Social Engineering: Was ist “Whaling”?

“Whaling” (auf Deutsch “Walfang”) ist eine Form einer Phishing-Attacke, die auf hochrangige Führungskräfte abzielt. Indem sie sich als hochrangige Firmenmitarbeiter ausgeben, versuchen Cyberkriminelle, ihre Opfer zu falschen Handlungen zu verleiten. In der Regel versuchen sie, große Geldüberweisungen oder sensible Informationen zu erhalten oder Malware mit betrügerischen Links einzuschleusen. In den beiden letztgenannten Fällen könnte die Social Engineering-Variante Whaling längerfristige Folgen haben, da auf der Grundlage der gestohlenen Daten weitere Angriffe erfolgen können.

Was ist der Unterschied zwischen Phishing und Whaling?

Beide nutzen gefälschte Mitteilungen, um ihre Opfer dazu zu bringen, für den Cyberkriminellen günstige Maßnahmen zu ergreifen. Während Phishing-Betrügereien jedoch massenhaft versendet werden, zielt Whaling auf bestimmte Personen ab, die aufgrund ihres hohen Ranges in einer wichtigen Organisation als „Wale“ gelten.

So können Whaling-Attacken erkannt werden

Es kann schwierig sein, einen Whaling-Angriff zu erkennen. Cyberkriminelle geben sich große Mühe, diese Betrügereien bis ins kleinste Detail auszuarbeiten, da die Gewinne enorm sein können. Sie haben schon viele hochqualifizierte Mitarbeiter ausgetrickst und ihren Unternehmen erhebliche Verluste zugefügt. Um dies zu vermeiden, sollten Unternehmen mit sensiblen Informationen oder einem hohen finanziellen Nutzen ihre Mitarbeiter über Social-Engineering-Taktiken informieren.

Wie erkennt man eine Whaling-E-Mail?

Whaling-E-Mails können die folgenden Merkmale aufweisen:

  • Personalisierung: Die Whaling-E-Mail wird höchstwahrscheinlich personalisierte Informationen über die falsche Person, das Opfer oder die Organisation enthalten, um ein Gefühl der Vertrautheit zu schaffen.
  • Dringlichkeit: Die Vermittlung von Dringlichkeit kann das Opfer dazu bringen, zu handeln, bevor es an Sicherheitsmaßnahmen denkt. Angreifer können auch versuchen, die Opfer mit mächtigen Personas einzuschüchtern, die nur schwer zu übergehen sind, oder mit einer Bedrohung ihres Rufs.
  • Sprache: Geschäftssprache und Tonfall sind am besten geeignet, um das Opfer davon zu überzeugen, dass die E-Mail von einer hochrangigen Person gesendet wurde. Die Angreifer verwenden oft ein Szenario, in dem sie das Opfer auf der Grundlage einer gefälschten Drohung zu einer Aktion mit geringem Aufwand auffordern (z. B. zu einer schnellen Geldüberweisung an einen Lieferpartner). Möglicherweise betonen sie auch die Vertraulichkeit, um zu vermeiden, dass das Opfer von einer anderen Person über den Betrug informiert wird.
  • Legitime Signatur: Die Angreifer können eine glaubwürdige E-Mail-Adresse, Signatur und einen Link verwenden, der zu einer betrügerischen Website führt. Wir werden Ihnen weiter unten im Artikel zeigen, wie Sie diese erkennen können.
  • Dateien und Links: Cyberkriminelle können Anhänge oder Links verwenden, um Malware einzuschleusen oder sensible Informationen abzufragen. Wenn nichts passiert, wenn Sie auf einen Link klicken oder Informationen auf der Website eingeben, könnte dies einen versteckten Malware-Download auslösen.

Beispiele für Whaling-Attacken

  • Von ‚innerhalb‘ des Unternehmens

Im Jahr 2016 erhielt ein leitender Finanzmanager von Mattel eine betrügerische E-Mail von jemandem, der sich als der neue CEO ausgab. Die E-Mail enthielt eine reguläre Zahlungsaufforderung für einen neuen Lieferanten in China. Das Unternehmen fiel auf den Phishing-Betrug herein und verlor 3 Millionen Dollar, konnte sie aber nach einem mühsamen Kampf zurückerhalten.

  • Von einem Dritten

Mit dem folgenden E-Mail-Betrug wurden eine Handvoll Führungskräfte aus verschiedenen Branchen hereingelegt. Die Cyberkriminellen schickten eine gefälschte E-Mail vom US-Bezirksgericht mit einer Vorladung zum Erscheinen vor einer Grand Jury in einer Zivilsache. Die E-Mails enthielten den Namen, die Firma und die Telefonnummer der Führungskräfte und täuschten ihnen vor, es handele sich um eine offizielle Mitteilung. Als sie auf den Link für die Vorladung klickten, erhielten sie Malware.

