Whaling: Schutzmaßnahmen gegen Whaling-Angriffe für Unternehmen
Mit hochprofessionell gefälschten E-Mails zielen Kriminelle auf Mitarbeiterinnen und Mitarbeiter mit Befugnissen ab. Wie Sie, und Ihr Unternehmen, sich vor Whaling-Angriffen schützen können, erfahren Sie hier.
Der englische Ausdruck „Whaling“ bedeutet Walfang und meint im Kontext der Cyberkriminalität einen ertragreichen Betrug – in der deutschen Sprache werden hochrangige Führungskräfte umgangssprachlich auch als „Dicke Fische“ bezeichnet. Bei einem Whaling-Angriff handelt es sich um eine zielgerichtete Cyber-Attacke in Form einer hochgradig personalisierten Phishing-E-Mail, die sich gegen Mitarbeiterinnen und Mitarbeiter mit bestimmten Befugnissen oder gegen Personen des leitenden Managements richtet. Wird die Whaling-Attacke im Namen einer Führungskraft eines Unternehmens beziehungsweise eines CEO ausgeführt, wird die Betrugsmasche auch als CEO-Fraud bezeichnet.
Die Cyberkriminellen geben sich in einer gefälschten E-Mail als hochrangige Entscheidungsträger des Unternehmens aus, um mit Hilfe von Social Engineering, also durch psychologische Manipulation, die adressierten Zielpersonen zu einer bestimmten Handlung zu verleiten. In der inhaltlich und formal glaubwürdig erscheinenden E-Mail fordern die vermeintlichen Absender beispielsweise dazu auf, einen Geldtransfer für bestimmte Zwecke freizugeben, sensible Firmendaten bekannt zu geben oder auf einen bestimmten Link zu klicken, der unbemerkt zum Download einer Malware (Schadprogramm) führt.
Hinweis
Eine besondere Gefahr geht für Unternehmen von sogenannter Ransomware aus. Hierbei handelt es sich um einen Verschlüsselungs- oder auch Erpressungstrojaner, der nach erfolgtem Download in der Lage ist, sämtliche (unternehmensrelevanten) Daten innerhalb eines Firmennetzwerks zu verschlüsseln. Für die Entschlüsselung werden anschließend hohe Geldsummen gefordert. Nähere Informationen zum Thema finden Sie auch in unserem Beitrag Ransomware: Was Sie über den Erpressungstrojaner wissen sollten.
Wie funktionieren Whaling-Angriffe?
In der formal und inhaltlich echt wirkenden E-Mail bittet die vermeintliche Absenderin oder der vermeintliche Absender um eine dringende Überweisung oder auch um die Bekanntgabe sensibler Firmendaten für bestimmte Zwecke. Neben dem Überweisungsbetrug kann auch der Download einer Malware beziehungsweise eines Schadprogramms, das in weiterer Folge unternehmensrelevante Daten verschlüsseln oder unbemerkt ausspionieren kann, Ziel der Betrügerinnen und Betrüger sein. Jede Phishing-Attacke, die auf die Täuschung der Empfängerin oder des Empfängers für kriminelle Zwecke abzielt, bedient sich des Social Engineerings. Diese Methode umgeht jedes noch so professionelle IT-Sicherheitssystem, indem es psychologische Mechanismen der Menschen – in diesem Kontext etwa hierarchisches Denken oder Angst – ausnützt, um zu bestimmten Handlungen zu verleiten. Dazu gehört das Eindringen in Datenbanken oder das Abgreifen von sensiblen Firmendaten.
Tipp
Wie Sie sich vor Phishing-Angriffen schützen können, erfahren Sie im Beitrag Präventionsmaßnahmen gegen Phishing. Im Artikel Die Evolution von Phishing-Angriffen können Sie nachlesen, welche verschiedenen Arten dieser Cyber-Attacke sich aktuell entwickelt haben.
