- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Whaling - Das Netz für die großen "Phishe"


Phishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird
Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten

Von Fred Touchette, Manager of Security Research bei AppRiver

(22.04.16) - Phishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird. Das Ziel ist, eine ausgewählte Person mittels Social Engineering, gefälschten E-Mails oder Inhalten dazu zu bringen, entweder ein Schadprogramm herunterzuladen und persönliche oder geschäftliche Daten preiszugeben. Einmal ins Netz gegangen lässt sich das Opfer gleich auf verschiedene Arten ausbeuten – vom Identitätsdiebstahl bis hin zum Unternehmensbetrug im großen Stil. Man geht davon aus, dass Phishing etwa 1995 entstanden ist, aber erst seit 2005 wurde es weithin als Angriffsmethode wahrgenommen. Und jetzt, mehr als zehn Jahre später, ist Phishing noch immer ein Problem.

Die Evolution des Phishings
"Phisher" werfen ihre Netze weit aus und setzen auf die statistische Wahrscheinlichkeit, dass ein gewisser Prozentsatz der Adressaten auf die Täuschung hereinfallen wird. Zur Verdeutlichung: In einer Untersuchung von Verizon aus dem Jahr 2015 mit 150.000 zugrunde gelegten Phishing-Mails öffneten 23 Prozent der Empfänger die Phishing-Nachricht als solche und 11 Prozent öffneten auch den Anhang.

In den letzten zehn Jahren ist durch Aufklärung zum Thema Phishing das Bewusstsein für die Risiken gewachsen. Und die Nutzer stellen zunehmend die Echtheit von E-Mails infrage. Die Konversionsraten begannen zu sinken und Phisher sahen sich gezwungen, ihre Nachrichten zu perfektionieren, um die Erfolgsquote wieder zu erhöhen. Unglücklicherweise werden Phisher durch die Beliebtheit sozialer Netzwerke, wie Facebook, Twitter, LinkedIn et cetera mit einer wahren Flut von Informationen versorgt, mit der sie ihre Nachrichten noch echter wirken lassen können. Bei diesem sogenannten "Spear-Phishing" wird es deutlich schwerer, Täuschung und Wahrheit auseinanderzuhalten.

Das mag jetzt klingen, als wären Betrüger ohnehin klar im Vorteil. Doch auch auf Seiten der Unternehmenssicherheit kann man inzwischen einige Erfolge verbuchen. Zunächst einmal sind, da Phisher auf Masse setzen, Firewalls und E-Mail-Gateways geübt, große Traffic-Mengen zu erkennen und zu blockieren. Viele derartige Betrugsversuche landen also gar nicht erst im Posteingang. Eine andere positive Entwicklung sind Antivirenprogrammen, die sich darauf spezialisiert haben genau diesen Nachrichtentypus zu überwachen und zu erkennen. Und solcherart Schadprogramme aussortieren, bevor sie die Inbox erreichen.

Wie bei jedem "Geschäft" dreht sich auch hier alles um die Ertragsmaximierung. Es überrascht also nicht, dass die Betrüger ihre Methoden angepasst haben. Beispielsweise enthalten Nachrichten verworrene Codes, damit sie nicht sofort als Phishing-Mails entlarvt werden und insgesamt werden weniger Nachrichten verschickt. Eine relativ neue Taktik ist es, sich bei den Aktivitäten auf den "dicksten Phish" im Gewässer zu konzentrieren – weniger Adressaten, aber höhere, in einigen Fällen viel höhere, Erträge!

"Whaling"
Der Begriff "Whaling" ist ein Wortspiel, das sich darauf bezieht, dass eine wichtige Person gerne als "dicker Fisch" – oder in unserem Fall "Phish" – bezeichnet wird.

Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten. Informationen zu diesen Persönlichkeiten finden sich nicht selten auf Unternehmenswebseiten, in LinkedIn-Profilen und sogar den Twitter-Accounts von Firmen – sie enthalten wesentliche Fakten, die digitale "Walfänger" für ihre Machenschaften benötigen.Wie bei jeder Form des Phishings ist das Ziel des Whalings, die anvisierte Person durch Social Engineering, gefälschte E-Mails und gefälschte Inhalte dazu zu bewegen, persönliche oder geschäftliche Daten preiszugeben.

Ein Beispiel für einen erfolgreich durchgeführten Whaling-Angriff (auch als "CEO-Fraud" bezeichnet) ist eine Form des Überweisungsbetrugs. Das Opfer, meist ein ranghoher Manager, erhält eine gefälschte Nachricht von einem Hacker, der sich als CFO oder sogar CEO eines Partnerunternehmens ausgibt und um die Überweisung eines Geldbetrags für eine Lieferantenzahlung oder gar eine Unternehmensübernahme bittet. Natürlich wird das Geld nicht für die genannte Zahlung oder Übernahme verwendet, sondern auf ein Bankkonto, auf das der Hacker Zugriff hat, eingezahlt.

Diese Mitteilungen wirken zunächst ganz harmlos. So fragt der Hacker (der sich als Geschäftsführer oder interner Mitarbeiter ausgibt) beispielsweise das Opfer, ob es an seinem Schreibtisch sitzt. Um glaubhaft zu wirken, nutzt der Hacker für die E-Mail eine Adresse mit der Firmendomain, als Antwortadresse gibt er jedoch eine Adresse mit einer externen Domain an, meist die eines kostenlosen E-Mail-Dienstes. Bei dieser Methode passiert es nicht selten, dass die Opfer mit dem Hacker per Mail kommunizieren, ohne zu bemerken, dass sie gerade übers Ohr gehauen werden. Mit dieser Vorgehensweise wurden bereits Tausende Dollar mittels betrügerischer Überweisungen von Unternehmen gestohlen. Die geforderte Summe liegt dabei oft in einem Bereich zwischen 20.000 und 50.000 Dollar. Das sind schon keine ganz geringen Verluste mehr. Allerdings geht es bei vielen Betrugsversuchen um deutlich höhere Summen. Nicht selten in einer Größenordnung, die eine Firma in den finanziellen Ruin stürzen kann.

Ubiquiti, ein Hersteller von Netzwerkkomponenten, fiel Mitte 2015 auf eine solche Masche herein. Das Unternehmen überwies nicht Zehntausende Dollar, sondern ganze 40 Millionen US-Dollar. Es gelang zwar, einige Millionen im Nachhinein zurückzubekommen, doch den Großteil des Geldes darf man wohl getrost als verloren betrachten. Anfang 2016 meldete die belgische Bank Crelan, eine Tochter der Crédit-Agricole-Gruppe, dass sie einem Whaling-Angriff zum Opfer gefallen war und mehr als 70 Millionen Euro verloren gingen. FBI-Zahlen zufolge haben in den letzten zwei Jahren Unternehmen auf der ganzen Welt durch Whaling rund 1,2 Milliarden Dollar beziehungsweise 1,07 Milliarden Euro eingebüßt.

Unternehmen investieren viel Zeit und Geld, um ihren Netzwerkverkehr oder ihre öffentlich zugänglichen Server vor Hackerangriffen zu schützen, was auch unbestritten überaus wichtig ist. Doch aufgrund dieser manipulativen, gezielten Spear-Phishing-Versuche sollte man die Kommunikation der Mitarbeiter keinesfalls außer Acht lassen.