  • Über Anrufe

Das britische National Cyber Security Centre (NCSC) bestätigt, dass einige Walfang-E-Mails durch Anrufe der Anrufer unterstützt wurden. Ein einfacher Trick wie dieser kann ihre Masche glaubhaft machen, doch es gibt Möglichkeiten, nicht darauf hereinzufallen.

Wie Sie sich vor einer Whaling-Attacke schützen

Neben dem Verlust von Geld oder Daten beeinträchtigen Whaling-Angriffe auch den Ruf des Opfers und seiner Organisation. Einige Unternehmen haben sich von Mitarbeitern getrennt, die auf Social-Engineering-Taktiken hereingefallen sind, wie z. B. FACC, das seinen CEO entlassen hat. Und leider gibt es laut HP eine jährliche Zunahme von Cybersecurity-Angriffen im Zusammenhang mit einer immer größeren Anzahl gezielt ausgewählter Opfern.

Um zu vermeiden, dass Sie zukünftig auch in dieser Opferstatistik auftauchen, empfehlen wir die folgenden Schritte und Maßnahmen:

1 – Seien Sie wachsam

Sie sollten wissen, dass es verschiedene Arten von Angriffen gibt und dass sie gut getarnt sein können. Wenn Sie eine bestimmte Anfrage erhalten, denken Sie daran:

Überprüfen Sie die E-Mail des Absenders, wenn sie von einem Kollegen stammt. Wenn sie von einer dritten Partei kommt, suchen Sie nach dem authentischen Absender.

  1. Überprüfen Sie die E-Mail des Absenders, wenn sie von einem Kollegen stammt. Wenn sie von einer dritten Partei kommt, suchen Sie nach dem authentischen Absender.
  2. Prüfen Sie, ob die Domain auf dem Link leicht von derjenigen abweicht, über die er zu umgehen versucht. Ist dies der Fall, handelt es sich um eine betrügerische Website. Wenn der Link in ein Wort oder ein Bild eingebettet ist, fahren Sie mit der Maus darüber. Sie sehen dann die Domain in der unteren rechten Ecke Ihres Browsers erscheinen.
  3. Überprüfen Sie das Alter der betrügerischen Website, um zu sehen, ob es mit dem der vertrauenswürdigen Website übereinstimmt. Wenn die betrügerische Domainjünger ist, sollte man ihr nicht vertrauen.
  4. Hinterfragen Sie die Gültigkeit der Anfrage nach Geld oder sensiblen Informationen.

Um Links vor dem Öffnen zu überprüfen, können Sie die folgenden Online Tools verwenden:

URL Redirect Checker: zeigt Ihnen den Pfad an, über den sie der Link leiten wird.

Website Screenshot Service: zeigt den Screenshot einer Seite an, wenn ein Link angegeben wird. Damit können Sie sich die Seite ansehen, bevor Sie darauf zugreifen.

Domain Age Checkers: fügen Sie einen verdächtigen Link und einen Link von der Originalseite ein, um zu sehen, ob ihr Alter übereinstimmt.

2 – Seien Sie sich der Macht der sozialen Medien bewusst

Alles, was online veröffentlicht wird, kann sich zu Ihren Ungunsten auswirken. Eine Walfang-E-Mail könnte mit Fotos, Namen, Daten und vielen anderen Details, die in sozialen Medien zu finden sind, personalisiert werden. Es ist auch üblich, Inhalte von Konferenzen oder Firmenveranstaltungen zu veröffentlichen, was bedeutet, dass Mitarbeiter nach der Teilnahme an diesen Veranstaltungen besonders auf Betrug achten sollten, da Betrüger wahrscheinlich auf sie verweisen werden.

Eine gute Praxis ist es, persönliche Social-Media-Konten als privat einzustellen. Dies bietet jedoch keinen vollständigen Schutz vor Inhalten, die über die öffentlichen Kanäle des Unternehmens (Newsletter, soziale Medien, Website usw.) veröffentlicht werden. Der nächste Tipp kann bei diesem Problem helfen.

3 – Führen Sie unternehmensweite Datenschutzregeln ein

Ein gemeinsames Verständnis darüber, welche Art von Informationen öffentlich zugänglich gemacht werden können, verhindert, dass Cyberangreifer sie nutzen. Durch die Einführung bewährter Verfahren für die Cybersicherheit in Ihrem Unternehmen kann auch das Verantwortungsbewusstsein und die Rechenschaftspflicht unter den Kollegen steigen, was vor erheblichen Schäden schützt.