Informationen über die Zielperson einer Whaling-Attacke sind häufig öffentlich zugänglich und erleichtern den Cyberkriminellen die Recherche im Vorfeld. Die aus verschiedenen Quellen zusammengetragenen Daten dienen der Personalisierung der gefälschten E-Mail: Korrekte Ansprache der Zielperson mit ihrer präzisen Funktionsbezeichnung sowie weitere Details im Anschreiben dienen der Täuschung und verstärken den Eindruck, es handle sich um ein glaubwürdiges Anschreiben. Um den Eindruck der Legitimität zu verstärken, werden auch die E-Mail-Adresse des Absenders und das Unternehmenslogo gefälscht. Da der vermeintliche Adressat des Anschreibens einen weitreichenden Zugriff auf Unternehmensressourcen hat, lohnt sich für Cyberkriminelle der hohe Aufwand in Bezug auf die Täuschung der Mitarbeiterinnen und Mitarbeiter, die mit entsprechenden Befugnissen ausgestattet sind.
Hinweis
Awareness, also die Sensibilisierung gegenüber IT-Sicherheitsthemen und Gefahren im Netz, gilt als Schlüsselkonzept im Kampf gegen Internetkriminalität. Wie sich Angestellte beispielsweise gegen Social Engineering schützen können, finden Sie im Artikel Abwehr von Social Engineering-Angriffen.
Wie können sich Unternehmen vor Whaling-Angriffen schützen?
Vor Whaling-Angriffen kann man sich präventiv schützen. Mit diesen Schutzmaßnahmen können Sie sich und Ihr Unternehmen vor den Cyber-Attacken wappnen.
Awareness: Cyber-Angriffe, die sich des Social Engineerings bedienen, können prinzipiell jede Firmen-Firewall umgehen, da sie durch menschliches Fehlverhalten funktionieren. Aus diesem Grund spielen Awareness-Schulungen für die Belegschaft eines Unternehmens eine zunehmend wichtigere Rolle für die IT-Sicherheit. Geht es um vertrauliche Informationen oder finanzielle Transaktionen, sollten Mitarbeiterinnen und Mitarbeiter routinemäßig ein hohes Maß an Misstrauen an den Tag legen und entsprechende Anweisungen überprüfen.
Technische Schutzmaßnahmen: E-Mail-Verschlüsselung, automatische Kennzeichnung externer E-Mails und eine Anti-Phishing-Software können als Schutzfilter potenzielle Phishing-Mails aus dem Verkehr ziehen, indem sie gefälschte Absenderadressen erkennen. Sie bieten jedoch keine hundertprozentige Sicherheit.
Zusätzliche Validierungsmaßnahmen: Geht es um die Freigabe vertraulicher Informationen oder um die Überweisung hoher Geldbeträge, sollte eine weitere Validierung beziehungsweise eine zweite Genehmigung durch eine Mitarbeiterin oder einen Mitarbeiter erfolgen.
Datensparsamkeit: Je vertraulicher die Informationen sind, die Cyberkriminelle recherchieren können und in weiterer Folge dazu nutzen, dem personalisierten Phishing-Angriff ein hohes Maß an Glaubwürdigkeit zu verleihen, desto schwieriger ist es, eine Betrugsmail zu erkennen. Zu diesem Zweck suchen Cyberkriminelle in Sozialen Medien nach persönlichen Daten der Mitarbeiterinnen und Mitarbeiter beziehungsweise der Führungskräfte. Details wie Geburtstage, berufliche Positionen, geplante Urlaube und dergleichen sollten nicht via Social Media veröffentlicht werden, da sie Betrügerinnen und Betrügern die Gelegenheit für ausgefeilte Angriffe bieten.
Tipp
Um sich gegen Social Engineering via Phishing und Whaling zu schützen, wurde das Zero-Trust-Sicherheitskonzept entwickelt. Im Beitrag Zero-Trust-Modell als Lösung für IT-Sicherheit in Unternehmen können Sie nachlesen, wie das Modell funktioniert und welche Vorteile es bringt.
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria