Was ist Whaling?

Whaling ist eine Variante des (Spear) Phishing, die auf das C-Level-Management abzielt. Mittels aufwendig gefälschter E-Mails versuchen Angreifer, ihr Opfer zur Herausgabe wertvoller vertraulicher Daten oder zur Überweisung hoher Geldbeträge zu bewegen.

Myra Services zum Thema: Unerwünschte Zugriffe blockieren und schädlichen Traffic abwehren mit Myra Deep Bot Management

01

Whaling: eine Definition

Der Begriff Whaling (zu Deutsch „Walfang“) leitet sich davon ab, dass besonders einflussreiche Personen im Kontext der Cyberkriminalität auch als „dicker Fisch“ bezeichnet werden. Entsprechend haben es Kriminelle beim Whaling auf C-Level-Positionen (CEO, CFO und andere hochrangige Führungskräfte) abgesehen, die über weitreichende Befugnisse und Zugriff auf streng vertrauliche Informationen verfügen. Geben sich Angreifer selbst als C-Level-Manager aus, spricht man auch von CEO-Betrug oder Business Email Compromise (BEC). BEC verursachte laut FBI 2019 weltweit Schäden in Höhe von 1,7 Milliarden US-Dollar.

Im Gegensatz zum herkömmlichen Phishing, das auf eine breite Zielgruppe ausgelegt ist, und dem Spear Phishing, bei dem gefälschte Nachrichten und Webseiten auf einen kleinen Personenkreis zugeschnitten sind, kommen beim Whaling nochmals stärker personalisierte und maßgeschneiderte E-Mails und Websites zum Einsatz.

Sie enthalten häufig Name und Position des Opfers sowie andere relevante Informationen, die aus verschiedenen Quellen zusammengetragen wurden, um sowohl formal als auch inhaltlich authentisch zu wirken. Dadurch ist eine Whaling-Attacke deutlich schwerer zu identifizieren als ein normaler Phishing-Angriff.

Whaling ist die Königsdisziplin des Phishings, weil sie den größten Aufwand und oft langwierige Vorbereitung erfordert, aber auch die höchsten und lukrativsten Erfolgsaussichten bietet. Erfolgreichen Angreifern winken immense Geldbeträge und wertvolle Informationen (z.B. geistiges Eigentum, Geschäftsprozesse, Finanzdaten, Kundeninformationen, kompromittierende E-Mails), die sie anschließend verkaufen oder für Erpressungsversuche nutzen können.

Wal schwimmt im Meer

02

Wie funktioniert ein Whaling-Angriff?

Phishing-Mails zählen zu den meistgenutzten Angriffen im Internet überhaupt. Wie alle Formen des Phishings setzt auch das Whaling auf Social Engineering, das als häufigster und erfolgreichster Angriffsvektor in Unternehmen gilt: Durch gezielte Manipulation und Beeinflussung wollen die Betrüger bestimmte Handlungen wie die Herausgabe vertraulicher Daten oder Finanztransaktionen zu ihren Gunsten bewirken.

Dazu geben sich die Angreifer als legitimer, bekannter und vertrauenswürdiger Kontakt aus, etwa von innerhalb eines Unternehmens oder von Partnern, Kunden, Banken und Behörden. Die professionell gestalteten und fehlerfrei formulierten Nachrichten umfassen meist täuschend echt wirkende Signaturen, Kontaktdetails und Firmenlogos oder sogar persönliche Informationen für noch mehr Glaubwürdigkeit. Dazu werten die Angreifer im Vorfeld Daten von Social-Media-Konten und öffentlich verfügbare Unternehmensinformationen aus.

Meist imitieren oder fälschen die Kriminellen auch die E-Mail-Adresse des vermeintlichen Absenders, indem sie zum Beispiel den E-Mail-Header manipulieren (E-Mail-Spoofing), unauffällige Buchstabendreher einbauen und nahezu identisch aussehende Buchstabenkombinationen verwenden (z.B. ein großes „I“ wie Ida statt ein kleines „l“ wie lustig oder „rn“ statt „m“). Manchmal setzen Angreifer sogar eigene E-Mail-Server auf und registrieren extra Domains, die der echter Unternehmen oder Behörden stark ähneln.

In stichhaltigen Konversationen fordern die Kriminellen ihr Opfer anschließend zum Beispiel auf, streng vertrauliche Informationen wie Gehaltslisten, Steuer- oder Bankdaten zu übermitteln, einen enthaltenen Link zu einer Webseite anzuklicken, über die dann beispielsweise Schadprogramme installiert oder Anmeldedaten abgegriffen werden, oder eine Finanztransaktion zu veranlassen. Das Ziel ist praktisch immer, Geld bzw. Daten zu stehlen oder sich zu diesem Zweck Zugang zu Firmennetzwerken zu verschaffen.

03

Was sind Beispiele für Whaling und CEO-Betrug?

Whaling bzw. CEO-Betrug kommen besonders häufig bei Überweisungsbetrug zum Einsatz. Beispielsweise geben sich Angreifer gegenüber dem Geschäftsführer, Finanzchef oder anderen Mitarbeitern in gefälschten E-Mails als Entscheidungsträger eines Geschäftspartners aus und bitten um dringende Geldtransfers, etwa um eine Lieferung zu bezahlen oder eine geplante Firmenübernahme abzuschließen. Kommt das Opfer der Aufforderung ohne weitere Prüfung nach, landet das Geld direkt auf dem Konto der Betrüger. Dabei geht es oftmals um Beträge in mehrstelliger Millionenhöhe.

