Was ist ein Whaling-Angriff und Whaling-Phishing?

Sie haben vielleicht schon von Phishing gehört, oder? Aber wussten Sie, dass es verschiedene Arten von Phishing gibt? In diesem Artikel möchten wir aufzeigen, was Whaling ist, über Whaling-Angriffe sprechen und das Bewusstsein für Whaling im Internet schärfen, sowohl für Privatpersonen mit einer großen digitalen Präsenz als auch für Unternehmen. Whaling-Angriffe sind als gezielte Cyberangriffe bekannt. Das bedeutet, dass sie nicht auf die breite Masse abzielen, sondern auf bestimmte Schlüsselpersonen (meist CEOs), die Zugang zu Informationen oder Vermögenswerten haben, die für Hacker von Vorteil wären.

Whaling-Angriffe sind ein Trend, der vor fast einem Jahrzehnt aufkam. Damals wurde der Begriff "Speer-Phishing" verwendet, um sie zu beschreiben. Wie Sie sehen können, sind viele Namen von Hacking-Taktiken mit Fischen verbunden. Heutzutage, Speerfischen dient lediglich dazu, gezielte Phishing-Angriffe von breit angelegten Angriffen zu unterscheiden.

Whaling ist das, was man als Phishing mit großem Fang bezeichnet. Whaling-Ziele von Cyberangriffen (z. B. Wale) sind nicht die üblichen Menschenmassen, sondern "hochrangige Personen" - Entscheidungsträger mit Zugang zu Informationen und/oder Vermögenswerten, die für die Bedrohungsakteure von Vorteil wären. Dabei kann es sich um einen Vorstandsvorsitzenden, einen hochrangigen Regierungsbeamten oder einfach um eine Person in einer hohen Position handeln, die Zugang zu wertvollen Informationen und Ressourcen hat und/oder diese besitzt.

Bei den meisten Cyberangriffen handelt es sich um gezieltes und gut recherchiertes "Phishing" auf höchster Ebene. Sobald genügend Informationen vorhanden sind, beginnt ein unaufgeforderter Versuch von jemandem, der sich als vertrauenswürdige Einrichtung ausgibt - etwa Ihre Bank, ein Kreditkartenunternehmen, eine Regierungsbehörde oder sogar beliebte Websites. Ziel ist es, Zugang zu Informationen zu erhalten, die für finanzielle Gewinne oder zur Destabilisierung genutzt werden können. Der Betrug an einer Person aus der Mittelschicht in einem Vorort wird niemals den gleichen Gewinn bringen wie der Betrug an einem Vorstandsvorsitzenden eines großen Unternehmens, daher ist Walfang-Phishing ein völlig anderes Spiel.

Auch wenn Cyberangriffe manchmal als gewöhnliches "Phishing" bezeichnet werden, ist dies nicht ganz richtig, denn beim Phishing werden gezielt Schlüsselpersonen angegriffen. In der Regel werden dafür umfangreiche Hintergrundrecherchen durchgeführt, Insider-Informationen gesammelt, Vorbereitungen getroffen und die Angriffe mit äußerster Präzision ausgeführt.

Es gibt vier Schlüsselelemente, die Whaling-Angriffe, auch bekannt als CEO-Betrug, gemeinsam haben: Zielsetzung, Zeitpunkt, Inhalt und Methodik.

Der erste Schritt beim Whaling ist das Anvisieren wertvoller Personen. Um erfolgreich zu sein, müssen Sie ein geeignetes Ziel finden. Diese Person muss die Kontrolle über den Zugang haben oder in der Lage sein, Entscheidungen zu beeinflussen, Zugang zu Systemen haben usw. Am erfolgreichsten sind Hacker in der Regel bei CEOs, CFOs und hochrangigen Führungskräften sowie bei leitenden Mitarbeitern der Buchhaltung.

