Erfahren Sie, was Whaling-Phishing-Angriffe sind, auf wen sie abzielen und wie sie sich von anderen Phishing-Angriffen unterscheiden.
2023 Mid-Year Threat ReportWhaling ist ein gängiger Cyber-Angriff bei dem ein Angreifer Spear-Phishing-Methoden einsetzt, um ein großes, hochrangiges Ziel, wie z. B. die Führungsetage, anzugreifen. Betrüger wissen, dass Führungskräfte und hochrangige Mitarbeiter (z. B. Pressesprecher) mit den üblichen Spam-Taktiken vertraut sind. Aufgrund ihres öffentlichen Profils haben sie möglicherweise ein umfangreiches Sicherheitstraining absolviert, und das Sicherheitsteam verfügt möglicherweise über strengere Richtlinien und umfangreichere Tools, um sie zu schützen. Dies führt dazu, dass Angreifer, die diese Ziele zu phishen versuchen, über die altbewährte Taktik hinaus auf ausgefeiltere, gezieltere Methoden zurückgreifen.
Wie alle Phishing-Angriffe beruht ein erfolgreicher Whaling-Angriff auf ein hochrangiges Ziel immer noch darauf, das Ziel unter dem Deckmantel einer gewissen Dringlichkeit zu überzeugen. Das gewünschte Ergebnis kann darin bestehen, den Empfänger zu einer unerwünschten Aktion zu bewegen und z. B. eine Geldüberweisung auszulösen oder auf einen Link zu klicken oder einen Anhang zu öffnen, der Malware installiert oder das Ziel auf eine schädliche Website schickt, die sich als legitim ausgibt. Das Ziel: Erbeuten vertraulicher Informationen, wie z. B. Anmeldedaten, die dem Angreifer einen Generalschlüssel zum geistigen Eigentum eines Unternehmens, zu Kundendaten oder anderen Informationen geben, die bei einem Verkauf auf dem Schwarzmarkt lukrativ sein könnten.
Infolge des zunehmenden Bewusstseins für typische Phishing-Taktiken passen die Angreifer ihre Vorgehensweise an, indem sie den Aktionsradius eingrenzen und ihre betrügerischen Nachrichten mit Details ausstatten, um den E-Mail-Empfänger von ihrer Echtheit zu überzeugen und ihn zum Handeln zu bewegen. Diese gezieltere Herangehensweise an Phishing wird gemeinhin als Spear-Phishing bezeichnet. Wenn ein Angreifer beschließt, ein großes, hochkarätiges Ziel mit Spear-Phishing zu attackieren, dann wird es zum Whaling.
Übliche Whaling-Ziele, wie z. B. Pressesprecher oder C-Level-Führungskräfte, haben von Natur aus mehr Informationen über sie, die öffentlich zugänglich sind und von Angreifern gesammelt und ausgenutzt werden können. Aufgrund ihrer Position haben sie möglicherweise auch einen größeren internen Datenzugriff als der durchschnittliche Mitarbeiter: Über ihre internen Berechtigungsnachweise stehen ihnen mehr vertrauliche Informationen zur Verfügung, und in einigen Fällen haben sie sogar ein gewisses Maß an administrativen Rechten. Während der Pool der potenziellen Ziele für Whaling in einem Unternehmen im Vergleich zum gesamten Mitarbeiterstamm recht klein sein mag, steht viel mehr auf dem Spiel.
Im Wesentlichen sind die Beispiele erfolgreicher Whaling-Kampagnen den erfolgreichen Phishing-Kampagnen nicht allzu unähnlich: Die Mitteilungen sind so dringend, so potenziell bedrohlich, dass sich der Empfänger gezwungen sieht, schnell zu handeln und dabei die üblichen Sicherheitsmaßnahmen außer Acht zu lassen. Betrüger, die erfolgreiche Whaling-E-Mails verfassen, wissen, dass ihr Zielpublikum sich nicht nur von einer Terminerinnerung oder einer strengen E-Mail von einem Vorgesetzten beeindrucken lässt; stattdessen werden sie andere Ängste ausnutzen, wie z. B. rechtliche Schritte oder das Risiko einer Rufschädigung.
In einem Beispiel für einen Whaling-Angriffsversuch fielen eine Reihe von Führungskräften aus verschiedenen Branchen auf einen Angriff herein, der mit genauen Details über sie und ihre Unternehmen gespickt war und vorgab, von einem US-Bezirksgericht mit einer Vorladung zum Erscheinen vor einer Grand Jury in einer Zivilsache zu stammen. Die E-Mail enthielt einen Link zur Vorladung, und als die Empfänger auf den Link klickten, um sie anzusehen, wurden sie stattdessen mit Malware infiziert.
Für Führungskräfte und andere wahrscheinliche Phishing-Ziele gelten die Standardempfehlungen zur Prävention und zum Schutz vor Phishing gilt nach wie vor: Hüten Sie sich davor, auf Links oder Anhänge in E-Mails zu klicken, da Phishing-Angriffe jeglicher Art immer noch eine Reaktion des Opfers erfordern, um erfolgreich zu sein.
Organisationen können ihre eigenen Abwehrmechanismen verstärken und potenzielle Zielpersonen des Whalings aufklären, indem sie ebenfalls einige Whaling-spezifische Best Practices implementieren.
Erstens: Achten Sie darauf, welche Art von Informationen Mitarbeiter, die in der Öffentlichkeit stehen, über Führungskräfte weitergeben. Informationen, die leicht online über Seiten wie soziale Medien gefunden werden können, angefangen von Geburtstagen und Heimatstädten bis hin zu Hobbys oder Lieblingssportarten, können dazu beitragen, dass Whaling-E-Mails legitimer erscheinen. Auch große öffentliche Veranstaltungen können Whaling-E-Mails den Anschein von Legitimität verleihen. Erinnern Sie Führungskräfte oder Pressesprecher daran, dass sie während dieser öffentlichkeitswirksamen Zeiten, wie z. B. einer großen Branchentagung oder einem Firmenevent, in mehr als einer Hinsicht im Rampenlicht stehen und dass sie besonders auf ihren Posteingang achten müssen.
Anschließend fördern Sie eine organisatorische E-Mail-Kultur, in der gilt: „Vertrauen, aber überprüfen“. Ermutigen Sie Mitarbeiter aller Ebenen, den Wahrheitsgehalt dringender, unerwarteter Nachrichten über einen anderen Kommunikationskanal zu überprüfen – z. B. durch ein persönliches Gespräch mit dem Absender, einen Anruf oder eine SMS — und lassen Sie die Führungskräfte und das Top-Management mit gutem Beispiel vorangehen.
Am wichtigsten ist die Implementierung eines Schulungsprogramms zur Sensibilisierung für Phishing mit Inhalten, die sich speziell an die Geschäftsleitung und an Mitarbeiter mit Publikumsverkehr richten und sie über die möglichen Phishing-E-Mails aufklären.
Ein vielschichtiges Programm zur Schaffung eines Bewusstseins für Phishing vermittelt nicht nur die wichtigsten Prinzipien zur Verhinderung von Phishing-Angriffen, sondern ermöglicht es den Mitarbeitern auch, diese Fähigkeiten auf sichere Weise auf die Probe zu stellen. Es ist eine gute Sache, von Zeit zu Zeit simulierte Whaling-Angriffe durchzuführen, um die Kompetenzen der Mitarbeiter beim Erkennen potenzieller Phishing-Kampagnen zu schärfen, und zwar in der sicheren Umgebung eines Trainingstools, wobei der Schwerpunkt auf dem Lernen liegt, insbesondere aus Fehlern.