Was ist Whaling?

Es ist wichtig, die Unterschiede zwischen Phishing, Spear-Phishing und Whale-Phishing zu verstehen, da die Begriffe oft synonym, falsch oder ohne Kontext verwendet werden.

Beim Phishing werden Menschen anhand betrügerischer E-Mails, SMS-Nachrichten oder Telefonanrufe dazu verleitet, Malware herunterzuladen (über einen bösartigen Link oder einen Dateianhang), vertrauliche Informationen weiterzugeben, Geld an Kriminelle zu überweisen oder andere Handlungen vorzunehmen, die sie selbst oder ihre Unternehmen der Cyberkriminalität aussetzen.

Wer einen Computer oder ein Smartphone besitzt, ist höchstwahrscheinlich schon einmal Ziel eines Massen-Phishing-Angriffs geworden. Man erhält dabei eine Nachricht, die scheinbar von einem bekannten Unternehmen oder einer vertrauenswürdigen Organisation stammt. Darin wird zunächst eine gewöhnliche bzw. glaubwürdige Situation beschrieben, bevor Empfänger dazu angehalten werden, dringend eine bestimmte Aktion auszuführen. Z. B.: „Ihre Kreditkarte wurde abgelehnt. Bitte klicken Sie auf den unten stehenden Link, um Ihre Zahlungsinformationen zu aktualisieren.“ Empfänger, die auf den Link klicken, werden auf eine schädliche Website weitergeleitet, auf der möglicherweise ihre Kreditkartennummer gestohlen oder Malware auf ihren Computer heruntergeladen wird.

Eine Massen-Phishing-Kampagne ist ein Zahlenspiel. Angreifer senden Nachrichten an so viele Personen wie möglich, wohl wissend, dass ein gewisser Prozentsatz dazu verleitet wird, den Köder zu schlucken. In einer Studie wurden im Jahr 2022 in einem Zeitraum von sechs Monaten über 255 Millionen Phishing-Nachrichten entdeckt (Link befindet sich außerhalb von ibm.com). Laut dem IBM-Bericht Kosten eines Datenschutzverstoßes 2022 war Phishing im Jahr 2022 die zweithäufigste Ursache für Datenschutzverletzungen und die häufigste Methode zur Verbreitung von Ransomware .

Beim Spear-Phishing erfolgt ein Phishing-Angriff auf eine bestimmte Person oder Personengruppe innerhalb eines Unternehmens. Zielpersonen sind in der Regel Manager der mittleren Führungsebene, die Zahlungen oder Datenübertragungen autorisieren können – also zum Beispiel Kreditorenbuchhalter oder Personalleiter. Angreifer geben sich dabei als Vorgesetzte oder Kollegen (z. B. Lieferanten, Geschäftspartner, Berater) aus, denen die Zielperson vertraut.

Bei Spear-Phishing-Angriffen werden die versendeten Nachrichten stärker personalisiert als bei Massen-Phishing-Angriffen. Daher verlangen sie den Betrügern mehr Arbeit und Nachforschungen ab. Doch der Mehraufwand kann sich für Cyberkriminelle lohnen. Beispielsweise haben Spear-Phisher zwischen 2013 und 2015 mehr als 100 Millionen US-Dollar von Facebook und Google gestohlen, indem sie sich als legitime Lieferanten ausgaben und Mitarbeiter dazu verleiteten, gefälschte Rechnungen zu bezahlen (Link befindet sich außerhalb von ibm.com).

Whale-Phishing oder Whaling ist ein Spear-Phishing-Angriff, der sich ausschließlich gegen hochrangige Führungskräfte oder Funktionäre richtet. Der Angreifer gibt sich in der Regel als ein Kollege innerhalb des Unternehmens der Zielperson oder als ein gleich- bzw. höhergestellter Mitarbeiter eines anderen Unternehmens aus.

Whale-Phishing-Nachrichten sind hochgradig personalisiert. Angreifer geben sich große Mühe, den Schreibstil des tatsächlichen Absenders zu imitieren, und beziehen sich in ihren Nachrichten (wenn möglich) auf aktuelle Geschäftsgespräche. Whale-Phishing-Betrüger spionieren häufig Interaktionen zwischen dem Absender und der Zielperson aus. Viele versuchen, das echte E-Mail- oder Messaging-Konto des Absenders zu kapern, um die Angriffsnachricht direkt von dort aus zu versenden und möglichst authentisch erscheinen zu lassen.

Da Whaling-Angriffe auf Personen abzielen, die größere Zahlungen genehmigen können, bieten sie Betrügern einen potenziell höheren unmittelbaren Gewinn.

