollar verursachen.
• Real-Word-Whaling-Angriffe in der ganzen Welt haben unmittelbar zu Verletzungen der Vertraulichkeit von Daten, zum Verlust von Geldern und zur Schließung von Unternehmen beigetragen.
• Whaling-Angriffe beinhalten eine umfassende, offene Informationsbeschaffung durch Bedrohungsakteur*innen, die Informationen über Führungskräfte von Unternehmen sammeln, um die Erfolgsquote von Imitationsangriffen zu erhöhen.
• Die Angriffe erfolgen nicht nur per E-Mail, sondern auch per SMS, über Messaging- und Social-Media-Plattformen und per Telefon.
• Wie bei anderen Formen des Phishings sind Dringlichkeit und schwerwiegende Folgen zwei wirksame Taktiken, mit denen die Angreifer*innen ihre Opfer überzeugen wollen, ohne Überprüfung zu handeln.
• Mitarbeiterschulungen spielen eine wichtige Rolle, da sie die Benutzer*innen nicht nur über Bedrohungen aufklären, sondern sie auch über neue Angriffsarten auf dem Laufenden halten, auf die sie achten müssen.
• 59 % der Unternehmen geben an, dass eine Führungskraft schon einmal Ziel eines Whaling-Angriffs war, und 46 % sagen, dass Führungskräfte Opfer eines solchen Angriffs geworden sind.
• Die Zukunft gehört Angriffen, die KI nutzen, um die Effektivität von Whaling und die Skalierbarkeit von Phishing zu automatisieren. Auftritt Harpoon Whaling
• Eine umfassende Lösung kombiniert jedoch Endpoint-Sicherheitssoftware mit Endbenutzerschulungen und weiterentwickelten Sicherheitsprotokollen zur umfassenden Verteidigung.