- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Whaling - Das Netz für die großen "Phishe"


Phishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird
Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten

Von Fred Touchette, Manager of Security Research bei AppRiver

(22.04.16) - Phishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird. Das Ziel ist, eine ausgewählte Person mittels Social Engineering, gefälschten E-Mails oder Inhalten dazu zu bringen, entweder ein Schadprogramm herunterzuladen und persönliche oder geschäftliche Daten preiszugeben. Einmal ins Netz gegangen lässt sich das Opfer gleich auf verschiedene Arten ausbeuten – vom Identitätsdiebstahl bis hin zum Unternehmensbetrug im großen Stil. Man geht davon aus, dass Phishing etwa 1995 entstanden ist, aber erst seit 2005 wurde es weithin als Angriffsmethode wahrgenommen. Und jetzt, mehr als zehn Jahre später, ist Phishing noch immer ein Problem.

Die Evolution des Phishings
"Phisher" werfen ihre Netze weit aus und setzen auf die statistische Wahrscheinlichkeit, dass ein gewisser Prozentsatz der Adressaten auf die Täuschung hereinfallen wird. Zur Verdeutlichung: In einer Untersuchung von Verizon aus dem Jahr 2015 mit 150.000 zugrunde gelegten Phishing-Mails öffneten 23 Prozent der Empfänger die Phishing-Nachricht als solche und 11 Prozent öffneten auch den Anhang.

In den letzten zehn Jahren ist durch Aufklärung zum Thema Phishing das Bewusstsein für die Risiken gewachsen. Und die Nutzer stellen zunehmend die Echtheit von E-Mails infrage. Die Konversionsraten begannen zu sinken und Phisher sahen sich gezwungen, ihre Nachrichten zu perfektionieren, um die Erfolgsquote wieder zu erhöhen. Unglücklicherweise werden Phisher durch die Beliebtheit sozialer Netzwerke, wie Facebook, Twitter, LinkedIn et cetera mit einer wahren Flut von Informationen versorgt, mit der sie ihre Nachrichten noch echter wirken lassen können. Bei diesem sogenannten "Spear-Phishing" wird es deutlich schwerer, Täuschung und Wahrheit auseinanderzuhalten.

Das mag jetzt klingen, als wären Betrüger ohnehin klar im Vorteil. Doch auch auf Seiten der Unternehmenssicherheit kann man inzwischen einige Erfolge verbuchen. Zunächst einmal sind, da Phisher auf Masse setzen, Firewalls und E-Mail-Gateways geübt, große Traffic-Mengen zu erkennen und zu blockieren. Viele derartige Betrugsversuche landen also gar nicht erst im Posteingang. Eine andere positive Entwicklung sind Antivirenprogrammen, die sich darauf spezialisiert haben genau diesen Nachrichtentypus zu überwachen und zu erkennen. Und solcherart Schadprogramme aussortieren, bevor sie die Inbox erreichen.

Wie bei jedem "Geschäft" dreht sich auch hier alles um die Ertragsmaximierung. Es überrascht also nicht, dass die Betrüger ihre Methoden angepasst haben. Beispielsweise enthalten Nachrichten verworrene Codes, damit sie nicht sofort als Phishing-Mails entlarvt werden und insgesamt werden weniger Nachrichten verschickt. Eine relativ neue Taktik ist es, sich bei den Aktivitäten auf den "dicksten Phish" im Gewässer zu konzentrieren – weniger Adressaten, aber höhere, in einigen Fällen viel höhere, Erträge!

"Whaling"
Der Begriff "Whaling" ist ein Wortspiel, das sich darauf bezieht, dass eine wichtige Person gerne als "dicker Fisch" – oder in unserem Fall "Phish" – bezeichnet wird.

Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten. Informationen zu diesen Persönlichkeiten finden sich nicht selten auf Unternehmenswebseiten, in LinkedIn-Profilen und sogar den Twitter-Accounts von Firmen – sie enthalten wesentliche Fakten, die digitale "Walfänger" für ihre Machenschaften benötigen.Wie bei jeder Form des Phishings ist das Ziel des Whalings, die anvisierte Person durch Social Engineering, gefälschte E-Mails und gefälschte Inhalte dazu zu bewegen, persönliche oder geschäftliche Daten preiszugeben.

Ein Beispiel für einen erfolgreich durchgeführten Whaling-Angriff (auch als "CEO-Fraud" bezeichnet) ist eine Form des Überweisungsbetrugs. Das Opfer, meist ein ranghoher Manager, erhält eine gefälschte Nachricht von einem Hacker, der sich als CFO oder sogar CEO eines Partnerunternehmens ausgibt und um die Überweisung eines Geldbetrags für eine Lieferantenzahlung oder gar eine Unternehmensübernahme bittet. Natürlich wird das Geld nicht für die genannte Zahlung oder Übernahme verwendet, sondern auf ein Bankkonto, auf das der Hacker Zugriff hat, eingezahlt.

