Mit „Whaling“ oder auch „Whale-Phishing“ sind Phishing-Angriffe gemeint, die speziell auf hochrangige Opfer abzielen. Whaling-Angriffe beinhalten einen hohen Anteil an Personalisierung.
Nach Lektüre dieses Artikels können Sie Folgendes:
Link zum Artikel kopieren
Whaling oder Whaling-Phishing ist eine Art von Angriff, der auf hochrangige Führungskräfte abzielt, in der Regel über digitale Kanäle wie E-Mail, Textnachricht oder Instant Message. Whaling ist eine Form des Spear-Phishing und hochgradig personalisiert. Es erfordert in der Regel einen erheblichen Rechercheaufwand seitens des Betrügers. Bei einem Whale-Phishing-Angriff geht es um Daten, Zugang oder Geld. Da Whaling auf Mitglieder der C-Suite oder andere leitende Angestellte abzielt, sind die Betrüger in der Regel auf extrem sensible Daten, hohe Zugriffsberechtigungen oder große Geldbeträge aus.
Wie andere Arten von Phishing beinhaltet auch das Whaling Social Engineering, um die Zielperson zu einem schnellen Handeln zu bewegen. Die Betrüger verwenden eine Reihe von Techniken, um ihre wahren Identitäten zu verschleiern, vom Domain-Spoofing bis zum Identitätsdiebstahl.
Whaling-Angriffe sind zwar teuer und zeitaufwändig (für den Angreifer) und daher seltener, aber sie können für ein Unternehmen enorme negative Auswirkungen haben. Unternehmen müssen sich zusätzlich zu ihren typischen Phishing-Abwehrmaßnahmen gegen Whaling schützen, da dabei Taktiken eingesetzt werden, die die gewöhnlichen Sicherheitsmaßnahmen umgehen können.
Betrüger scheuen oft keinen Aufwand, um ihre Whaling-Kampagnen sorgfältig zu inszenieren. Aus ihrer Sicht lohnen sich Whaling-Angriffe, da sie auf eine hohe Auszahlung abzielen. Zu den wichtigsten eingesetzten Taktiken zählen:
Einbeziehung persönlicher Details, um Legitimität zu verleihen: Eine Personalisierung trägt dazu bei, dass die Nachricht authentisch wirkt. Informationen über den Arbeitsplatz oder das Privatleben des beabsichtigten Opfers können aus verschiedenen Quellen stammen.
Den Druck erhöhen: Whaling-Nachrichten können das Ziel dazu verleiten, sofort zu handeln, bevor eine negative Konsequenz eintritt. Um zusätzliche Dringlichkeit zu erzeugen, beziehen sich Whaling-Angriffe häufig auf wichtige oder öffentlichkeitswirksame Ereignisse wie Unternehmensfusionen, rechtliche Untersuchungen, bedeutende Finanztransaktionen oder Datenpannen.
Sich als vertrauenswürdige Person ausgeben: Betrüger verwenden Domain-Spoofing, gefälschte Instant-Messaging-Namen oder sogar SIM-Swapping-Telefonnummern, um sich als jemand auszugeben, den die Zielperson kennt. Sie können den Schreibstil der vertrauenswürdigen Person imitieren oder Deepfakes verwenden, um deren Stimme oder Aussehen nachzuahmen. Whaling-Angreifer können sogar das echte Konto der vertrauenswürdigen Person verwenden, wenn sie es in einer früheren Kampagne zur Kontoübernahme kompromittiert haben. Eine gängige Version dieser Taktik besteht darin, dass sich der Betrüger als CEO ausgibt und Personalverantwortliche oder hochrangige Mitglieder der Finanzabteilung kontaktiert.
Mehrere Interaktionen, nicht nur eine einzige E-Mail wie bei einem Phishing-Angriff. Der Betrüger versucht möglicherweise, das Vertrauen des beabsichtigten Opfers über einen Zeitraum von Wochen oder Monaten zu gewinnen. Beispielsweise könnte ein Betrüger, der vorgibt, der CEO der Acme Corp. zu sein, E-Mails an den Personalleiter von Acme Corp. von einer E-Mail-Adresse aus senden, die sich geringfügig von der E-Mail-Adresse des echten CEOs unterscheidet, jedoch legitime Nachrichten enthält, so dass sich der Personalleiter daran gewöhnt, auf solche E-Mails zu antworten. Sobald das Vertrauen gewonnen ist, stellen sie ihre böswillige Anfrage.
Einfügen einer Nachricht als Teil einer laufenden Unterhaltung oder Transaktion: Einen Schritt über die Nachahmung hinaus können Angreifer Nachrichten als Teil bereits bestehender Threads versenden. Das ist schwer zu bewerkstelligen, aber frühere erfolgreiche Kontoübernahmeangriffe können dies ermöglichen.
