IT-Sicherheit - 21.10.2021

Whaling – Phishing-Attacken auf das Upper Management.

Nein, Whaling ist keine Kurzform von Whale Watching, sondern hat eher mit Walfang zu tun. Nur dass die “Wale” beim Whaling keine aquatischen Säugetiere, sondern Mitglieder des Upper Managements sind. Whaling ist eine Sonderform von Phishing, die auf hochkarätige Endanwender:innen abzielt. Wir schauen uns an, warum Cyberkriminelle mit Whaling besonders großen Schaden anrichten können, wie der Betrug normalerweise abläuft, und was Unternehmen tun können, um sich gegen Whaling-Attacken zu schützen.

Verfasst von

Product Manager Cybercrime & Defence

E-Mail: markus.meleka@bechtle.com

Was ist Whaling?

Whaling, auch Walfang genannt, ist eine Sonderform von Phishing, die speziell auf “dicke Fische” abzielt. Damit sind Personen gemeint, die in einem Unternehmen hierarchisch sehr weit oben stehen, und bei denen die Cyberkriminellen davon ausgehen, dass sie Zugang zu besonders sensiblen Daten und/oder anderen Werten haben. Aufgrund des speziellen Fokus’ auf das obere Management ist Whaling auch als CEO-Fraud-Masche bekannt.

Dem FBI zufolge beliefen sich die durch Whaling verursachten Schäden zwischen 2016 und 2019 weltweit auf mehr als 26 Milliarden US-Dollar. Von 2018 auf 2019 ist die Anzahl der Whaling-Attacken um mehr als 100 Prozent gestiegen.

Auf wen zielt Whaling ab?

Während herkömmliches Phishing auf die breite Masse abzielt und Spear Phishing einen kleineren Personenkreis mit gefälschten E-Mails und/oder Webseiten ins Visier nimmt, handelt es sich beim Whale Phishing um eine enorm elaborierte Betrugsmasche, die sorgfältig auf sogenannte C-Level-Positionen (CEO, CFO und andere hochrangige Führungskräfte) zugeschnitten ist. Beliebte Opfer von Whaling-Angriffen sind führende Mitarbeitende in der Finanzabteilung, die ihr Unternehmen bei erfolgreichem Betrug schnell um mehrere Millionen Euro erleichtern können.

Wie funktioniert Whaling?

Beim Whaling geben sich Angreifende in der Regel als hochrangige Mitglieder einer Organisation aus (z.B. CEO oder Finance-Manager:in) und nutzen die scheinbare Autorität ihrer Position, um an sensible Informationen und/oder oder andere Werte zu gelangen. Ziel dieser Attacken sind Mitarbeitende mit einem großen Einflussbereich, von denen man annimmt, dass sie Zugang zu sämtlichen Bereichen des Unternehmens haben.

Whaling basiert auf der Annahme, dass Mitarbeitende eine Aufforderung möglicherweise nicht näher hinterfragen, wenn sie von einem entsprechend hochrangigen Absender stammt.

Die Angreifenden setzen entweder E-Mail-Spoofing ein oder locken ihre Opfer auf eine Website, die speziell für diesen gezielten Angriff manipuliert wurde. In jedem Fall sieht die Kontaktaufnahme so aus, als würde sie von einer vertrauenswürdigen Quelle stammen. Sobald das Opfer “angebissen” hat, versuchen die Angreifenden, ihm oder ihr persönliche oder unternehmensrelevante Informationen zu entlocken,  beziehungsweise ihn oder sie dazu zu bringen, größere Geldsummen zu überweisen.

Whaling setzt auf Social Engineering.

Whaling-Attacken sind so gefährlich, weil sie deutlich elaborierter sind als gewöhnliche Phishing-Angriffe. Häufig enthalten die Mails nicht nur einen nahezu perfekt gefälschten E-Mail-Header, sondern auch detaillierte persönliche Informationen über das Opfer.

Diese Informationen stammen in vielen Fällen von Social-Media-Accounts. So kann es zum Beispiel vorkommen, dass hochrangige Mitarbeitende der Finanzabteilung eine gut gefälschte E-Mail vom (vermeintlichen) CEO des Unternehmens erhält, in der eine freundliche Anspielung auf die letzte Weihnachtsfeier UND der Auftrag enthalten ist, eine Überweisung zu veranlassen oder vertrauliche Informationen zu teilen.

