Whaling ist eine besonders gefährliche Form des Phishings, das meist auf führende Mitarbeiter in Unternehmen abzielt. Es ist zwar deutlich weniger häufig als allgemeine Phishing-Attacken, dafür aber umso gefährlicher, da ein Betrüger viel Zeit auf die Vorbereitung eines solchen Angriffs aufwendet und ihn auf sein ausgewähltes Opfer genau abstimmt.
Aus diesem Grund ist es wichtig zu wissen, um was es sich bei Whaling handelt, wie du es erkennen und dich dagegen schützen kannst. Im Folgenden erfährst du alles Wichtige, was du über Whaling wissen musst.
Inhaltsverzeichnis
Was ist ein Whaling-Angriff?
Whaling-Angriffe sind eine Form von Phishing-Angriffen, die es auf führende Mitarbeiter eines Unternehmens abgesehen haben. Whaling ist wiederum eine Variante des Spear Phishing, nur dass der Angriff ausschließlich auf die höhere Management-Ebene abzielt; Ziel sind die “Wale” des Unternehmens, daher die englischsprachige Bezeichnung “Whaling”.
Ein Whaling-Angriff erfordert deutlich mehr Vorbereitung für einen Cyberkriminellen, da er vorab zahlreiche Infos über sein Opfer recherchieren muss, um eine Nachricht passgenau zu verfassen. Für die Informationsbeschaffung nutzt er verschiedene Kanäle wie Webseiten des Unternehmens oder Profile in den sozialen Medien eines Mitarbeiters.
Was ist der Zweck von Whaling-Angriffen?
Hacker fälschen E-Mails und Websites, um an sensible und finanzielle Informationen ihrer Opfer zu gelangen. Normalerweise sind Phishing-E-Mails eher allgemein gehalten und werden in Massen verschickt, in der Hoffnung, dass ein Empfänger auf die Betrugsmasche hereinfällt.
Bei Whaling ist das anders: Der Absender weiß genau, wen seine Nachricht erreicht. Und bei einer E-Mail, die vermeintlich von einer Führungskraft des Unternehmens stammt, sind Mitarbeiter eher dazu geneigt, eine bestimmte Handlung durchzuführen, als bei einer allgemein gehaltenen Phishing-Mail. Der Kriminelle könnte diese Form eines Spear-Phishing-Angriffs also dazu nutzen, dass ein Mitarbeiter zum Beispiel eine hohe Geldsumme an ein Konto überweist.
Wie funktioniert ein Whaling-Angriff?
Hat der Angreifer seine Vorbereitungen abgeschlossen und genug Informationen über den Mitarbeiter eines Unternehmens gesammelt, verfasst er seine E-Mail und versendet sie an sein Opfer.
Dafür verwendet er Techniken wie E-Mail-Spoofing – dafür wird die E-Mail-Kopfzeile gefälscht. Das bedeutet, als Absendername sieht der Empfänger zum Beispiel den Namen seines CEOs, auch wenn sich hinter dem Namen eine andere E-Mail-Adresse verbirgt.
Oder der Betrüger erstellt eine E-Mail-Domain, die der des legitimen Absenders zum Verwechseln ähnlich sieht, zum Beispiel statt max.mustermann@unternehmen.de nutzt er die Domain max.mustermann2@unternehmen.de. Da die wenigsten sich im Arbeitsalltag die Mühe machen, eine Adresse genau zu prüfen, kann schnell der Eindruck entstehen, es handele sich tatsächlich um den Vorgesetzten als Absender.
Wie bereits erwähnt, sammelt der Angreifer dafür gezielt Informationen über den Absender, den er imitieren möchte. Doch Infos allein reichen nicht aus: er muss ebenso den Tonfall und Stil der Person treffen, da ansonsten seine Tarnung schnell auffliegen kann. Stell dir vor, der legitime Absender schreibt sehr präzise und fehlerfrei, die Nachricht des Betrügers ist jedoch voller Rechtschreibfehler und Ungenauigkeiten. Jemand, der regelmäßig im schriftlichen Austausch mit dem Vorgesetzten steht, würde sofort Verdacht schöpfen.
Der Inhalt gefälschter E-Mails täuscht wiederum eine Dringlichkeit vor, um den Empfänger möglichst schnell zu der gewünschten Handlung zu drängen – denn der Angreifer bereitet sich nicht so gut vor, nur um dann eine sehr allgemein gehaltene Nachricht zu versenden, dessen Bearbeitung der Empfänger auf den nächsten Tag verlegt, weil er die Dringlichkeit nicht erkennt.
