- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Whaling - Das Netz für die großen "Phishe"


Phishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird
Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten

Von Fred Touchette, Manager of Security Research bei AppRiver

(22.04.16) - Phishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird. Das Ziel ist, eine ausgewählte Person mittels Social Engineering, gefälschten E-Mails oder Inhalten dazu zu bringen, entweder ein Schadprogramm herunterzuladen und persönliche oder geschäftliche Daten preiszugeben. Einmal ins Netz gegangen lässt sich das Opfer gleich auf verschiedene Arten ausbeuten – vom Identitätsdiebstahl bis hin zum Unternehmensbetrug im großen Stil. Man geht davon aus, dass Phishing etwa 1995 entstanden ist, aber erst seit 2005 wurde es weithin als Angriffsmethode wahrgenommen. Und jetzt, mehr als zehn Jahre später, ist Phishing noch immer ein Problem.

Die Evolution des Phishings
"Phisher" werfen ihre Netze weit aus und setzen auf die statistische Wahrscheinlichkeit, dass ein gewisser Prozentsatz der Adressaten auf die Täuschung hereinfallen wird. Zur Verdeutlichung: In einer Untersuchung von Verizon aus dem Jahr 2015 mit 150.000 zugrunde gelegten Phishing-Mails öffneten 23 Prozent der Empfänger die Phishing-Nachricht als solche und 11 Prozent öffneten auch den Anhang.

In den letzten zehn Jahren ist durch Aufklärung zum Thema Phishing das Bewusstsein für die Risiken gewachsen. Und die Nutzer stellen zunehmend die Echtheit von E-Mails infrage. Die Konversionsraten begannen zu sinken und Phisher sahen sich gezwungen, ihre Nachrichten zu perfektionieren, um die Erfolgsquote wieder zu erhöhen. Unglücklicherweise werden Phisher durch die Beliebtheit sozialer Netzwerke, wie Facebook, Twitter, LinkedIn et cetera mit einer wahren Flut von Informationen versorgt, mit der sie ihre Nachrichten noch echter wirken lassen können. Bei diesem sogenannten "Spear-Phishing" wird es deutlich schwerer, Täuschung und Wahrheit auseinanderzuhalten.

Das mag jetzt klingen, als wären Betrüger ohnehin klar im Vorteil. Doch auch auf Seiten der Unternehmenssicherheit kann man inzwischen einige Erfolge verbuchen. Zunächst einmal sind, da Phisher auf Masse setzen, Firewalls und E-Mail-Gateways geübt, große Traffic-Mengen zu erkennen und zu blockieren. Viele derartige Betrugsversuche landen also gar nicht erst im Posteingang. Eine andere positive Entwicklung sind Antivirenprogrammen, die sich darauf spezialisiert haben genau diesen Nachrichtentypus zu überwachen und zu erkennen. Und solcherart Schadprogramme aussortieren, bevor sie die Inbox erreichen.

Wie bei jedem "Geschäft" dreht sich auch hier alles um die Ertragsmaximierung. Es überrascht also nicht, dass die Betrüger ihre Methoden angepasst haben. Beispielsweise enthalten Nachrichten verworrene Codes, damit sie nicht sofort als Phishing-Mails entlarvt werden und insgesamt werden weniger Nachrichten verschickt. Eine relativ neue Taktik ist es, sich bei den Aktivitäten auf den "dicksten Phish" im Gewässer zu konzentrieren – weniger Adressaten, aber höhere, in einigen Fällen viel höhere, Erträge!

"Whaling"
Der Begriff "Whaling" ist ein Wortspiel, das sich darauf bezieht, dass eine wichtige Person gerne als "dicker Fisch" – oder in unserem Fall "Phish" – bezeichnet wird.

Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten. Informationen zu diesen Persönlichkeiten finden sich nicht selten auf Unternehmenswebseiten, in LinkedIn-Profilen und sogar den Twitter-Accounts von Firmen – sie enthalten wesentliche Fakten, die digitale "Walfänger" für ihre Machenschaften benötigen.Wie bei jeder Form des Phishings ist das Ziel des Whalings, die anvisierte Person durch Social Engineering, gefälschte E-Mails und gefälschte Inhalte dazu zu bewegen, persönliche oder geschäftliche Daten preiszugeben.

Ein Beispiel für einen erfolgreich durchgeführten Whaling-Angriff (auch als "CEO-Fraud" bezeichnet) ist eine Form des Überweisungsbetrugs. Das Opfer, meist ein ranghoher Manager, erhält eine gefälschte Nachricht von einem Hacker, der sich als CFO oder sogar CEO eines Partnerunternehmens ausgibt und um die Überweisung eines Geldbetrags für eine Lieferantenzahlung oder gar eine Unternehmensübernahme bittet. Natürlich wird das Geld nicht für die genannte Zahlung oder Übernahme verwendet, sondern auf ein Bankkonto, auf das der Hacker Zugriff hat, eingezahlt.

Diese Mitteilungen wirken zunächst ganz harmlos. So fragt der Hacker (der sich als Geschäftsführer oder interner Mitarbeiter ausgibt) beispielsweise das Opfer, ob es an seinem Schreibtisch sitzt. Um glaubhaft zu wirken, nutzt der Hacker für die E-Mail eine Adresse mit der Firmendomain, als Antwortadresse gibt er jedoch eine Adresse mit einer externen Domain an, meist die eines kostenlosen E-Mail-Dienstes. Bei dieser Methode passiert es nicht selten, dass die Opfer mit dem Hacker per Mail kommunizieren, ohne zu bemerken, dass sie gerade übers Ohr gehauen werden. Mit dieser Vorgehensweise wurden bereits Tausende Dollar mittels betrügerischer Überweisungen von Unternehmen gestohlen. Die geforderte Summe liegt dabei oft in einem Bereich zwischen 20.000 und 50.000 Dollar. Das sind schon keine ganz geringen Verluste mehr. Allerdings geht es bei vielen Betrugsversuchen um deutlich höhere Summen. Nicht selten in einer Größenordnung, die eine Firma in den finanziellen Ruin stürzen kann.

Ubiquiti, ein Hersteller von Netzwerkkomponenten, fiel Mitte 2015 auf eine solche Masche herein. Das Unternehmen überwies nicht Zehntausende Dollar, sondern ganze 40 Millionen US-Dollar. Es gelang zwar, einige Millionen im Nachhinein zurückzubekommen, doch den Großteil des Geldes darf man wohl getrost als verloren betrachten. Anfang 2016 meldete die belgische Bank Crelan, eine Tochter der Crédit-Agricole-Gruppe, dass sie einem Whaling-Angriff zum Opfer gefallen war und mehr als 70 Millionen Euro verloren gingen. FBI-Zahlen zufolge haben in den letzten zwei Jahren Unternehmen auf der ganzen Welt durch Whaling rund 1,2 Milliarden Dollar beziehungsweise 1,07 Milliarden Euro eingebüßt.

Unternehmen investieren viel Zeit und Geld, um ihren Netzwerkverkehr oder ihre öffentlich zugänglichen Server vor Hackerangriffen zu schützen, was auch unbestritten überaus wichtig ist. Doch aufgrund dieser manipulativen, gezielten Spear-Phishing-Versuche sollte man die Kommunikation der Mitarbeiter keinesfalls außer Acht lassen.

Damit der Köder dem Phish nicht schmeckt...
Firewalls und Antivirensoftware sind weiterhin unverzichtbar, das steht außer Frage. Allerdings werden die Betrüger bei ihren Aktionen immer raffinierter. Will man den betreffenden Köder nicht schlucken, muss man ähnlich raffiniert vorgehen. Hier sind einige Tipps, wie Sie den Netzen von Phishern und Whaler entgehen:

Unternehmen sollten die Konfiguration der E-Mail-Accounts ihrer Führungskräfte ändern. Zum Beispiel statt der in Unternehmen meist üblichen E-Mail-Adresse Vorname.Nachname@domain.com das Schema Nachname.Vorname@ oder auch AnfangsbuchstabeVorname.Nachname@ verwenden oder besser noch ein Pseudonym, das nur eingeweihte Mitarbeiter kennen – Hauptsache, man macht es dem Phisher unmöglich, eine E-Mail zu fälschen.
Führen Sie einen ganz bestimmten Prozess ein, der bei ungewöhnlichen Anfragen befolgt werden muss – einige der Überweisungsbetrügereien der letzten Jahre hätten durch ein kurzes Telefonat zur Bestätigung der Anfrage verhindert werden können.