Kennen Sie den Spruch "Timing ist alles"? Nun, hier trifft er sicherlich zu. Wenn die Hacker ihre Karten richtig ausspielen und zum richtigen Zeitpunkt zuschlagen und ihre Aktionen gut abstimmen, steigen die Erfolgschancen erheblich. Der Begriff "Timing" bezieht sich hier auf zwei verschiedene Faktoren: das allgemeine Timing (nach dem Kalender) und das relative Timing (die aktuelle Situation des Unternehmens).

Wenn Hacker beispielsweise wissen, dass der Finanzvorstand kurz vor den Feiertagen erkrankt ist und aus der Ferne arbeitet, können sie einen Plan entwerfen und die Gelegenheit genau ausnutzen, um kurz vor Heiligabend Bargeld von den Konten abzuziehen. Das verantwortliche Personal würde erst Tage später davon erfahren, so dass genügend Zeit bleibt, das Geld über ausländische Bankkonten zu waschen.

Das ist der Kern des Walfangbetrugs oder man kann es auch als Strategie bezeichnen. Hier kommen Recherchen und die bereits erwähnten Insiderinformationen ins Spiel. Die Analyse sozialer Medien und anderer Punkte auf der öffentlichen Agenda des Unternehmens kann wichtige Informationen liefern, die Hacker für Social Engineering-Tricks und Phishing nutzen können. Jeder Ansatz ist wahrscheinlich einzigartig mit seinen eigenen Blickwinkeln, Nischen und Angriffspunkten.

In der Regel geht es beim Whaling um E-Mail-Phishing, so dass sich die Betrüger auf persönliche Daten konzentrieren und über die Kommunikation schnell Vertrauen aufbauen wollen. Sie können leicht E-Mails fälschen, um mit Untergebenen zu chatten, oder sogar ganze Websites kopieren, um Informationen zu sammeln. Ein Beispiel: Ihr vorgesetzter Finanzbeamter schickt Ihnen eine E-Mail von seiner Adresse und schreibt:

"Können Sie sich bei unseren Firmenkonten anmelden? Bitte überprüfen Sie das so schnell wie möglich!" - zögert ein Untergebener vielleicht nicht einmal, den Anweisungen zu folgen.

Der Inhalt ist also präzise und einfach.

Schließlich gibt es die so genannte "reibungslose Betrugsmethodik", d. h. eine fließende Kommunikation oder soziale Interaktion zwischen den Bedrohungsakteuren und den als hochrangig eingestuften Zielen oder mit ihnen verbundenen Personen.

Der Betrüger möchte eine Beteiligung von außen verhindern und die Kommunikation auf ein Minimum beschränken, um die Dinge unter seiner direkten Kontrolle zu halten. Wenn die Zielperson beschließt, eine andere Person zu konsultieren, eine zweite Meinung einzuholen oder auf einen festen Termin in der Zukunft zu warten, könnte der Betrüger aufdringlich werden und die Notwendigkeit bestreiten. Dies ist die erste Schwachstelle in ihrer Methodik - sie haben nur sehr wenig Zeit, um dies durchzuziehen. Wenn ein untergeordneter Mitarbeiter einen Betrug wittert, sollte er nicht über seiner Gehaltsklasse handeln. Und CEOs sollten, wenn sie ins Visier geraten, verhindern, dass sie etwas völlig Ungeplantes tun, bevor sie sich direkt mit den entsprechenden Verantwortlichen beraten.

Der wichtigste Schutz und die wichtigste Verteidigung gegen den Walfang? Das Bewusstsein schärfen. Das Konzept des Cyber-Bewusstseins wird normalerweise mit Computersicherheit in Verbindung gebracht, aber das ist nur ein Aspekt des Gesamtbildes. Die Schärfung des Cyber-Bewusstseins in Ihrem Unternehmen kann erheblich zur allgemeinen Sicherheit beitragen und Ihnen einen Wettbewerbsvorteil gegenüber skrupellosen Konkurrenten verschaffen, die möglicherweise versuchen, mit unethischen Methoden an das zu gelangen, was sie wollen.