Beispielsweise könnte der Inhalt der E-Mail lauten, dass der betreffende Mitarbeiter, schnellstmöglich eine hohe Geldsumme an ein Partnerunternehmen überweisen soll, da sonst eine weitere Zusammenarbeit bedroht ist. Der Mitarbeiter muss über die notwendige Stellung und Autorität innerhalb des Unternehmens verfügen. Darf er selbst keine Überweisungen tätigen, sondern muss die Bitte erst an andere Kollegen weiterleiten, kann der Betrug auffliegen.
Beispiele für Whaling und Warnzeichen
Beispiele von Whaling-Angriffen gegen deutsche Unternehmen
CEO-Betrug bei der Leoni AG (2016)
Im Jahr 2016 wurde die Leoni AG Opfer von Whaling. Die Betrüger gaben sich als leitende Angestellte aus und schickten sehr überzeugende E-Mails an die Finanzabteilung von Leoni, in denen sie sie anwiesen, etwa 40 Millionen Euro auf ein Bankkonto im Ausland zu überweisen. Die E-Mails wurden mit detaillierten Kenntnissen der internen Unternehmensabläufe verfasst, so dass der Betrug nur schwer zu erkennen war.
Whaling-Angriff gegen Rheinmetall AG (2019)
Die Rheinmetall AG wurde 2019 Ziel eines ausgeklügelten Phishing-Angriffs. Führungskräfte erhielten E-Mails, die den Anschein erweckten, von vertrauenswürdigen Geschäftspartnern oder internen Quellen zu stammen, und sie aufforderten, sensible Informationen preiszugeben oder große finanzielle Transaktionen zu genehmigen. Die Angreifer nutzten Social-Engineering-Techniken, um Hintergrundinformationen zu sammeln und ihre betrügerischen Anfragen legitim erscheinen zu lassen.
Warnzeichen, die auf einen Whaling-Phishing-Angriff hindeuten
Folgende Warnzeichen können darauf hindeuten, dass es sich bei einer E-Mail um einen Whaling-Angriff handelt:
- Die Nachricht enthält eine ungewohnt hohe Dringlichkeit, die du ansonsten vom Absender nicht gewöhnt bist;
- Der Absender hat eine ungewöhnliche Bitte, die normalerweise nicht mit einer simplen E-Mail versendet wird, wie die Überweisung einer hohen Geldsumme oder die Preisgabe sensibler Informationen;
- In der E-Mail befinden sich Anhänge, die auf den ersten Blick verdächtig erscheinen, weil sie beispielsweise eine ungewöhnliche Bezeichnung tragen, die nicht mit dem Inhalt der Nachricht übereinstimmen. Ebenfalls verdächtig ist eine ausführbare Datei, das bedeutet eine Datei, die beim Öffnen ein Computerprogramm ausführt.
- Der Absender umgeht einen gewohnten Verifizierungsprozess, also eine Bestätigung Dritter innerhalb eines normalen Verfahrensprozesses.
Wie schütze ich mich vor Whaling-Angriffen?
Wenn du selbst eine höhere Position in einem Unternehmen einnimmst, musst du jederzeit damit rechnen, Opfer von solch einem Whaling-Phishing-Angriff zu werden. Deshalb gilt es, stets eine gesunde Form von Skepsis zu bewahren und notwendige Vorsichtsmaßnahmen zu treffen. Erfahre, wie du davor schützen kannst, Opfer eines Whaling-Angriffs zu werden.
Prüfe E-Mails auf Unstimmigkeiten
Prüfe vor allem E-Mails, die von Vorgesetzten stammen und deren Inhalt eine Dringlichkeit erhalten, auf Unstimmigkeiten. Stimmt die E-Mail-Adresse mit dem legitimen Absender überein? Denk daran, mit der Maus auch über den Absendernamen zu fahren, um zu sehen, welche tatsächliche E-Mail-Adresse sich dahinter verbirgt. Wie du bereits erfahren hast, können Betrüger den Namen per E-Mail-Spoofing fälschen.
Ebenso kann der Inhalt der E-Mails solcher Phishing-Angriffe Aufschluss über einen möglichen Betrugsversuch geben. Enthält die E-Mail besonders viele Rechtschreib- und Grammatikfehler? Ist der Schreibstil jener, den du von dem eigentlichen Absender gewöhnt bist?