Diese Mitteilungen wirken zunächst ganz harmlos. So fragt der Hacker (der sich als Geschäftsführer oder interner Mitarbeiter ausgibt) beispielsweise das Opfer, ob es an seinem Schreibtisch sitzt. Um glaubhaft zu wirken, nutzt der Hacker für die E-Mail eine Adresse mit der Firmendomain, als Antwortadresse gibt er jedoch eine Adresse mit einer externen Domain an, meist die eines kostenlosen E-Mail-Dienstes. Bei dieser Methode passiert es nicht selten, dass die Opfer mit dem Hacker per Mail kommunizieren, ohne zu bemerken, dass sie gerade übers Ohr gehauen werden. Mit dieser Vorgehensweise wurden bereits Tausende Dollar mittels betrügerischer Überweisungen von Unternehmen gestohlen. Die geforderte Summe liegt dabei oft in einem Bereich zwischen 20.000 und 50.000 Dollar. Das sind schon keine ganz geringen Verluste mehr. Allerdings geht es bei vielen Betrugsversuchen um deutlich höhere Summen. Nicht selten in einer Größenordnung, die eine Firma in den finanziellen Ruin stürzen kann.

Ubiquiti, ein Hersteller von Netzwerkkomponenten, fiel Mitte 2015 auf eine solche Masche herein. Das Unternehmen überwies nicht Zehntausende Dollar, sondern ganze 40 Millionen US-Dollar. Es gelang zwar, einige Millionen im Nachhinein zurückzubekommen, doch den Großteil des Geldes darf man wohl getrost als verloren betrachten. Anfang 2016 meldete die belgische Bank Crelan, eine Tochter der Crédit-Agricole-Gruppe, dass sie einem Whaling-Angriff zum Opfer gefallen war und mehr als 70 Millionen Euro verloren gingen. FBI-Zahlen zufolge haben in den letzten zwei Jahren Unternehmen auf der ganzen Welt durch Whaling rund 1,2 Milliarden Dollar beziehungsweise 1,07 Milliarden Euro eingebüßt.

Unternehmen investieren viel Zeit und Geld, um ihren Netzwerkverkehr oder ihre öffentlich zugänglichen Server vor Hackerangriffen zu schützen, was auch unbestritten überaus wichtig ist. Doch aufgrund dieser manipulativen, gezielten Spear-Phishing-Versuche sollte man die Kommunikation der Mitarbeiter keinesfalls außer Acht lassen.

Damit der Köder dem Phish nicht schmeckt...
Firewalls und Antivirensoftware sind weiterhin unverzichtbar, das steht außer Frage. Allerdings werden die Betrüger bei ihren Aktionen immer raffinierter. Will man den betreffenden Köder nicht schlucken, muss man ähnlich raffiniert vorgehen. Hier sind einige Tipps, wie Sie den Netzen von Phishern und Whaler entgehen:

Unternehmen sollten die Konfiguration der E-Mail-Accounts ihrer Führungskräfte ändern. Zum Beispiel statt der in Unternehmen meist üblichen E-Mail-Adresse Vorname.Nachname@domain.com das Schema Nachname.Vorname@ oder auch AnfangsbuchstabeVorname.Nachname@ verwenden oder besser noch ein Pseudonym, das nur eingeweihte Mitarbeiter kennen – Hauptsache, man macht es dem Phisher unmöglich, eine E-Mail zu fälschen.
Führen Sie einen ganz bestimmten Prozess ein, der bei ungewöhnlichen Anfragen befolgt werden muss – einige der Überweisungsbetrügereien der letzten Jahre hätten durch ein kurzes Telefonat zur Bestätigung der Anfrage verhindert werden können.

Erwägen Sie die Einführung eines "Geheimcodes", eine Wendung, die Führungskräfte gebrauchen, wenn sie miteinander kommunizieren, damit Nachrichten sofort als echt erkennbar sind.

