IT-Sicherheit

Whaling

Spearing-Phishing-Attacken auf Führungskräfte

von 06.02.2023
zu sehen ist eine seriös wirkende Frau in ihrem Büro, die aussieht wie eine Führungskraft. Thema ist das Whaling, eine Sonderform des Phishings, das auf Führungskräfte abzielt. Bild: Pexels/Tima Miroshnichenko
Beim Whaling werden gezielt Führungskräfte angegriffen. Bild: Pexels/Tima Miroshnichenko

Angriffe mittels Whaling erfreuen sich bei Cybercriminellen immer größerer Beliebtheit, auch wenn der Aufwand dahinter sehr hoch ist. Dafür verspricht diese Sonderform des Phishings aber auch dicke Gewinne.

Was mit dem Begriff Whaling im Detail gemeint ist und wie Sie Ihr Unternehmen vor derartigen Attacken schützen, verraten wir jetzt.

Whaling – eine spezielle Form des Phishings

Der Begriff selbst lässt es schon vermuten: Bei Whaling geht es um die dicken Fische (auch wenn der Wal bekanntlich ein Säugetier und kein Fisch ist). Bei dieser Sonderform des Phishings widmen sich Cyberkriminelle und Hacker den so genannten Big Playern ihrer Art. Das bedeutet: CEOs, Führungskräfte im Allgemeinen und auch Prominente stellen den bevorzugten Opfer-Typ dar. Eben all jene, die bekannt bzw. bekanntermaßen gut situiert sind. Das bedeutet automatisch: Der daraus entstandene (finanzielle) Schaden kann enorm hoch sein.

Whaling-Angriffe sind aufgrund ihrer hohen Individualisierung sehr komplex und erfordern ein hohes Maß an Kreativität – natürlich gepaart mit jeder Menge krimineller Energie. Nicht selten nehmen allein die Vorbereitungen bis zum finalen Angriff Monate in Anspruch. Ist er allerdings erfolgreich, zahlt sie die Mühe meist mehr als aus. Die jeweiligen Ziele können dabei variieren: Manchmal geht es „nur“ ums Geld (davon aber viel), manchmal lautet die Mission, persönliche und sensible Daten abzugreifen.

zu sehen ist ein Wal im Meer. Beim Whaling geht es um die dicken Fische (bzw. Säugetiere): Die Führungskräfte. Bild: Pexels/Andrea Holien

Beim Whaling geht es um die dicken Fische (bzw. Säugetiere): Die Führungskräfte. Bild: Pexels/Andrea Holien

Wenn der Hacker zum Investigativ-Reporter wird

Um die Erfolgschance eines Whaling-Angriffs zu steigern, ist einiges an Recherche und Vorarbeit notwendig. Die Cyberkriminellen sind daher darauf spezialisiert, das gesamte Netz und die sozialen Medien zu durchforsten. Ihr Ziel: Möglichst viele Informationen über das potenzielle Opfer zu sammeln, denn nur so lässt sich ein glaubhaftes Szenario kreieren.

Die darauf basierende Phishing-Nachricht ist demnach in höchstem Maße individualisiert und wirkt damit nicht nur beim ersten Hinschauen real. Fast immer ist daher auch der vermeintliche Absender der Nachricht keine dem Opfer unbekannte Person. Durch die Kontakte und „Freundschaften“ in den sozialen Netzwerken finden die Angreifer in der Regel mühelos heraus, mit welchen realen Menschen ihre Zielperson in Kontakt steht. Die entsprechenden E-Mail-Adressen werden dann ganz einfach nachgebaut und sind für das ahnungslose Opfer auf den ersten Blick nicht als Fake zu erkennen. Hier kommt beispielsweise das E-Mail-Spoofing zum Einsatz oder die Kriminellen nutzen unauffällige Buchstabendreher.

Unterschiede zwischen Whaling, Phishing und dem CEO-Fraud

Bei Whaling handelt es sich streng genommen um eine Unterart des so genannten Spear-Phishings. Im Gegensatz zu klassischen Phishing-Kampagnen à la „Ihr PayPal Konto wurde gehackt, bestätigen Sie jetzt Ihre Zugangsdaten“, die auf die breite Masse abzielen und millionenfach versendet werden, handelt es sich bei Spear-Phishing immer um individualisierte Kampagnen. Und speziell beim Whaling stehen – wie eingangs erwähnt – hochrangige Menschen im Fokus.