Erwägen Sie die Einführung eines "Geheimcodes", eine Wendung, die Führungskräfte gebrauchen, wenn sie miteinander kommunizieren, damit Nachrichten sofort als echt erkennbar sind.

Verschlüsseln Sie grundsätzlich alle E-Mails – das verhindert zwar nicht, dass ein Betrüger eine Nachricht versendet und diese ankommt, doch allein die Tatsache, dass sie nicht verschlüsselt ist, würde den Empfänger stutzig machen.
Um das Risiko weiter zu begrenzen sind zuverlässige E-Mail- und Web-Filter unerlässlich. Das Netz des Walfängers zu erkennen, ist schwierig, aber nicht unmöglich. (AppRiver: ra)

AppRiver: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Rollende Sicherheitslücken

    Viele Fahrzeuge sind heutzutage längst zu rollenden Computern geworden, denn bereits jetzt stecken in der Software eines modernen Oberklasse-PKW etwa 100 Millionen Codezeilen. Zum Vergleich: Die Flugsoftware einer Boeing 787 Dreamliner kommt mit etwa 14 Millionen Zeilen aus. Die Erwartungen an das zukünftige autonom fahrende Auto sind vielzählig: Mehr Sicherheit auf den Straßen, mehr Komfort, beispielsweise durch selbstständiges Einparken, die Nutzung eines Autopiloten im Stau oder komplett fahrerlose Roboterautos, welche im Car-Sharing-Verfahren neue Infrastrukturmöglichkeiten bieten könnten. Dem gegenüber stehen die Ängste: Bei Technikfehlern nur noch ein hilfloser Passagier an Board zu sein oder Opfer eines Hacker-Angriffs zu werden.

  • Warum BYOD an den Geräten scheitert

    Bring Your Own Device (BYOD) genießt im Geschäftsumfeld seit einigen Jahren den Ruf als innovatives Konzept. Der zeitlich uneingeschränkte Zugang zu Unternehmensdaten kann Firmen verbesserte Effizienz in den Arbeitsabläufen bescheren und den Mitarbeitern wiederum mehr Komfort im täglichen Arbeiten. Sie können auf ihren gewohnten Geräten arbeiten, zu flexiblen Arbeitszeiten. Insbesondere bei neu gegründeten Unternehmen, in denen die Mitarbeiter viel unterwegs sind, wird es überaus geschätzt, wenn kein weiteres, unternehmenseigenes Gerät mitgeführt werden muss. Die Zufriedenheit der Mitarbeiter mit der Arbeitsweise wiederum trägt auch zur Attraktivität des Unternehmens bei.

  • Offensichtlich lukrativste Angriffsmethode

    In regelmäßigen Abständen sehen wir uns einer neuen Bedrohung gegenüber, die bei Angreifern gerade Konjunktur hat. Gezielte Langzeitangriffe, sogenannte Advanced Persistent Threats (APTs) beherrschen die Schlagzeilen und Unternehmen beeilen sich, diese Attacken zu stoppen, deren Urheber sich gut versteckt durch das Netzwerk bewegen. Neben Phishing ist Ransomware die erfolgreichste und offensichtlich lukrativste Angriffsmethode für Cyber-Kriminelle. Schätzungen zufolge kosteten Ransomware-Scams die Opfer allein im letzten Jahr fast 1 Milliarde US-Dollar weltweit. Und es ist kein Wunder, dass sie so gut funktionieren: Sie beruhen auf dem althergebrachten Modell der Schutzgelderpressung, das bereits lange von Banden und der Mafia genutzt und jetzt in digitalem Format erfolgreich wieder aufgelegt wird. Die digitale Transformation ist nicht nur für Unternehmen Realität, sondern längst auch für Kriminelle eine lohnenswerte Einnahmequelle.

  • Detailliertes Profil der Angreifer entscheidend

    "Kill Chain" - dieser Begriff stammt eigentlich aus dem Militärjargon und bezeichnet ein Modell, das alle Phasen eines Angriffs beschreibt. Im Umkehrschluss zeigt es Wege auf, mit denen sich diese Angriffe vermeiden oder zumindest abschwächen lassen - eine Taktik, die auch hinsichtlich digitaler Bedrohungen und Hackangriffe interessant ist. Die Kill Chain digitaler Bedrohungen lässt sich in sieben verschiedene Phasen unterteilen.

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.