Um einen erfolgreichen Schutz vor sehr gezieltem Walfang-Betrug zu gewährleisten, müssen Sie alle Ihre Mitarbeiter sensibilisieren - egal, ob es sich um den Geschäftsführer oder einen Nachtwächter handelt. Maßnahmen zur Cyber-Sensibilisierung sollten in allen Arbeitsbereichen eingeführt werden - von Empfangsdamen und Sachbearbeitern bis hin zu hochrangigen Beamten und technischen Mitarbeitern.

Aufklärung und Einführung in potenzielle Bedrohungen führen zu den bestmöglichen Ergebnissen. Wie bereits erwähnt, sind die sachkundigsten IT-Entscheidungsträger am meisten mit der Bedrohung durch Phishing beschäftigt. Es ist nicht die raffinierteste Taktik in Bezug auf Hackerlösungen, aber sie nutzt die wohl größte Schwachstelle in der Unternehmensstruktur aus - das Vertrauen der Menschen. Wenn es einem Hacker gelingt, sich durch Social Engineering Vertrauen zu verschaffen, kann er kolossalen Schaden anrichten.

Der erste Schritt besteht darin, sich darüber klar zu werden, was Ihre Mitarbeiter über die Gefahren von Walfang-Phishing-Angriffen wissen müssen. Sorgen Sie für 2FA und andere mögliche digitale Sicherheitsmaßnahmen, um unglückliche und leicht vermeidbare Schäden zu verhindern.

Es ist nicht alles schlecht; es gibt viele Möglichkeiten, Datendiebstahl zu verhindern. Hier sind einige grundlegende Tipps, die Ihnen helfen, Phishing-Angriffe zu vermeiden:

Die Multi-Faktor-Authentifizierung hat sich als eines der wirksamsten Instrumente zur Authentifizierung verschiedener Vorgänge erwiesen und verhindert, dass Betrüger sie ausnutzen. Eine der besten Methoden, um Whaling auf der Stelle zu stoppen, besteht darin, die Abhängigkeit von der Kenntnis einzelner Personen (Passcodes und Passwörter) zu minimieren und Faktoren wie den Besitz (z. B. Mobiltelefon, Codegenerator usw.) sowie biometrische Daten hinzuzufügen.

Sie sind schwieriger zu merken, aber es gibt spezielle Softwarelösungen für die Passwortverschlüsselung und den Passwortschutz. Einige Systeme können mit sich ständig ändernden Passwörtern entsperrt werden (ähnlich wie bei 2FA), aber diese minimale Form der Prävention kann die Bemühungen von Hackern stark behindern.

Es gibt verschiedene Programme, die dabei helfen können, zu überwachen, auf welche Websites die IP Ihres Unternehmens zugreift und nach welchen Informationen gesucht wird.

Die meisten Whaling-Angriffe erfolgen per E-Mail. Wie können Sie sich also am besten schützen? Zunächst einmal sollten Sie auf keinen Fall auf Links in E-Mails klicken, die Sie unerwartet erhalten haben. Melden Sie verdächtige E-Mails immer persönlich oder über sichere Kommunikationskanäle, z. B. indem Sie die betreffende Person anrufen oder an ihr Skype-Konto im Intranet schreiben usw.

Dies mag offensichtlich erscheinen, gehört aber zu den grundlegenden Maßnahmen der Cyber-Hygiene, die viele gefährliche Malware von Ihrem System fernhalten.

Jetzt wissen Sie also alles, was es über Whaling-Angriffe zu wissen gibt. Dabei handelt es sich um eine Art von Phishing-Angriff, bei dem die Betrüger es auf hochrangige Personen abgesehen haben, z. B. auf leitende Angestellte und Manager. Die Hacker verwenden verschiedene Techniken, um Informationen über die Opfer zu sammeln, in der Hoffnung, sie zur Preisgabe privater Daten oder zur Herausgabe von Zugriffsrechten auf hochvertrauliche Systeme zu verleiten. Dies kann dem Unternehmen großen Schaden zufügen. Daher sollten Unternehmen das Bewusstsein in ihrer gesamten Organisation schärfen, um sich besser zu schützen.