Regelmäßige Schulungen für Mitarbeiter
Whaling ist besonders für Unternehmen eine akute Cyberbedrohung. Daher sollten regelmäßige Schulungen für Mitarbeiter stattfinden, um die Mitarbeiter für Whaling-Angriffe und andere Cyberbedrohungen zu sensibilisieren. Auf diese Weise erhöht sich die Chance, dass diese Phishing-Angriffe frühzeitig erkennen, bevor es zu einem Schaden kommen kann.
Wichtig in diesem Zusammenhang ist, dass die Schulungen nicht nur einmal, sondern regelmäßig stattfinden, weil Cyberbedrohungen im stetigen Wandel sind, nicht zuletzt durch die rasante Entwicklung von künstlicher Intelligenz, die Betrugsversuche durch Phishing immer überzeugender gestalten.
Preisgabe von Informationen begrenzen
Mitarbeiter sollten darum gebeten werden, unter keinen Umständen sensiblen Informationen über das Unternehmen online preiszugeben. Das betrifft besondere soziale Medien, die von Nutzern nicht immer genügend vor Unbekannten abgeschirmt werden und anfällig für Datenleaks sind. Für diesen Zweck ist eine Vertraulichkeitsvereinbarung sinnvoll, vor allem für Mitarbeiter, die mit sensiblen Daten arbeiten oder in vertrauliche Unternehmensprozesse eingeweiht sind.
Regelmäßige Updates
Updates von Betriebssystemen und Software schließen bekannte Sicherheitslücken, die Hacker für Cyberattacken ausnutzen können. Ein Unternehmen sollte dafür Sorge tragen, dass die Geräte der Mitarbeiter stets mit Aktualisierungen versorgt werden; diese Verantwortung darf nicht allein bei den Angestellten liegen.
Implementierung einer 2FA
Konten sollten mit einer Zwei-Faktor-Authentifizierung (2FA) gesichert werden. Das bedeutet, dass für einen Zugriff auf ein Konto neben den Logindaten ein zusätzlicher Code notwendig ist, der zum Beispiel innerhalb einer App generiert wird. Das verhindert, dass selbst wenn ein Angreifer Logindaten durch Whaling erbeuten kann, er auf ein Konto ohne den Code nicht zugreifen kann.
Alternative ID und Schutz persönlicher Informationen
Ein durchschnittlicher Online-Nutzer besitzt heutzutage dutzende Konten im Internet. Doch bei manchen Webseiten und Diensten kann Zweifel bestehen, wie der Betreiber mit den persönlichen Daten umgeht, die ein Nutzer dort hinterlegt. Generell sollte jeder vorsichtig sein, wo und ob er seine Informationen hinterlegt.
Surfshark hat die Funktion Alternative ID geschaffen. Hierbei hat der Nutzer die Möglichkeit, eine alternative Online-Identität zu erschaffen und seine wahre Identität zu verschleiern. Er entscheidet, welche Informationen er von sich preisgeben möchte. E-Mails werden an eine temporäre E-Mail-Adresse versendet und erst dann an die wahre Adresse weitergeleitet, ohne dass diese legitime Adresse für andere sichtbar ist. Stellt sich im Nachhinein heraus, dass die Webseite oder der Dienst unseriös ist, lässt sich die alternative Identität mit wenigen Klicks löschen, beziehungsweise zerstört sie sich auf Wunsch nach einer gewissen Zeit selbst.
FAQs
Wie häufig ist Whaling?
Whaling ist seltener als andere Arten von Phishing-Angriffen, da deutlich mehr Vorbereitungszeit vonnöten ist und nur ein einzelnes Opfer vom Betrüger als Ziel ausgewählt wird. Doch diese Tatsache macht Whaling gleichzeitig deutlich gefährlicher, weil der Betrug schwerer zu durchschauen ist.
Was ist der Unterschied zwischen Whaling und Phishing?
Phishing ist der Oberbegriff für verschiedene Attacken, die auf den Diebstahl von Daten und/oder der finanziellen Bereicherung abzielen. Neben dem allgemeinen Phishing gibt es unter anderem noch Smishing (Betrug per SMS), Spear Phishing und Whaling. Whaling zielt nur auf eine oder wenige Personen ab, während allgemeine Phishing-Attacken auf unzählige Nutzer abzielen.