Der CEO-Fraud hingegen eine andere Form des Cybercrimes und quasi das Gegenteil von Whaling. Hier bauen Hacker in der Regel die E-Mail-Adresse eines Chefs nach, um dessen Mitarbeiter zu unüberlegten und schnellen Handlungen (meist Geldüberweisungen ins Ausland) zu bewegen. Der ahnungslose Empfänger der Nachricht wird dahingehend ausgenutzt, dass er sich mit einer recht hohen Wahrscheinlichkeit nicht traut, die Anweisungen des vermeintlichen Chefs zu hinterfragen oder gar ihre Ausführung zu verweigern.

Ein Mann schlägt am PC die Hände über dem Kopf zusammen; er ist auf eine Phishing-Mail hereingefallen. Er muss sein Security Awareness schulen. Bild: Pexels/RODNAE Productions

Auf eine Phishing-E-Mail hereingefallen? Trainings zur Security Awareness verhindern das. Bild: Pexels/RODNAE Productions

Schutzmaßnahmen & Sicherheitstipps

Wie bei nahezu jeder Form des Phishings gilt auch hier: Immer den gesunden Menschenverstand eingeschaltet lassen. Bleiben Sie stets misstrauisch, gerade dann, wenn Nachrichten mit einem dringenden Appell von vermeintlichen Freunden im Postfach landen. Fragen Sie immer noch einmal persönlich bei dem augenscheinlichen Absender nach, ob die E-Mail wirklich von ihm selbst stammt.

Die möglichen Schutzmaßnahmen haben wir hier noch einmal übersichtlich für Sie zusammengefasst:

  • telefonische oder persönliche Rückversicherung beim vermeintlichen Absender
  • Durchführung regelmäßiger Security Awareness-Schulungen – auch für Führungskräfte!
  • E-Mail-Absender detailliert prüfen (erweitere Ansicht innerhalb des E-Mail-Programms nutzen)
  • Einrichten von E-Mail-Filtern, Blacklists usw.
  • Privatsphäre-Einstellungen in den sozialen Medien optimieren, ggf. öffentliche Sichtbarkeit einschränken
  • Doppelter Boden bei Überweisungen: (Hohe) Zahlungen nur aufgrund des Vier-Augen-Prinzips und/oder eines mehrstufigen Verifizierungsverfahrens freigeben
  • Implementierung der gängigen IT-Sicherheitstools (z. B. Firewall)

Zusatz-Tipp: Auch die Einführung einer internen Richtlinie für den Umgang mit Daten zahlt sich in Zeiten wachsender Cybercrime-Aktivitäten aus.

Unsere Dienstleister für Ihre IT-Sicherheit

Unsere Experten aus dem IT-SERVICE.NETWORK unterstützen Sie gern dabei, alle relevanten Schutzmaßnahmen zu etablieren, die Ihr Unternehmen davor bewahren, sich in die große Riege der Cybercrime-Opfer einzureihen. Mit maßgeschneiderten Security Services wie beispielsweise einem professionellen Firewall-Management sorgen wir dafür, dass potenzielle Angriffe in der Regel bereits im Vorfeld abgewehrt werden.

Auch die Durchführung von speziellen IT-Sicherheitstrainings, so genannten Security-Awareness-Schulungen, gehört bei vielen unserer Partner zum Standardangebot. Denn wenn erst einmal alle Mitarbeiter und Führungskräfte für Angriffsformen wie den CEO-Fraud oder das Whaling sensibilisiert sind, sinken die Chancen für Cyberkriminelle bereits rapide. Unser Tipp: Lassen Sie sich unverbindlich zu den individuellen Möglichkeiten beraten. Unsere professionellen IT-Dienstleister freuen sich auf Ihre Anfrage.


Weiterführende Links:
Security-Insider

Geschrieben von

Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen

Fragen zum Artikel? Frag den Autor
0 Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen