Ein Whaling-Angriff, auch bekannt als Whaling-Phishing, gehört zu jener Sorte von Cyberattacken, die auf die obere Führungsebene eines KMU abzielt. Dabei wird versucht, etwa vom Geschäftsführer oder dem Finanzchef sensible Informationen aus dem Unternehmen zu erhalten oder die Opfer so zu manipulieren, dass sie Überweisungen an die Angreifer freigeben.
Der Begriff «Whaling» leitet sich vom englischen Ausdruck Whale (deutsch: Walfisch) ab. Dies, weil die Cyberkriminellen mit ihrer Attacke einen «grossen Fisch», also jemand aus der Unternehmensleitung angreifen. Ziel ist es, die Opfer einer Whaling-Attacke aufgrund ihrer Entscheidungs- und Informationsautorität zu Handlungen zugunsten der Angreifer zu bewegen. Aufgrund ihrer zielgerichteten Vorgehensweise sind Whaling-Angriffe oft schwieriger zu erkennen und zu verhindern als normale Phishing-Angriffe. Whaling ist eine besondere Kategorie eines Phishing-Angriffs.
Wie Whaling-Attacken funktionieren
Das Ziel von Whaling-Phishing ist es, eine Führungsperson durch Social Engineering oder Spoofing dazu zu bringen, persönliche Daten oder Unternehmensdaten preiszugeben. So senden die Angreifer dem Opfer beispielsweise eine E-Mail, die scheinbar von einer vertrauenswürdigen Quelle stammt. Ausgeklügelte Whaling-Kampagnen enthalten zudem eine speziell für den Angriff erstellte bösartige Website, die eine dem Opfer bekannte Organisation oder Unternehmung nahezu perfekt imitiert.
Whaling-E-Mails und -Websites sind stark personalisiert. So enthalten sie oft den Namen der Zielperson, ihre Berufsbezeichnung und andere relevante Informationen, die ein Angreifer im Voraus aus einer Vielzahl von Quellen gesammelt und zusammengefügt hat. Dieser hohe Individualisierungsgrad macht es äusserst schwierig, einen Whaling-Angriff von einem echten E-Mail oder einer authentischen Website zu unterscheiden.
Bei Whaling-Attacken versenden die Angreifer Hyperlinks oder Anhänge. Dabei motivieren sie ihre Opfer glaubhaft, darauf zu klicken, um die Unternehmens-IT mit Malware zu infizieren oder um vertrauliche Informationen abzufragen. Dies geht so weit, dass sie ihre hochrangigen Opfer wie Geschäftsführer oder andere Führungskräfte im Unternehmen auch dazu bringen, Überweisungen zu veranlassen oder zu genehmigen. In anderen Fällen gibt sich der Angreifer selbst als Geschäftsführer aus, um Mitarbeitende davon zu überzeugen, eine Finanztransaktion auszuführen.
5 Tipps zum Schutz vor Whaling-Attacken
Weil sich bei solchen Whaling-Attacken potenziell hohe Gewinne erzielen lassen, sind die Angreifer bereit, Zeit und finanzielle Mittel in ihre Konstruktion zu investieren, um ihre Opfer mit einem glaubhaften E-Mail- oder Website-Auftritt zu täuschen. Oft sammeln sie die Informationen über Ihr Opfer auch aus den verschiedenen Social-Media-Konten der Zielperson (Facebook, Twitter, Linkedin etc), um damit den Whaling-Angriff plausibler erscheinen zu lassen. Umso mehr ist eine erhöhte Aufmerksamkeit notwendig. Für die erfolgreiche Abwehr von Whaling-Attacken ist die Umsetzung der folgenden 5 Tipps entscheidend:
1. Sensibilisierung der Mitarbeitenden auf Whaling
Die Mitarbeitenden als häufigste Nutzer der unternehmensweiten IT gilt es mit geeigneten Massnahmen für die Risiken von Whaling zu sensibilisieren und ihnen klare Handlungsanweisungen zu vermitteln. Die Mitarbeitenden sind dazu regelmässig zu schulen. Dabei ist es wichtig nicht nur die Führungskräfte sondern sämtliche Mitarbeitende miteinzubeziehen und sie über die Arten von Whaling-Angriffen und deren Erkennung zu schulen. Obwohl vor allem hochrangige Führungskräfte die Zielpersonen solcher Attacken sind, können Mitarbeitende auf niedrigerer Ebene durch eine Sicherheitslücke eine Führungsperson indirekt einem Angriff aussetzen, etwa indem ein Angreifer Informationen zu einzelnen Geschäftsleitungsmitgliedern abfragt. Den Mitarbeitenden muss bewusst sein, auf welche Social-Engineering-Taktiken sie achten müssen.
2. Mehrstufige Verifizierung (Mehraugenprinzip) anwenden
Anträge für finanzielle Transaktionen oder für den Zugriff auf vertrauliche oder sensible Daten sollten mehrere Verifizierungsstufen (Mehraugenprinzip) durchlaufen, bevor sie jemand freigeben kann. Dies soll auch für die oberste Führungsebene gelten.
3. Datensicherheitsrichtlinien einführen und umsetzen
Datensicherheitsrichtlinien haben das Ziel, eine mehrstufige Verteidigung gegen Whaling-Attacken und Phishing im Allgemeinen zu gewährleisten. Eine solche Richtlinie beinhaltet etwa die Überwachung von E-Mails auf Anzeichen von Phishing-Angriffen und die automatische Blockierung solcher E-Mails bevor sie die potenziellen Opfer erreichen. Diese Richtlinien gelten einerseits für sämtliche Nutzenden der IT und andererseits für die entsprechende Konfiguration von technischen Schutzmassnahmen wie Firewalls.
4. Aufklärung über die Risiken sozialer Medien
In sozialen Medien sind eine Fülle von Informationen auffindbar, die Cyberkriminelle nutzen können, um Whaling-Phishing erfolgreich durchzuführen. Besonders Geschäftsführer und CEO sind in den sozialen Medien oft so stark exponiert, dass Cyberkriminelle ihre Verhaltensweisen nachahmen und für einen Angriff ausnutzen können. Deswegen sollen die Mitglieder der obersten Führungsebene die Risiken von Social Media für einen Whaling-Angriffs kennen und in entsprechenden Schulungen vermittelt bekommen. So lässt sich etwa der Zugriff auf ihre Social-Media-Informationen limitieren, indem sie Datenschutzbeschränkungen für ihre persönlichen Social-Media-Konten festlegen.
5. Einsatz von Anti-Phishing-Software und Managed IT Services
Verschiedene Anbieter bieten Anti-Phishing-Software, um Whaling und andere Phishing-Angriffe zu verhindern. Social-Engineering-Taktiken als wichtiger Teil des Whaling-Attacken nutzen allerdings menschliche Fehler aus. Diese lassen sich mit den erwähnten Sensibilisierungsschulungen für Geschäftsführung und Mitarbeitende verhindern – dazu lohnt sich der Beizug eines auf IT-Sicherheit spezialisierten Unternehmens wie etwa ein Anbieter von Managed IT Services.