Wie man sich gegen Whaling Attacks verteidigt
E-Mail-Angriffe haben in den letzten Jahren zugenommen. Sie werden nicht nur immer zahlreicher, sondern auch vielfältiger und entwickeln sich zu immer raffinierteren Bedrohungen. Whaling ist eine spezielle Form von Spear-Phishing-Angriffen, die ausschließlich auf hochrangige Führungskräfte oder Manager in ausgewählten Unternehmen abzielen. Wie bei fast allen Phishing-Versuchen besteht das Ziel dieser Versuche in der Regel darin, vertrauliche Daten auszuspionieren, eine bösartige Nutzlast auf dem Gerät des Empfängers zu deponieren oder den Benutzer dazu zu bewegen, Geld auf ein vom Angreifer kontrolliertes Bankkonto zu überweisen.
Whaling vs. Phishing
Whaling ist ein strategischer Angriff, der sich von anderen Cyber-Bedrohungen, wie z. B. allgemeinen Phishing- oder BEC-Angriffen (Business Email Compromise), unterscheidet. Phishing-Versuche sind weitgehend undifferenziert und können wahllos zahlreiche Konten auf einmal angreifen. Der Unterschied zum Whaling besteht darin, dass es auf handverlesene Personen in einer Organisation abzielt. Bei diesen Zielpersonen handelt es sich nicht um beliebige Mitarbeiter, sondern in der Regel um Führungskräfte und Manager der C-Suite. Die Angreifer konzentrieren sich auf diese Personen, weil sie über die nötige Autorität und den entsprechenden Zugang verfügen. Bei diesem Verfahren wird eine Führungskraft der C-Suite zu einer Handlung verleitet, die dazu führt, dass sie unwissentlich Daten oder Geld an den Angreifer weitergibt.
Der Cyberkriminelle kann sich zum Beispiel als Lieferant ausgeben, der dringend eine Rechnung bezahlen muss, oder die Führungskraft davon überzeugen, dass sie bestimmte Maßnahmen ergreifen muss, um ein Geschäft abzuschließen. Wenn dies gelingt, kann das Ziel Geld oder Daten direkt an den Angreifer senden. Selbst wenn dies nicht der Fall ist, könnte das Opfer dem Angreifer Informationen oder Zugang verschaffen, die ihn einem erfolgreichen Angriff einen Schritt näher bringen.
Walfang vs. BEC
Wie beim Whaling zielen auch BEC-Angriffe auf Führungskräfte ab. Bei einem BEC-Angriff versucht der Angreifer jedoch hauptsächlich, sich als eine hochrangige Person auszugeben, um andere (z. B. rangniedrigere Mitarbeiter) in einem Unternehmen zu täuschen. Cyberkriminelle, die Whale-Phishing als bevorzugte Angriffsmethode einsetzen, konzentrieren sich eher darauf, die Führungskraft auszutricksen, als sich für sie auszugeben.
In beiden Fällen müssen die Cyberkriminellen fast immer gründliche Nachforschungen über ihr beabsichtigtes Opfer anstellen. In einigen BEC-Situationen beginnen sie in der Regel mit der Kompromittierung des E-Mail-Kontos der Führungskraft. Danach besteht die bevorzugte Strategie darin, unbemerkt zu bleiben und so viele Informationen wie möglich zu sammeln. Aus dem E-Mail-Konto einer Führungskraft kann ein Angreifer eine Menge über die Unternehmensabläufe erfahren, mit wem die Führungskraft regelmäßig korrespondiert, welche Befugnisse sie hat usw. Mit diesen Informationen können sie herausfinden, welche Aktionen sie durchführen könnten, während sie sich als die Zielperson ausgeben, die A) keine Alarmglocken schrillen lassen und B) die gewünschten Ergebnisse erzielen würden.
Warum Walfangangriffe so erfolgreich sind
Whaling funktioniert, indem ein hochrangiges Opfer in einem Unternehmen getäuscht wird. Die Angreifer wählen ein Ziel mit viel Autorität oder einem hochrangigen Titel aus und versuchen, das Ziel dazu zu bringen, vertrauliche persönliche oder geschäftliche Informationen preiszugeben. Alternativ könnten die Angreifer eine Person dazu verleiten, Malware herunterzuladen, indem sie ihr kompromittierte Links und Anhänge schicken, die legitim erscheinen. Bösewichte könnten beispielsweise eine gefälschte E-Mail an eine Führungskraft senden, die scheinbar von einer vertrauenswürdigen Person (z. B. einem anderen Mitglied der Geschäftsleitung) stammt.
