Ein Whaling-Angriff ist eine Methode, bei der sich Cyberkriminelle als hochrangige Mitarbeiter in einem Unternehmen ausgeben und Führungskräfte oder andere wichtige Personen direkt angreifen, um Geld oder vertrauliche Informationen zu stehlen oder sich für kriminelle Zwecke Zugriff auf ihre Computersysteme zu verschaffen. Whaling ist auch als CEO-Betrug bekannt. Es ähnelt dem Phishing insofern, dass Zielpersonen durch Methoden wie E-Mail und Webseiten-Spoofing dazu verleitet werden sollen, bestimmte Aktionen durchzuführen, beispielsweise das Offenlegen vertraulicher Daten oder das Übertragen von Geld.
Während Phishing auf beliebige Personen und Spear-Phishing auf bestimmte Personen abzielt, wird beim Whaling ein besonders intensiver Angriff auf Individuen verübt, da die gesendeten betrügerischen Mitteilungen von jemandem zu stammen scheinen, der in ihrem Unternehmen besonders hochrangig oder einflussreich ist. Dabei wird auf die „großen Fische“ oder „Wale“ in dem betreffenden Unternehmen abgezielt, beispielsweise auf den CEO oder der Finance Manager. Dadurch kommt ein weiteres Element des Social Engineering ins Spiel, da die Mitarbeiter nur ungern eine Anfrage von jemandem ablehnen, den sie für wichtig halten.
Die Bedrohung ist äußerst real und wächst immer stärker an. 2016 erhielt die Lohnbuchhaltung bei Snapchat eine Whaling-E-Mail, die scheinbar vom CEO stammte und in der Informationen zur Lohn- und Gehaltsabrechnung der Mitarbeiter angefordert wurden. Im letzten Jahr wurde der Spielzeugriese Mattel Opfer eines Whaling-Angriffs, als ein führender Mitarbeiter in der Finanzabteilung eine E-Mail von einem Betrüger erhielt, der sich als der neue CEO des Unternehmens ausgab und ihn aufforderte, Gelder zu überweisen. Dadurch verlor das Unternehmen fast 3 Millionen US-Dollar.
Wie Whaling-Angriffe funktionieren – und wie Sie sich davor schützen
Wie bereits erwähnt, unterscheidet sich Whaling vom Spear-Phishing dadurch, dass die betrügerischen Kommunikationen scheinbar von einem hochrangigen Mitarbeiter stammen. Diese Angriffe können umso glaubwürdiger gestaltet werden, wenn Cyberkriminelle anhand der vorhandenen Ressourcen, z. B. Social Media, eingehende Forschungsarbeiten durchführen, und einen genau auf die Zielpersonen maßgeschneiderten Ansatz verfolgen.
Dabei könnte es sich um eine E-Mail von einem höheren Manager handeln, die einen Hinweis auf etwas enthält, das ein Angreifer online erfahren haben könnte, zum Beispiel von einem Bild der Person auf der Weihnachtsparty des Unternehmens: „Hallo John, Sie schienen ja auf der Party letzten Donnerstag recht angeheitert gewesen zu sein! Hoffe, dass Sie den Bierflecken wieder aus Ihrem roten Hemd rausgekriegt haben!“
Außerdem sieht die E-Mail-Adresse des Absenders glaubwürdig aus und kann sogar Unternehmenslogos oder Links zu einer betrügerische Webseite enthalten, die ebenfalls legitim erscheint. Da der „Wal“ innerhalb des Unternehmens hohes Vertrauen genießt und umfassenden Zugriff hat, lohnt sich der Aufwand für die Cyberkriminellen, den Angriff möglichst glaubwürdig zu gestalten.
Zur effektiven Abwehr von Whaling-Angriffen müssen zunächst die wichtigsten Personen in Ihrem Unternehmen so geschult werden, dass sie routinemäßig vor solchen Angriffsmöglichkeiten auf der Hut sind. Ermutigen Sie wichtige Mitarbeiter, bei nicht angeforderten Kontakten ein gesundes Maß an Misstrauen an den Tag zu legen, vor allem, wenn es um vertrauliche Informationen oder finanzielle Transaktionen geht. Die Mitarbeiter sollten sich immer fragen, ob sie die E-Mail, den Anhang oder den Link erwartet haben. Ist die Anfrage in irgendeiner Weise ungewöhnlich?
Sie sollten auch angewiesen werden, wie sich die Anzeichen eines Angriffs erkennen lassen, beispielsweise gefälschte E-Mail-Adressen und Namen. Durch einfaches Zeigen mit der Maus auf einen Namen in einer E-Mail wird die vollständige Adresse angezeigt. So kann erkannt werden, ob Name und Format der Adresse genau mit denen des Unternehmens übereinstimmen. Ihre IT-Abteilung sollte auch simulierte Whaling-Angriffe durchführen, um die Reaktionen der Mitarbeiter zu testen.
Darüber hinaus sollten Führungskräfte lernen, bei der Online-Freigabe von Informationen auf Social Media wie Facebook, Twitter und LinkedIn besonders vorsichtig zu sein. Details wie Geburtstage, Hobbys, Urlaub, berufliche Positionen, Beförderungen und Beziehungen können alle von Cyberkriminellen genutzt werden, um noch ausgeklügeltere Angriffe zu planen.
Eine hervorragende Methode, um die Gefahr von Spoof-E-Mails zu reduzieren, besteht darin, dass Ihre IT-Abteilung automatisch alle E-Mails von außerhalb Ihres Netzwerks zur Überprüfung kennzeichnet. Beim Whaling setzen Cyberkriminelle vielfach darauf, wichtige Mitarbeiter davon zu überzeugen, dass die Nachrichten aus einer internen Quelle stammen, beispielsweise die Anfrage eines Finance Managers, Geld auf ein bestimmtes Konto zu überweisen. Durch Kennzeichnung externer E-Mails können gefälschte E-Mails, die oberflächlich betrachtet legitim aussehen, auch von nicht geschulten Personen leichter erkannt werden.
Die Bereitstellung spezieller Anti-Phishing-Software, die Services wie URL-Screening und Linkvalidierung bietet, ist ebenfalls ratsam. Außerdem sollten Sie bei der Freigabe vertraulicher Informationen oder der Überweisung großer Geldsummen eine weitere Validierungsebene in Betracht ziehen. Bei wichtigen oder vertraulichen Aufgaben ist eine persönliche Besprechung oder ein Anruf oft eine bessere Maßnahme, als die Transaktion einfach elektronisch durchzuführen.
Wenn es um Internetbetrug geht, sind zwei Köpfe immer besser als einer. Ändern Sie die Abläufe in Ihrem Unternehmen, sodass Zahlungen nicht nur von einer, sondern von zwei Personen genehmigt werden müssen. Dadurch kann die erste Person nicht nur eigene Zweifel ausräumen, sondern sie braucht auch keine Konsequenzen durch den hochrangigen Mitarbeiter zu befürchten, der bei einer Verweigerung möglicherweise verärgert ist – Furcht ist nämlich eine wichtige Taktik beim Social Engineering, die sich Angreifer zunutze machen.