Whaling wird manchmal mit Business Email Compromise (BEC) gleichgesetzt, einer anderen Art von Spear-Phishing-Angriff, bei dem der Angreifer der Zielperson eine betrügerische E-Mail schickt, die scheinbar von einem Mitarbeiter oder Kollegen stammt. BEC ist nicht immer Whaling (da Ersteres häufig auf Mitarbeiter der unteren Ebenen abzielt), und Whaling ist nicht immer BEC (da es nicht immer per E-Mail erfolgt), doch viele der kostspieligsten Whaling-Angriffe sind auch BEC-Angriffe. Nachfolgend einige Beispiele:

• Im Jahr 2015verlor Ubiquity Networks in nur 17 Tagen fast 47 Millionen US-Dollar (Link befindet sich außerhalb von ibm.com), als Whale-Phishing-Angreifer, die sich als CEO und Chief Counsel des Unternehmens ausgaben, den Chief Accounting Officer per E-Mail dazu aufforderten, eine Reihe von Überweisungen zur Finanzierung einer geheimen Übernahme vorzunehmen.
  
  
• Im Jahr 2018 verlor die Pathé Film Group 19,2 Millionen Euro (21 Millionen US-Dollar) (Link befindet sich außerhalb von ibm.com), als Betrüger, die sich als CEO am französischen Hauptsitz von Pathé ausgaben, eine E-Mail an den CEO des niederländischen Büros von Pathé schickten und um Überweisungen zur Finanzierung einer Übernahme ersuchten.
  
  
• Ebenfalls im Jahr 2018 verleiteten Angreifer, die sich als CEO, leitende Angestellte und Rechtsbeistand der italienischen Firma Tecnimont SpA ausgaben,den Leiter der indischen Geschäftseinheit des Unternehmens dazu, 1,3 Milliarden INR (18,25 Millionen USD) an eine Bank in Hongkong zu überweisen (Link befindet sich außerhalb von ibm.com), ebenfalls angeblich zur Finanzierung einer Akquisition. Im Rahmen dieses Betrugsversuchs gingen die Angreifer soweit, mehrere gefälschte Telefonkonferenzen abzuhalten, um die Einzelheiten der „Übernahme“ zu erörtern.

Phishing, Spear-Phishing und Whale-Phishing sind alles Beispiele für Social-Engineering-Angriffe – also Angriffe, die in erster Linie menschliche Schwachstellen statt technischer Sicherheitslücken ausnutzen, um die Sicherheit zu beeinträchtigen. Da sie viel weniger digitale Beweise hinterlassen als Malware oder Hackerangriffe, sind diese Attacken für Sicherheitsteams und Cybersicherheitsexperten viel schwieriger zu erkennen oder zu verhindern.

Die meisten Whaling-Angriffe zielen darauf ab, einer Organisation große Geldsummen zu stehlen, indem ein hochrangiger Mitarbeiter dazu verleitet wird, eine Überweisung an einen betrügerischen Anbieter oder ein betrügerisches Bankkonto vorzunehmen, zu genehmigen oder anzuordnen. Aber Whaling-Angriffe können auch andere Ziele haben, darunter:

• Diebstahl sensibler Daten oder vertraulicher Informationen. Dies umfasst personenbezogene Daten wie z. B. Gehaltsabrechnungsinformationen von Mitarbeitern oder persönliche Finanzdaten von Kunden. Whale-Phishing-Scams können auch auf geistiges Eigentum, Geschäftsgeheimnisse und andere vertrauliche Informationen abzielen.
  
  
• Diebstahl der Anmeldedaten von Benutzern. Einige Cyberkriminelle beginnen ihren Betrugsversuch mit einer vorbereitenden Phishing-Attacke, bei der sie E-Mail-Anmeldedaten stehlen. Anschließend starten sie über dieses gekaperte E-Mail-Konto den eigentlichen Whale-Phishing-Angriff. Andere stehlen die Zugangsdaten, um privilegierten Zugriff auf Assets oder Daten im Zielnetzwerk zu erhalten.
  
  
• Einschleusung von Malware. Bei einem relativ kleinen Teil der Whale-Phishing-Angriffe sollen Zielpersonen einen schädlichen Dateianhang öffnen oder eine schädliche Website besuchen, damit Ransomware oder andere Malware in ihren Systemen verbreitet werden kann.

Die meisten Whale-Phishing-Angriffe erfolgen aus reiner Gier. Andere können durch Rache gegen eine Führungskraft bzw. ein Unternehmen, durch Wettbewerbsdruck oder durch sozialen oder politischen Aktivismus motiviert sein. Angriffe gegen hochrangige Regierungsbeamte können unabhängiger oder staatlich geförderter Cyberterrorismus sein.

Cyberkriminelle wählen einen Whale mit Zugriff auf ihr Ziel und einen Absender mit Zugriff auf ihren Whale. Ein Cyberkrimineller, der beispielsweise Zahlungen an den Supply-Chain-Partner eines Unternehmens abfangen möchte, kann dem CFO des Unternehmens eine Rechnung senden und dem CEO des Supply-Chain-Partners eine entsprechende Zahlungsaufforderung. Ein Angreifer, der Mitarbeiterdaten stehlen möchte, kann sich als CFO ausgeben und Gehaltsabrechnungsinformationen vom Leiter der Personalabteilung anfordern.

