Whaling
Author
Robin Laufenburg, Mo, 30. Mai. 2022
in IT-Sicherheit

Whaling

Führungskräfte und Selbstständige im Visier von Kriminellen

Was ist Whaling und was unterscheidet diese Art des Phishing-Angriffs vom Spear-Phishing und CEO-Betrug? Was bezwecken die Kriminellen mit Whaling und wo kommt der Name her? Auf wen zielt Whaling ab und wie schützen Sie sich davor?

Diese und weitere Fragen beantworten wir Ihnen hier!

Was ist Whaling?

Der Begriff „Whaling“ kommt aus dem Englischen und bedeutet erst einmal in etwa so viel wie Walfang. Gemeint ist mit dem „Fangen von großen Fischen“ eine Sonderform des Phishing-Betrugs, bei der einflussreiche Personen wie CEOs im Fokus stehen. Phishing gehört zu den häufigsten Angriffsarten im Internet.

Wie alle weiteren Formen des Phishings setzt auch der Walfang auf Social Engineering. Beim Social Engineering bzw. Social Hacking hacken Kriminelle keine IT-Systeme, sondern nutzen durch gezielte Manipulation zwischenmenschliche Einflussnahme zu ihren Gunsten aus. Für viele Cyberkriminelle gilt das Whaling dabei als Art Königsdisziplin des Phishings. Meistens gehört eine langwierige Vorbereitung zum Walfang. Im Rahmen von personalisiert entworfenen Szenarien erstellen Kriminelle unter anderem maßgeschneiderte E-Mails und Websites.

Wer sind die Wale?

Anders als beim Spear-Phishing steht beim Whaling nicht jede Person oder Personengruppe im Fadenkreuz der Cyberkriminellen. Whaling richtet sich gezielt an Firmen und dabei ausschließlich gegen Selbstständige, Personen in C-Level-Positionen (CEO, CFO und andere hochrangige Führungskräfte), einflussreiche Personen des öffentlichen Interesses. Beliebte Opfer von Walfang-Angriffen sind neben Personen der Führungsetage auch führende Mitarbeitende in der Finanzabteilung, die für Überweisungen zuständig sind.

Walfang-Angriffe zielen aber, anders als sich vielleicht vermuten lässt, nicht nur auf Großkonzerne ab. Ganz im Gegenteil: Firmen aller Branchen und Größen können Opfer der speziellen Phishing-Methode werden. Da Selbstständige, Firmenchefs und hochrangige Führungskräfte stets über weitreichende Befugnisse und Zugriffe auf streng vertrauliche Informationen verfügen, sind sie ein attraktives Ziel für Kriminelle.

Whaling-Angriffe

Bei Whaling-Angriffen kommen andere Werkzeuge und Methoden als beim gewöhnlichen Phishing zum Einsatz. Bild: Unsplash/@photoholgic

Ziele von Whaling

Erfolgreiche Whaling-Angriffe verhelfen Kriminellen oft zu sensiblen Informationen – beispielsweise über Geschäftsprozesse, Kundeninformationen oder Zugangsdaten. Die Informationen verkaufen sie, nutzen Sie für Erpressungen und/oder veröffentlichen Sie im Darknet.

Durch Whaling gelangen Kriminelle aber auch an erhebliche Geldsummen. Besonders häufig kommt die Phishing-Art dabei als Überweisungsbetrug zum Einsatz. Angreifer können sich dabei mithilfe von komprimierten E-Mails als Geschäftsführer oder Mitarbeiter der Finanzabteilung eines Geschäftspartners ausgeben und um dringenden Geldtransfer bitten, mit dem beispielsweise eine Lieferung bezahlt oder eine Firmenübernahme abgeschlossen werden soll.

Whaling funktioniert in der Regel mithilfe von Scamming, also Betrug, der durch Vertrauensvorschuss ermöglicht wird. Unter anderem geben sich Angreifer beim Whaling als angesehene Geschäftspartner oder wohlhabende Käufer aus.

Möglicher Bestandteil von CEO-Betrug

Geben sich Angreifer selbst als C-Level-Manager aus, spricht man von CEO-Betrug oder CEO-Fraud. Beim CEO-Betrug sind in der Regel, anders als beim Whaling, in der Regel nicht hochrangige Führungskräfte Ziel des Angriffs, sondern einfache Mitarbeiter des Unternehmens. Sowohl beim CEO-Betrug als auch beim Whaling setzen Kriminelle häufig Business Email Compromise (BEC) ein. Hierbei handelt es sich um einen Spear-Phishing-Angriff, mit dem Kriminelle via E-Mail zielgerichtet gegen Unternehmen vorgehen.

Nachweislich setzen Kriminelle Whaling insbesondere dafür ein, um in Form eines BEC-Angriffs an vertrauliche Informationen aus der Führungsetage zu kommen, die man nicht im öffentlichen Internet finden kann. Haben sie die notwendigen Informationen – wie Personen-, Firmen-, Marken- und Produktdaten – erst einmal erlangt, starten Sie im nächsten Schritt einen weiteren BEC-Angriff. Mit diesem geben sie sich oft selbst als der CEO (Chief Executive Officer, zu deutsch Geschäftsführer) aus, dem sie die Informationen entlockt haben. Whaling kann auf diesem Weg zentraler Bestandteil eines größer angelegten CEO-Betrugs sein.

Whaling in Unternehmen

Whaling kann jedes Unternehmen treffen. Deswegen sollten sich alle Führungskräfte und Selbstständigen umfangreich schützen! Bild: Unsplash/@amyhirschi

Wie schützen Sie sich vor Whaling?

Da Kriminelle einen der „dicksten Fische“ im Unternehmen angeln möchten, nehmen sie sich in der Regel entsprechend viel Zeit und Sorgfalt für die Vorbereitung der Whaling-Attacke. Das Ergebnis: Nahezu unerkennbar gut gefälschte E-Mails, hochgradig seriöse Internetseiten und überzeugend echt wirkende Online-Profile.

Wenn der Fisch erst einmal anbeißt, winken unter Umständen ordentliche Geldsummen und wertvolle Informationen. Deswegen sollten Sie als Unternehmer, Selbstständiger oder andere Person des öffentlichen Lebens sorgsam agieren und sich vor Whaling ideal schützen:

  1. Sensibilisieren Sie sich und andere Führungspersonen durch Security-Awareness-Trainings.
  2. Führen Sie mehrstufige Verifizierungsprozesse ein.
  3. Achten Sie auf erhöhte Social-Media-Sicherheit, sowohl privat als auch geschäftlich.
  4. Vermeiden Sie gefährliche Dateiendungen.
  5. Setzen Sie Ihren Datenschutz zielgerecht um.
  6. Schützen Sie sich vor Bankingtrojanern, Spyware & Co. und setzen Sie auf professionelle Antivirenlösungen.
  7. Nutzen Sie professionelle und professionell konfigurierte E-Mail-Konten für Firmen.

Wenn Sie Unterstützung dabei benötigen, Ihre IT vor Whaling, Phishing und anderen Gefahren zu schützen, ist PC-SPEZIALIST in Ihrer Nähe der geeignete Ansprechpartner. Mit unseren Services für Firmen wie dem IT-Basisschutz bieten wir Ihnen die bestmöglichen IT-Sicherheit. Lassen Sie sich jetzt beraten!
_______________________________________________

Verwendete Quellen: Gabler Wirtschaftslexikon, Bechtle, MYRA Security, VARONIS, it-daily

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.