Home>
Whaling
01
Der Begriff Whaling (zu Deutsch „Walfang“) leitet sich davon ab, dass besonders einflussreiche Personen im Kontext der Cyberkriminalität auch als „dicker Fisch“ bezeichnet werden. Entsprechend haben es Kriminelle beim Whaling auf C-Level-Positionen (CEO, CFO und andere hochrangige Führungskräfte) abgesehen, die über weitreichende Befugnisse und Zugriff auf streng vertrauliche Informationen verfügen. Geben sich Angreifer selbst als C-Level-Manager aus, spricht man auch von CEO-Betrug oder Business Email Compromise (BEC). BEC verursachte laut FBI 2019 weltweit Schäden in Höhe von 1,7 Milliarden US-Dollar.
Im Gegensatz zum herkömmlichen Phishing, das auf eine breite Zielgruppe ausgelegt ist, und dem Spear Phishing, bei dem gefälschte Nachrichten und Webseiten auf einen kleinen Personenkreis zugeschnitten sind, kommen beim Whaling nochmals stärker personalisierte und maßgeschneiderte E-Mails und Websites zum Einsatz.
Sie enthalten häufig Name und Position des Opfers sowie andere relevante Informationen, die aus verschiedenen Quellen zusammengetragen wurden, um sowohl formal als auch inhaltlich authentisch zu wirken. Dadurch ist eine Whaling-Attacke deutlich schwerer zu identifizieren als ein normaler Phishing-Angriff.
Whaling ist die Königsdisziplin des Phishings, weil sie den größten Aufwand und oft langwierige Vorbereitung erfordert, aber auch die höchsten und lukrativsten Erfolgsaussichten bietet. Erfolgreichen Angreifern winken immense Geldbeträge und wertvolle Informationen (z.B. geistiges Eigentum, Geschäftsprozesse, Finanzdaten, Kundeninformationen, kompromittierende E-Mails), die sie anschließend verkaufen oder für Erpressungsversuche nutzen können.
04
Technische Abwehrmaßnahmen
Technische Maßnahmen sind nur bedingt geeignet, um Social-Engineering-Angriffe wie Whaling abzuwehren. Techniken wie SPF, DKIM und DMARC (Sender Policy Framework, DomainKeys Identified Mail und Domain-based Message Authentication, Reporting and Conformance), E-Mail-Verschlüsselung oder die automatische Kennzeichnung externer E-Mails im Posteingang können zwar helfen, gefälschte Absenderadressen zu identifizieren, Angreifer finden aber auch hier immer wieder eine Möglichkeit, die technischen Schutzmaßnahmen zu umgehen.
Awareness-Schulungen
Der am häufigsten ausgenutzte Faktor bei Social-Engineering-Angriffen ist Unwissenheit. Wer sein Unternehmen effektiv vor Whaling und anderen Phishing-Varianten schützen will, muss daher mit Schulungen für Awareness bei seinen Führungskräften und Mitarbeitern sorgen. Sie sollten ein gesundes Misstrauen entwickeln und E-Mail-Absender sorgfältig prüfen, um betrügerische E-Mails rechtzeitig als solche zu erkennen. Zur Sensibilisierung der höchsten Führungsebene kann die IT-Abteilung auch simulierte Whaling-Angriffe durchführen.
Mehrstufiger Verifizierungsprozess
Insbesondere für Anfragen bezüglich vertraulicher Daten oder Finanztransaktionen empfiehlt es sich, einen mehrstufigen Verifizierungsprozess und Verhaltensrichtlinien zu etablieren. Mitarbeiter sollten im Zweifelsfall beispielsweise telefonisch Rücksprache halten, um per E-Mail erhaltene Anweisungen vom vermeintlichen Absender bestätigen zu lassen.
Datensparsamkeit auf Social Media
Sowohl Führungskräfte als auch Mitarbeiter sollten darauf achten, wie viele und welche Informationen sie in Social-Media-Kanälen veröffentlichen. Denn dort gepostete Inhalte dienen Angreifern häufig als Datengrundlage für Whaling- und Phishing-Attacken.