Damit die Botschaften der Absender möglichst glaubwürdig und überzeugend sind, recherchieren Whaling-Scammer ihre Ziele und Absender sowie deren Unternehmen äußerst gründlich im Voraus.

Da viele Menschen im Internet reichlich Informationen teilen, können Betrüger viele der benötigten Angaben finden, indem sie einfach Social-Media-Seiten oder andere Orte im Internet durchsuchen. Beispielsweise kann das LinkedIn-Profil einer potenziellen Zielperson einem Angreifer Aufschluss über die Position, die Zuständigkeiten, die geschäftliche E-Mail-Adresse, den Namen der Abteilung, Namen und Titel von Mitarbeitern und Geschäftspartnern, kürzlich besuchte Veranstaltungen und geplante Geschäftsreisen geben.

Je nach Zielperson können Mainstream-, Wirtschafts- und lokale Medien zusätzliche Informationen liefern – beispielsweise Gerüchte über mögliche Verträge, neu abgeschlossene Geschäfte, ausgeschriebene Projekte, voraussichtliche Baukosten –, die Betrüger nutzen können. Hacker können oft eine überzeugende Spear-Phishing-E-Mail mit nur einer allgemeinen Google-Suche erstellen.

Bei der Vorbereitung eines Whaling-Angriffs hacken Betrüger oft ihr Ziel und den Absender, um zusätzliches Material von ihnen zu sammeln. Dabei können sie zum Beispiel den Computer des Ziels und des Absenders mit Spyware infizieren, um Dateiinhalte einzusehen. Ehrgeizigere Betrüger hacken sich in das Netzwerk des Absenders ein und verschaffen sich Zugriff auf die E-Mail- oder SMS-Konten des Absenders. Sie können dann Gespräche beobachten oder sich sogar darin einmischen.

Wenn der Betrüger ausreichend Informationen gesammelt hat, ist es Zeit, die Angriffsnachricht(en) zu versenden. Die effektivsten Whale-Phishing-Nachrichten scheinen diejenigen zu sein, die in den Kontext einer laufenden Unterhaltung passen, auf detaillierte Informationen zu einem bestimmten Projekt oder Geschäft eingehen, eine glaubwürdige Situation darstellen (eine Social-Engineering-Taktik, die als Pretexting bezeichnet wird) und eine ebenso glaubwürdige Anfrage enthalten. Beispielsweise könnte ein Angreifer, der sich als CEO des jeweiligen Unternehmens ausgibt, die folgende Nachricht an den CFO senden:

Wie gestern besprochen schicke ich dir im Anhang eine Rechnung der Anwälte, die sich um die BizCo-Übernahme kümmern. Würdest du sie bitte wie im Vertrag angegeben bis morgen vor 17 Uhr MEZ zahlen? Vielen Dank.

In diesem Beispiel kann es sich bei der beigefügten Rechnung um eine Kopie einer echten Rechnung dieser Anwaltskanzlei handeln, die einfach nur geändert wurde, um die Zahlung auf das Bankkonto des Betrügers zu leiten.

Damit Whaling-Nachrichten für die Zielperson authentisch erscheinen, können darin mehrere Social-Engineering-Taktiken angewendet werden, darunter:

• Gefälschte E-Mail-Domains. Wenn Angreifer das E-Mail-Konto des Absenders nicht hacken können, erstellen sie ähnliche E-Mail-Domains (bill.smith@cornpany.com für bill.smith@company.com). Whaling-E-Mails können auch kopierte E-Mail-Signaturen, Datenschutzerklärungen und andere visuelle Elemente enthalten, die sie auf den ersten Blick authentisch erscheinen lassen.
  
  
• Ein Gefühl der Dringlichkeit. Zeitdruck – durch Hinweise auf kritische Fristen oder Säumniszuschläge – kann die Zielperson dazu bringen, schnell zu handeln, ohne die Anfrage sorgfältig zu prüfen.
  
  
• Bestehen auf Vertraulichkeit. Whaling-Nachrichten enthalten oft Anweisungen wie „Bitte behalten Sie dies vorerst für sich“, um zu verhindern, dass die Zielperson mit anderen darüber spricht, die die Forderung in Frage stellen könnten.
  
  
• Voice-Phishing (Vishing). Immer häufiger enthalten Phishing-Nachrichten Telefonnummern, die die Zielperson anrufen kann, um die Authentizität der Forderung zu prüfen. Alternativ können Betrüger im Anschluss an eine Phishing-E-Mail eine Sprachnachricht für die Zielperson hinterlassen, in der eine KI-basierte Imitation der Stimme des angeblichen Absenders verwendet wird.