Damit der Köder dem Phish nicht schmeckt...
Firewalls und Antivirensoftware sind weiterhin unverzichtbar, das steht außer Frage. Allerdings werden die Betrüger bei ihren Aktionen immer raffinierter. Will man den betreffenden Köder nicht schlucken, muss man ähnlich raffiniert vorgehen. Hier sind einige Tipps, wie Sie den Netzen von Phishern und Whaler entgehen:

Unternehmen sollten die Konfiguration der E-Mail-Accounts ihrer Führungskräfte ändern. Zum Beispiel statt der in Unternehmen meist üblichen E-Mail-Adresse Vorname.Nachname@domain.com das Schema Nachname.Vorname@ oder auch AnfangsbuchstabeVorname.Nachname@ verwenden oder besser noch ein Pseudonym, das nur eingeweihte Mitarbeiter kennen – Hauptsache, man macht es dem Phisher unmöglich, eine E-Mail zu fälschen.
Führen Sie einen ganz bestimmten Prozess ein, der bei ungewöhnlichen Anfragen befolgt werden muss – einige der Überweisungsbetrügereien der letzten Jahre hätten durch ein kurzes Telefonat zur Bestätigung der Anfrage verhindert werden können.

Erwägen Sie die Einführung eines "Geheimcodes", eine Wendung, die Führungskräfte gebrauchen, wenn sie miteinander kommunizieren, damit Nachrichten sofort als echt erkennbar sind.

Verschlüsseln Sie grundsätzlich alle E-Mails – das verhindert zwar nicht, dass ein Betrüger eine Nachricht versendet und diese ankommt, doch allein die Tatsache, dass sie nicht verschlüsselt ist, würde den Empfänger stutzig machen.
Um das Risiko weiter zu begrenzen sind zuverlässige E-Mail- und Web-Filter unerlässlich. Das Netz des Walfängers zu erkennen, ist schwierig, aber nicht unmöglich. (AppRiver: ra)

AppRiver: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Grundlagen

  • Internet-Ausfall: Stationärer Handel in der Klemme

    In nur wenigen Bereichen hat sich in den letzten 30 Jahren so viel verändert wie im stationären Handel. Während manche Einzelhändler das Internet immer noch als Bedrohung empfinden, profitiert das Gros von vielen Vorteilen, die das World Wide Web mit sich bringt. Beispiel Kartenzahlungen: Sie wären ohne Internetanbindung gar nicht möglich. Somit ist für Einzelhändler eine kontinuierliche Internetverbindung essenziell, ja gerade überlebenswichtig. Umso schlimmer, wenn das Netz ausfällt. Doch für den unangenehmen Fall der Fälle gibt es gute Lösungen. Ohne Internet sind moderne Verkaufserlebnisse undenkbar: Zu den neueren Entwicklungen im Einzelhandel zählt das so genannte Omni-Channel-Retailing. Dabei nutzen Shops oder Filialen mehrere, vor allem onlinebasierte Kanäle, um dem Kunden ein optimales Verkaufserlebnis zu bieten. So beispielsweise der Reifenwechsel am Auto: Bei größeren Werkstätten und Werkstattketten ist es heute State-of-the-Art, dass der Kunde seine Wunschreifen und Felgen online bestellt, eventuell unterstützt durch eine telefonische Beratung. Nach dem Kauf vereinbart er dann über eine Webseitenschnittstelle gleich den Montagetermin. Die Werkstatt erhält die Terminanfrage in ihrem CRM und bestätigt per E-Mail. Zum Termin liegen die bestellten Reifen in der Werkstatt bereit und werden montiert.

  • Cyber Intelligence - Mehr als ein Trend?

    Cyber Intelligence, auch Cyber Threat Intelligence oder nur Threat Intelligence, ist keine neue Disziplin innerhalb der Informationssicherheit. Die US-amerikanische National Security Alliance hat gemeinsam mit dem Beratungsunternehmen Deloitte bereits 2011 (!) verlautbaren lassen, dass Cyber Intelligence tatsächlich so etwas wie die intelligentere Art und Weise ist, mit Datenschutzverletzungen und Bedrohungsszenarien umzugehen. Zitat: "The consultancy Deloitte deems cyber intelligence as a vastly more sophisticated and full set of threat management tactics (than IT security itself), providing tools to move to a more proactive, over-the-horizon threat awareness posture."