Betrügern stehen eine Reihe von Kanälen zur Verfügung, um an die Informationen zu gelangen, die sie zur Personalisierung ihrer Nachrichten benötigen.
Whaling-Angriffe weisen einige Gemeinsamkeiten mit BEC (Business Email Compromise)-Angriffen auf. Wie BEC-Angriffe beruhen auch Whaling-Angriffe stark auf Social Engineering und nicht auf Schadsoftware oder bösartigen Links, sodass sie eher durch die E-Mail-Sicherheitsfilter schlüpfen. BEC-Angriffe können sich jedoch gegen Mitglieder der niedrigen oder mittleren Ebene eines Unternehmens richten, während Whaling-Attacken ausschließlich auf die Führungsetage oder andere hochrangige, prominente Persönlichkeiten abzielen. Da die Angreifer eine höhere Auszahlung erwarten, können Whaling-Angriffe noch komplexer aufgebaut sein als typische BEC-Kampagnen, und die Angreifer können sehr hartnäckig sein.
Whaling kann auch über andere Kanäle als E-Mail stattfinden. Tatsächlich sind Multi-Channel-Angriffe bei allen Arten von Phishing immer häufiger geworden.
Angreifer, die genügend Ressourcen und Zeit in die Durchführung eines Whaling-Angriffs investieren, werden wahrscheinlich sicherstellen, dass ihre E-Mails grundlegende Sicherheitsprüfungen wie DMARC, DKIM und SPF bestehen. Das ist natürlich nicht immer der Fall und es lohnt sich, diese Sicherheitsüberprüfungen durchzuführen, aber man sollte sich nicht ausschließlich auf sie verlassen. Whale-Phishing-Angriffe können auch herkömmliche sichere E-Mail-Gateways umgehen, da sie in der Regel keine bösartigen Links oder Anhänge enthalten und Angreifer möglicherweise darauf achten, sie nicht von bekannten schlechten IP-Adressen zu versenden.
Aus diesen Gründen sind E-Mail-Sicherheitsfilter, die die Reputation des Absenders, die Nachrichtenstimmung und den Gesprächskontext sowie andere Merkmale analysieren, zur Erkennung potenzieller Whaling-Angriffe (wie bei der BEC-Prävention) unerlässlich. Ungewöhnliche Anfragen oder Nachrichten können als verdächtig gekennzeichnet und untersucht oder blockiert werden.
Schließlich sollten alle Mitarbeitenden, Auftragnehmer und Führungskräfte innerhalb einer Organisation regelmäßig darin geschult werden, wie man potenzielle Phishing-Kampagnen erkennt und sich mit dem angeblichen Absender einer E-Mail oder einer Nachricht über einen anderen vertrauenswürdigen Kanal in Verbindung setzt, bevor man größere Transaktionen durchführt.
Erfahren Sie, wie Cloudflare Email Security Whaling- und BEC-Angriffe stoppt, bevor sie stattfinden.
Whaling, auch als Whale-Phishing bekannt, ist ein spezialisierter digitaler Angriff, der sich gezielt gegen Führungskräfte auf höchster Ebene und Mitglieder der Geschäftsleitung richtet. Im Gegensatz zu breit angelegten Phishing-Versuchen sind diese Angriffe stark personalisiert und beinhalten umfangreiche Recherchen, um Personen mit erheblicher Entscheidungsbefugnis oder weitreichendem Zugriff gezielt anzugreifen.
Obwohl beide Methoden auf Social Engineering beruhen, richtet sich Whaling gezielt gegen prominente, hochrangige Persönlichkeiten innerhalb einer Organisation. Da die potenziellen Gewinne höher sind, sind Whaling-Kampagnen häufig hartnäckiger und ausgefeilter konzipiert als typische BEC-Angriffe, die Mitarbeitende auf jeder Ebene ins Visier nehmen können.
Betrüger führen Whaling-Kampagnen durch, um große Summen zu erhalten, sich Zugang zu sicheren Systemen zu verschaffen oder hochsensible Unternehmensdaten zu stehlen.
Angreifer können über Wochen oder Monate hinweg mit einem Ziel kommunizieren, um zunächst einen Eindruck von Legitimität zu erzeugen, bevor sie eine bösartige Anfrage stellen. Dabei nutzen sie häufig persönliche Details, ahmen den Schreibstil einer bestimmten Person nach oder greifen sogar auf Deepfakes und kompromittierte Konten zurück, um authentisch zu wirken.
Whaling-Nachrichten erhöhen häufig den Druck, indem sie ihre Anfragen mit kritischen Ereignissen wie rechtlichen Untersuchungen, Unternehmensfusionen oder Datenpannen verknüpfen. Dadurch wird die Führungskraft dazu gedrängt, sofort zu handeln, um eine vermeintlich negative Konsequenz zu vermeiden.