Hierarchie schlägt Vorsicht.

Mitarbeitende stehen dann vor einer schwierigen Entscheidung. Möglicherweise wirkt der Auftrag des (vermeintlichen) CEOs ungewöhnlich. Möglicherweise ist auch der Weg der Kommunikation unüblich für das Unternehmen. Das Problem ist aber: Der Absender wirkt vertrauenswürdig. Immerhin verfügt er über Informationen, von denen der Mitarbeitende glaubt, dass niemand außerhalb des Unternehmens sie haben könnte.

Zweitens wäre es für die meisten Mitarbeitenden eine massive Hemmschwelle, einen CEO oder ein anderes hochrangiges Mitglied der Führungsebene abzuweisen. Die Wahrscheinlichkeit, dass der Mitarbeitende der Aufforderung des vermeintlichen CEOs nachkommt, ist also überdurchschnittlich hoch.

Whaling ist Phishing – nur gefährlicher.

Der Grad ihrer Fokussierung macht Whaling-Angriffe gefährlicher als herkömmliches Phishing. Da das Ziel in der Regel der “dickste” Fisch im Unternehmen ist, verwenden die Angreifenden entsprechend viel Zeit und Sorgfalt auf die Vorbereitung der Attacke. Dies resultiert in nahezu perfekt gefälschten E-Mails sowie hochgradig fokussierten Inhalten. In manchen Fällen setzen die Angreifer sogar eigene E-Mail-Server auf und registrieren eine neue Domain, die der Ziel-Domäne stark ähnelt.

Wenn das Opfer anbeißt, winken den Angreifenden große Geldsummen und wertvolle Informationen: zum Beispiel Daten zu Kunden, Geschäftsprozessen, Mitarbeitenden oder Finanzen. Die gestohlenen Daten werden in vielen Fällen verkauft. Manchmal nutzen die Angreifenden sie aber auch, um noch größere Geldbeträge von Unternehmen zu erpressen.

Whaling Phishing – typische Aufforderungen.

Eines ist allen Walfang-Attacken gemeinsam: Die Aufforderung, die in der gefälschten E-Mail transportiert wird, erscheint dem Opfer plausibel. Denkbar sind unter anderem folgende Szenarien:

  • Angreifende geben sich als Entscheidungsträger:innen eines (realen) Geschäftspartners aus und bitten um einen dringenden Geldtransfer; zum Beispiel um eine Lieferung zu bezahlen.
  • Angreifende geben sich als CEO (Chief Executive Officer) aus und fordert das Opfer auf, ihm Zugang zu Mitarbeitenden- und Gehaltslisten zu verschaffen.
  • Angreifende geben sich als CFO (Chief Financial Officer) aus und fordern das Opfer auf, Bank- oder Steuerdaten herauszugeben.

So schützen Sie sich vor Whaling-Attacken.

Das große Problem mit Betrugsmaschen, die auf Social Engineering setzen, ist die Tatsache, dass technische Maßnahme nur bedingten Schutz bieten. Selbstverständlich können Sie Methoden wie  E-Mail-Verschlüsselung, E-Mail-Flagging oder ein Sender Policy Framework einsetzen, die dabei helfen, gefälschte Absenderadressen zu identifizieren. Häufig finden die Angreifenden aber einen Weg, diese Schutzmaßnahmen zu umgehen.

Aus diesem Grund sollten Unternehmen vor allem in die Sensibilisierung ihrer Mitarbeitenden investieren und klare Strukturen für den Umgang mit sensiblen Daten schaffen. Folgende Maßnahmen sind sinnvoll, um Whaling-Angreifern den Fischzug zu vermiesen:

1. Sensibilisierung durch Security-Awareness-Training.

Setzen Sie dort an, wo die Angreifenden zuschlagen: bei Ihren Mitarbeitenden. Cyber-Security-Trainings helfen den Mitarbeiterinnen und Mitarbeitern dabei, in ihrem Arbeitsalltag sicherheitsorientiert zu denken und entsprechend zu handeln. Wenn sie für die Gefahr durch Phishing- und Whaling-Attacken sensibilisiert sind, machen sie es den Angreifern deutlich schwerer. Es gibt auch Trainings, die simulierte Whaling-Angriffe beinhalten und speziell geschaffen wurden, um das C-Level für die Gefahr zu sensibilisieren.