  • Vorschriften im Gesundheitswesen

    Personenbezogene Daten geheim und sicher zu halten, ist im Gesundheitssektor immens wichtig. Mittlerweile ist es bereits 21 Jahre her seit Titel I des Health Insurance Portability and Accountability Act (HIPAA) in den Vereinigten Staaten verabschiedet wurde, um den Krankenversicherungsschutz für Arbeitnehmer und Familien zu gewährleisten. 2003 wurde Titel II als nationaler Standard für elektronische Transaktionen im Gesundheitswesen und nationale Kennzeichnungsvorschriften für Versorger, Krankenversicherungen und Mitarbeiter eingerichtet. Zu diesem Zeitpunkt wurden etliche Datenschutz- und Sicherheitsregeln zum Schutz elektronischer Gesundheitsdaten (e-PHI) definiert. Vor einigen Jahren haben der US-Kongress und das Department of Health and Human Services (Gesundheitsministerium HHS) im Cybersecurity Act von 2015 die Health Care Industry Cybersecurity (HCIC) Task Force eingerichtet. Grund war die wachsende Sorge um Risiken und Bedrohungen der Cybersicherheit für das Gesundheitswesen. Erst vor kurzem hat die Task Force ihre Ergebnisse in einem sehr detaillierten Report on Improving Cybersecurity in the Health Care Industry veröffentlicht. Der Report betont die Dringlichkeit der empfohlenen Maßnahmen angesichts der wachsenden Zahl komplexer Cyberbedrohungen. Das Gesundheitswesen müsse eben diese Maßnahmen zeitnah zum Schutz von Systeme und Patienten umsetzen.

  • Datensicherheit und Datenschutz

    Im Mai 2018 wird das EU-Regelwerk zum Datenschutz scharf gestellt. Unternehmen bleibt nicht viel Zeit, ihre IT für einen gesetzeskonformen Umgang mit personenbezogenen Daten umzubauen. Dabei ist mehr als Datenklassifizierung, Risikoanalyse und Dokumentation gefragt. Die gute Nachricht: Es ist noch nicht zu spät. Der Datenschutz in Europa wird vereinheitlicht. Darauf zielt die EU-Datenschutz-Grundverordnung (DSGVO) ab. Das Regelwerk, die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, wurde im April 2016 im EU-Parlament verabschiedet und am 4. Mai 2016 im EU-Amtsblatt veröffentlicht. Die 28 EU-Mitgliedstaaten haben bis zum 25. Mai 2018 Zeit, alle Vorgaben umzusetzen. In Europa gibt es Richtlinien, die von den EU-Staaten in nationales Recht umgesetzt werden müssen und Verordnungen, die unmittelbar geltendes Recht sind.

  • Googeln für Hacker

    Google ist die Suchmaschine schlechthin, auch wenn die Datensammelwut des Weltkonzerns aus Mountainview immer wieder kontrovers diskutiert wird. Fast 80 Prozent der Suchanfragen weltweit gehen an Google, während andere Suchmaschinen noch nicht einmal die 10-Prozent-Hürde schaffen. Bei Mobilgeräten liegt der Anteil von Google sogar bei mehr als 96 Prozent. Das ist selbst für Laien keine Überraschung. Weniger verbreitet ist das Wissen, dass Google sich auch bei Hackern großer Beliebtheit erfreut. Verschiedene versteckte Funktionen ermöglichen es Eingeweihten, sehr schnell an umfangreiche Listen potenzieller Opfer zu kommen. Versehentlich freigegebene Dokumente ausspähen, verwundbare Log-in-Seiten finden oder sich in schlecht geschützte Webcams einloggen - Google liefert bequem die einfachsten Ziele. Das ist nicht alles: durch verschiedene Tricks kann sich ein Angreifer quasi hinter der "harmlosen" Suchmaschine verstecken und so gezielt seine Spuren verwischen.