Verschlüsseln Sie grundsätzlich alle E-Mails – das verhindert zwar nicht, dass ein Betrüger eine Nachricht versendet und diese ankommt, doch allein die Tatsache, dass sie nicht verschlüsselt ist, würde den Empfänger stutzig machen.
Um das Risiko weiter zu begrenzen sind zuverlässige E-Mail- und Web-Filter unerlässlich. Das Netz des Walfängers zu erkennen, ist schwierig, aber nicht unmöglich. (AppRiver: ra)

AppRiver: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Cyber-Erpressung auf Bestellung

    CryptoLocker, GoldenEye, Locky, WannaCry - Ransomware hat mit der Geiselnahme von Dateien durch Verschlüsselung in den letzten Jahren eine beachtliche und unrühmliche Karriere hingelegt. Und da sich Kriminelle auch bei Digitalisierungstrends wie as-a-Service-Angeboten nicht lumpen lassen, hat die Untergrundökonomie mit Ransomware-as-a-Service (RaaS) rasch ein lukratives Geschäftsmodell für sich entdeckt, das in kürzester Zeit enormes Wachstum erlebt hat. Das Prinzip ist denkbar einfach - wie in der legalen Wirtschaft sind die Dienstleistungen ganz auf die Bedürfnisse einer möglichst breiten Kundschaft zugeschnitten: Auf Ransomware-as-a-Service-Plattformen können nun auch technisch wenig versierte Kriminelle ins Cyber-Erpressergeschäft einsteigen und sich von Schadware-Entwicklern die entsprechende Service-Leistung gegen Abgabe einer festen Gebühr oder einer Provision basierend auf den Lösegeldeinnahmen besorgen.

  • Investitionen in IT-Sicherheit legitimieren

    Wenn man so oft direkt mit unterschiedlichen Unternehmen und Menschen zu tun hat wie der Vertrieb, erkennt man schnell bestimmte Reaktionsschemata. Ebenso wie zuverlässig wiederkehrende Schwierigkeiten beim Implementieren von IT-Sicherheitsmaßnahmen. Den größten Teil unserer Zeit verbringen wir damit zu erläutern warum Cybersicherheit derart wichtig ist und wie ein Unternehmen von bestimmten Maßnahmen am besten profitiert. Trotzdem erhält man regelmäßig dieselben Antworten: "Ich verstehe absolut wovon Sie sprechen, und ich gebe Ihnen sogar Recht. Nur, wie soll ich die zusätzlichen Ausgaben gegenüber der Geschäftsleitung rechtfertigen?" Es gibt allerdings einige grundlegende Argumente die Kunden helfen, Sicherheitsansätze und Lösungen gegenüber der Geschäftsführung oder anderen Zeichnungsbefugten plausibel zu machen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert.

  • Tor-Browser, um IP-Adressen zu verschleiern

    Trotz ausgereifter Sicherheitstechnologien bleiben Anwender für Unternehmen eine empfindliche Schwachstelle, insbesondere deshalb, weil Cyberkriminelle ihre Social Engineering-Angriffe immer weiter verfeinern. Vor allem Phishing zählt zu den Angriffsvektoren, die Unternehmen gegenwärtig Kopfschmerzen bereiten. So werden E-Mails im Namen von Payment-Services, Shopanbietern oder E-Mailservice-Hosts von den kriminellen Hintermännern täuschend echt nachgeahmt, mit dem Ziel, durch das Abfischen von Logindaten weitere sensible, persönliche Daten zu erbeuten. Doch wie sehen die Konsequenzen aus, wenn Nutzerdaten von Mitarbeitern in die falschen Hände geraten und welche Auswirkungen hätte dies auf das Unternehmen? Das Forschungsteam von Bitglass hat versucht, mithilfe eines Experiments unter dem Namen "Cumulus" den Verbreitungswegen illegal erbeuteter Daten auf die Spur zu kommen.

  • PKI ist im 21. Jahrhundert angekommen

    Um ein IoT-Ökosystem sicher aufzubauen und zu entwickeln, braucht man zwingend Tools und Architekturen, um IoT-Geräte zu identifizieren, zu kontrollieren und zu verwalten. Dieser Prozess beginnt mit dem Festlegen einer starken Identität für jedes IoT-Gerät. Der folgende Beitrag beschäftigt sich mit einigen der Möglichkeiten, wie man die Authentizität von IoT-Geräten verifizieren kann, bevor man sie integriert. Die IoT-Entwicklung durchdringt mittlerweile alle Facetten unseres Lebens. Entsprechend rasant ist das Innovationstempo in diesem Bereich. Es existieren viele Anwendungen, die klug und ausgereift sind, aber leider auch solche, die das genaue Gegenteil davon sind. Dessen ungeachtet sind die weitaus meisten Anwendungen sehr wirkungsvoll etwa in der Landwirtschaft oder im Gesundheitswesen. Das IoT ist also nicht mehr weg zu denken. Trotzdem mutet die Entwicklung bisweilen so an, als versuche jemand zu rennen bevor er noch überhaupt laufen gelernt hat. Übersetzt heißt das, IoT-Entwickler vernachlässigen eine Kernkomponente unserer vernetzten Welt, die Sicherheit.