2. Social Media thematisieren.

Wir alle glauben, dass unsere Social-Media-Kanäle eine Privatangelegenheit sind. Aber öffentlich geteilte Informationen bieten Cyberkriminellen häufig die Grundlage für ihre Angriffe. Aus diesem Grund sollten Unternehmen die Nutzung von Social Media thematisieren und sämtliche Mitarbeiterinnen und Mitarbeiter dafür sensibilisieren, was und wie viel über Facebook & Co. geteilt wird. Insbesondere das C-Level sollte sparsam Informationen teilen. Je detaillierter die öffentlich auffindbaren Informationen sind, desto leichter gelingt der Identitätsdiebstahl.

3. Mehrstufige Verifizierungsprozesse einführen.

Für die Weitergabe von sensiblen Informationen sowie finanzielle Transaktionen sollte es in Unternehmen klar definierte Prozesse und Verhaltensrichtlinien geben. Diese Prozesse sollten eine oder mehrere zusätzliche Validierungsebenen einziehen und beispielsweise vorsehen, dass Mitarbeitende Überweisungen gar nicht durchführen können, ohne zuvor telefonisch oder persönlich Rücksprache zu halten.

Darüber hinaus ist es ratsam, die Daten und Informationen in Ihrem Unternehmen zu qualifizieren. Für als kritisch qualifizierte Informationen können Sie zum Beispiel festlegen, dass diese nicht ohne vorherige Rücksprache mit dem jeweils Verantwortlichen (z.B. einem Data Owner) herausgegeben werden dürfen.

Zugriffsberechtigungen einschränken (PoLP).

Whaling zielt auf Mitarbeitende in hohen Positionen ab, weil die Angreifenden davon ausgehen, dass ein Mitglied des Upper Managements Zugang zu so ziemlich allen Bereichen des Unternehmens hat. In vielen Fällen ist diese Annahme korrekt, da Unternehmen dazu neigen, der Führungsebene umfangreiche Zugriffsberechtigungen einzuräumen – unabhängig davon, ob diese Rechte tatsächlich benötigt werden. Doch je mehr Zugriffsrechte ein Whaling-Opfer hat, desto katastrophaler sind die Folgen eines Angriffs.

Aus diesem Grund sollten Sie die Berechtigungsstruktur in Ihrem Unternehmen nach dem Least-Privilege-Prinzip aufbauen und dadurch sicherstellen, dass selbst hochrangige Führungskräfte nur dringend benötigte Zugriffsberechtigungen besitzen.

Was ist das Least-Privilege-Prinzip?

Das Prinzip der geringsten Privilegien sieht vor, dass die Zugriffsrechte der Mitarbeitenden für Daten und Ressourcen zu jedem Zeitpunkt auf jene Rechte beschränkt sind, die unbedingt notwendig sind. Dies schließt auch die gesamte Führungsebene mit ein: Auch Geschäftsführer:innen oder Chief Finance Officer sollten nur Zugang zu jenen Daten und Ressourcen besitzen, die sie tatsächlich für die Ausführung ihrer Tätigkeit benötigen.

Damit das Least-Privilege-Prinzip im Falle einer Whaling-Attacke das Schlimmste verhindert, müssen Sie sicherstellen, dass es überall konsequent angewendet wird.

Je nachdem, wie viele Mitarbeitende Ihr Unternehmen hat, lässt sich dies manuell realisieren. Unternehmen mit hundert oder mehr IT-Benutzer:innen und/oder komplexen internen Abläufen und Prozessen, die eine entsprechend vielschichtige Berechtigungsstruktur erfordern, sollten diesen Vorgang jedoch automatisieren.

PoLP konsequent umsetzen mit tenfold.

Die Berechtigungsmanagement-Software tenfold teilt die Berechtigungen nicht nur automatisch und quer durch alle Systeme (unter anderem Active Directory und SAP) nach dem Least-Privilege-Prinzip zu, sondern sie unterstützt Sie auch bei der initialen Bereinigung Ihrer Berechtigungsstruktur. Wie tenfold die Maßnahmen im Sinne des Least-Privilege-Prinzips genau umsetzt, erfahren Sie hier. Die Implementierung der Software wird durch professionellen Support von Bechtle begleitet.

Beitrag weiterempfehlen

Diesen Beitrag haben wir veröffentlicht am 21.10.2021.