Präzision ist einer der Gründe, warum Whaling-Angriffe so erfolgreich sind. Im Gegensatz zu typischen breit angelegten Phishing-E-Mail-Angriffen ist Whaling extrem personalisiert und zielgerichtet. In der Regel recherchieren die Cyberkriminellen die Organisation im Vorfeld, finden heraus, wer die ranghöchsten Mitglieder sind, und führen dann weitere Nachforschungen über ausgewählte Personen durch.
Ihre bevorzugte Taktik ist Social Engineering. Weniger ausgefeilte Whaleing-Versuche verwenden möglicherweise nur allgemeine Formen des Social Engineering, bei denen minimale Informationen verwendet werden, um das Opfer zu einem Sicherheitsfehler zu verleiten. Häufig investieren Cyberkriminelle jedoch viel Zeit in einen gut durchdachten Whale-Phishing-Versuch, da die potenzielle Belohnung sehr hoch sein kann.
Zu den Vorbereitungsmaßnahmen gehört auch das Sammeln von Informationen aus Profilen in sozialen Medien. Sie können auch E-Mails von außen an das Unternehmen senden, um herauszufinden, wie die E-Mail-Signaturen und Adressen aussehen. Die Angreifer sammeln und nutzen jedes bisschen an allgemeinen Informationen über ein Unternehmen, das sie finden können. Namen und Titel wichtiger Mitarbeiter sind manchmal öffentlich zugänglich, und das kann einem Kriminellen zum Vorteil gereichen.
Insgesamt enthalten viele dieser Angriffe ein Zeitdruckelement, um das Opfer zu verwirren und unter Stress zu setzen. Anweisungen, die besagen, dass bis zum Ende des Tages eine Überweisung getätigt, Dokumente verschickt oder Rechnungen bezahlt werden müssen, können ausreichen, um Führungskräfte zu motivieren, "die Arbeit zu erledigen", ohne über die Details nachzudenken.
Wie man Organisationen vor Walfangangriffen schützt
1. Das Bewusstsein für Cybersicherheit schärfen
Die Investition in Schulungen zum Sicherheitsbewusstsein ist einer der wichtigsten Schritte, um sich vor Whaling-Angriffen zu schützen. Da sich diese Angriffe auf immer ausgefeiltere Social-Engineering-Techniken stützen, müssen alle Mitarbeiter gut darin geschult werden, worauf sie achten müssen.
Einige Unternehmen führen zwar Schulungen zum Thema Cybersicherheit durch, aber nur in geringem Umfang. Eine einzige Schulung reicht wahrscheinlich nicht aus, um sich gegen gezielte Angriffe zu wehren. Da sich die Bedrohungen im Laufe der Zeit weiterentwickeln und wachsen, müssen die Schulungen kontinuierlich durchgeführt werden, um mit den neuen Entwicklungen Schritt zu halten.
Um dies zu erreichen, ist es ratsam, Informationen zur Cybersicherheit nicht nur in den Einarbeitungsprozess neuer Mitarbeiter einzubeziehen, sondern auch regelmäßige Auffrischungsschulungen für alle Mitarbeiter zu planen. Mitarbeiterschulungen sind eine wichtige Strategie zur Abwehr von Cyber-Bedrohungen.
2. Verwenden Sie eine maschinenintelligente E-Mail-Sicherheitslösung
Während eine aufmerksame Belegschaft eine wichtige Verteidigungslinie gegen Cybersecurity-Probleme darstellt, sollten Unternehmen ihr Sicherheitstraining für Mitarbeiter durch maschinenintelligente E-Mail-Sicherheitsprogramme ergänzen. Diese Lösungen können die gesamte E-Mail-Kommunikation innerhalb eines Unternehmens überwachen und Muster erkennen, die im täglichen Kontext "normal" sind. Wenn Anomalien auftreten, können sie E-Mail-Bedrohungen erkennen und stoppen, bevor sie die Posteingänge der Mitarbeiter erreichen.
Wenn z. B. ein Mitarbeiter der Buchhaltungsabteilung plötzlich (und untypisch) eine E-Mail an einen leitenden Angestellten sendet, kann ein solches System dies aufspüren, kennzeichnen, stoppen und die Mitarbeiter der Cybersicherheit darauf aufmerksam machen. Ohne eine maschinenintelligente E-Mail-Sicherheitslösung könnten diese scheinbar kleinen Entgleisungen unbemerkt bleiben. Genau darauf hoffen Kriminelle, wenn sie einen Angriff starten. Daher fungieren diese Systeme als robuster Filter, der Walfangangriffe stoppt, bevor sie überhaupt eine Chance haben, in Gang zu kommen.
Wenn Sie Ihr Unternehmen vor Whaling-Angriffen schützen wollen, kann xorlab ActiveGuard Ihnen helfen. Informieren Sie sich in einer kostenlosen Demo, wie die Lösung für Sie arbeiten kann.