Nach Angaben des FBI beliefen sich die durch Whaling bzw. CEO-Betrug oder BEC verursachten Schäden zwischen Juni 2016 und Juli 2019 auf mehr als 26 Milliarden US-Dollar weltweit. Allein von 2018 auf 2019 stiegen sie um 100 Prozent.

Prinzipiell sind alle Branchen sowie Unternehmen jeder Größe von Whaling-Attacken betroffen, wie folgende Beispiele zeigen:

  • Laut Medienberichten verlor die belgische Bank Crelan im Jahr 2016 in Folge eines CEO-Betrugs über 70 Millionen Euro.

  • Ein ähnlicher Betrugsfall wurde im gleichen Jahr beim österreichischen Flugzeugteilehersteller FACC bekannt, der das Unternehmen am Ende 44 Millionen Euro und der damaligen Finanzchefin sowie dem Firmenchef den Job kostete.

  • Ebenfalls 2016 sorgte ein CEO-Betrug bei Snapchat für Schlagzeilen: Ein Angreifer gab sich als CEO Evan Spiegel aus und wies in dessen Namen einen Mitarbeiter der Personalabteilung per E-Mail an, ihm Gehaltsabrechnungen von Angestellten zu schicken, was der Mitarbeiter auch umgehend tat.

  • Ähnliches ereignete sich im gleichen Jahr beim Storage-Spezialist Seagate: Die Personalabteilung erhielt eine E-Mail, die angeblich von Firmenchef Stephen Luczo stammte und in der Kopien von Steuerformularen mit Sozialversicherungsnummern, Gehältern sowie weiteren personenbezogenen Daten angefordert wurden. Die Abteilung kam der Anfrage nach und schickte somit vertrauliche Informationen von tausenden Mitarbeitern direkt an die Betrüger.

04

Wie können sich Unternehmen vor Whaling-Angriffen schützen?

Technische Abwehrmaßnahmen

Technische Maßnahmen sind nur bedingt geeignet, um Social-Engineering-Angriffe wie Whaling abzuwehren. Techniken wie SPF, DKIM und DMARC (Sender Policy Framework, DomainKeys Identified Mail und Domain-based Message Authentication, Reporting and Conformance), E-Mail-Verschlüsselung oder die automatische Kennzeichnung externer E-Mails im Posteingang können zwar helfen, gefälschte Absenderadressen zu identifizieren, Angreifer finden aber auch hier immer wieder eine Möglichkeit, die technischen Schutzmaßnahmen zu umgehen.

Awareness-Schulungen

Der am häufigsten ausgenutzte Faktor bei Social-Engineering-Angriffen ist Unwissenheit. Wer sein Unternehmen effektiv vor Whaling und anderen Phishing-Varianten schützen will, muss daher mit Schulungen für Awareness bei seinen Führungskräften und Mitarbeitern sorgen. Sie sollten ein gesundes Misstrauen entwickeln und E-Mail-Absender sorgfältig prüfen, um betrügerische E-Mails rechtzeitig als solche zu erkennen. Zur Sensibilisierung der höchsten Führungsebene kann die IT-Abteilung auch simulierte Whaling-Angriffe durchführen.

Mehrstufiger Verifizierungsprozess

Insbesondere für Anfragen bezüglich vertraulicher Daten oder Finanztransaktionen empfiehlt es sich, einen mehrstufigen Verifizierungsprozess und Verhaltensrichtlinien zu etablieren. Mitarbeiter sollten im Zweifelsfall beispielsweise telefonisch Rücksprache halten, um per E-Mail erhaltene Anweisungen vom vermeintlichen Absender bestätigen zu lassen.

Datensparsamkeit auf Social Media

Sowohl Führungskräfte als auch Mitarbeiter sollten darauf achten, wie viele und welche Informationen sie in Social-Media-Kanälen veröffentlichen. Denn dort gepostete Inhalte dienen Angreifern häufig als Datengrundlage für Whaling- und Phishing-Attacken.

Laptop und Handy liegend nebeneinander

05

Whaling: Das müssen Sie wissen

Whaling und CEO-Betrug sind Arten von Social-Engineering-Angriffen, die darauf abzielen, C-Level-Manager zu täuschen oder sich als solche auszugeben. Cyberkriminelle wollen die Opfer dadurch zur Überweisung von Geldbeträgen oder zur Freigabe wertvoller Datensätze bewegen. Technische Abwehrmaßnahmen allein bieten keinen ausreichenden Schutz vor solchen Angriffen, weil hier der Faktor Mensch eine entscheidende Rolle spielt. Wenn etwa eine Phishing-Mail unüberlegt geöffnet oder ein enthaltener Link zu einer bösartigen Website arglos angeklickt wird, kann es schon zu spät sein. Dies sollten Unternehmen im Rahmen einer ganzheitlichen Cybersicherheitsstrategie berücksichtigen und neben technischen auch organisatorische Präventionsmaßnahmen wie Awareness-Schulungen einführen. Der Security-by-Design-Ansatz sieht eine gleichrangige Behandlung von Hardware, Software und Anwender vor, um sämtliche relevanten Problemfelder zu adressieren. Nur wer Cybersicherheit bei allen Stationen in digitalen Geschäftsprozessen mitdenkt, kann die virtuelle Angriffsfläche möglichst klein halten.