Einige Datenschutzregeln, die in Unternehmen gewöhnlich zum Einsatz kommen, sind:

  • Kennzeichnen Sie E-Mails von Dritten: Das macht es einfacher, E-Mail-Betrüger zu erkennen, die vorgeben, Kollegen zu sein.
  • Überprüfen Sie Anfragen: Wenn Sie spezielle oder dringende Anfragen per E-Mail von einem Kollegen erhalten, ist es eine gute Idee, diese zu überprüfen. Ein persönliches Gespräch, eine Nachricht oder ein Anruf kann Ihnen die Gewissheit geben, dass es sich nicht um einen Betrug handelt.
  • Mehrstufige Überprüfung: Jede Anfrage nach einer Überweisung oder nach sensiblen Informationen sollte von verschiedenen Personen überprüft werden, bevor sie ausgeführt wird. So kann es beispielsweise eine einfache Lösung sein, jede Überweisung von hohen Beträgen von zwei Personen unterschreiben zu lassen. Dies senkt auch den Unsicherheitsfaktor, als einziger Mitarbeiter für solche Transaktionen verantwortlich zu sein, und verschafft mehr Klarheit bei wichtigen Entscheidungen.

4 – Anti-Phishing Tools und -Kurse

Betrüger werden den Hindernissen, denen sie ausgesetzt sind, immer einen Schritt voraus sein. Mithilfe von Tools und Cybersicherheitskursen können Sie ihre Muster erkennen und Whaling-Angriffe so weit wie möglich verhindern. Eine gute Praxis könnte zum Beispiel sein, dass die IT-Abteilung gefälschte Whaling-Angriffe an ihre Kollegen verschickt. Indem sie deren Reaktionen testen, können die Mitarbeiter aus dem Feedback des Tests lernen, vorsichtiger zu sein.

Was die Tools angeht, so gibt es Anti-Phishing-Software, die betrügerische Links und Malware-Downloads erkennen kann. Auch ein sicherer und privater E-Mail-Anbieter wie Mailfence kann Spam, Werbung, Tracker, Hacker und Lockangebote abwehren. Solche Tools können den Nutzern Schutz vor vielen Betrugsversuchen bieten.

Was tun, wenn Sie auf eine Whaling-Attacke hereingefallen sind

Wenn Sie Opfer eines Social-Engineering-Angriffs geworden sind und/oder Ihre E-Mail gehackt wurde, lesen Sie unseren Blog-Beitrag über Maßnahmen, die zu ergreifen sind, wenn Ihre E-Mail gehackt wurde. Darin wird erklärt, wie Sie den Schaden begrenzen, ihn melden und künftige Hackerangriffe verhindern können.

Wenn Sie das Gerät oder Konto Ihres Arbeitgebers benutzt haben, wenden Sie sich so schnell wie möglich an Ihren Vorgesetzten und die IT-Abteilung. Sie können andere Mitarbeiter alarmieren und dafür sorgen, dass alles wieder gesichert ist. Je früher Sie den Vorfall melden, desto weniger Zeit haben die Angreifer, den Schaden zu vergrößern. Außerdem kann Ihr Unternehmen einen umfassenden Kommunikationsplan aufstellen, der alle betroffenen Parteien frühzeitig einbezieht.

Wie man andere Arten von Social Engineering verhindert

Wie bereits erwähnt, ist der beste Weg, Phishing-Angriffe zu verhindern, sich zu informieren. Zu diesem Zweck hat Mailfence einen kostenlosen und verständlichen Kurs zum Thema E-Mail-Sicherheit und Datenschutz erstellt.

Der Kurs hilft Anwendern, ihr Bedrohungsprofil zu verstehen, um dann zu erkennen, welche Tipps sie benötigen. Darauf aufbauend vermittelt eine Reihe von Mailfence Artikeln Wissen über verschiedene Sicherheitsstufen gegen Cyber-Bedrohungen in E-Mails.

Ihr sicheres E-Mail-Konto – jetzt

Bleiben Sie auf dem Laufenden und folgen Sie uns auf Twitter und Reddit. Falls Sie weitere Informationen über die verschlüsselte E-Mail Suite von Mailfence benötigen, stehen wir Ihnen gerne zur Verfügung.

Avatar for Werner Grohmann

Werner Grohmann

Werner Grohmann ist Online-Redakteur und Content Marketingberater für deutsche und internationale IT-Unternehmen. Er ist für die deutsche Version des Mailfence Blogs verantwortlich.

Das könnte dich auch interessieren …