- Anzeigen -


Sie sind hier: Home » Fachbeiträge » Grundlagen

Whaling - Das Netz für die großen "Phishe"


Phishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird
Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten

Von Fred Touchette, Manager of Security Research bei AppRiver

(22.04.16) - Phishing ist eine der Bedrohungsformen, bei der immer trickreicher, fast schon kunstvoll vorgegangen wird. Das Ziel ist, eine ausgewählte Person mittels Social Engineering, gefälschten E-Mails oder Inhalten dazu zu bringen, entweder ein Schadprogramm herunterzuladen und persönliche oder geschäftliche Daten preiszugeben. Einmal ins Netz gegangen lässt sich das Opfer gleich auf verschiedene Arten ausbeuten – vom Identitätsdiebstahl bis hin zum Unternehmensbetrug im großen Stil. Man geht davon aus, dass Phishing etwa 1995 entstanden ist, aber erst seit 2005 wurde es weithin als Angriffsmethode wahrgenommen. Und jetzt, mehr als zehn Jahre später, ist Phishing noch immer ein Problem.

Die Evolution des Phishings
"Phisher" werfen ihre Netze weit aus und setzen auf die statistische Wahrscheinlichkeit, dass ein gewisser Prozentsatz der Adressaten auf die Täuschung hereinfallen wird. Zur Verdeutlichung: In einer Untersuchung von Verizon aus dem Jahr 2015 mit 150.000 zugrunde gelegten Phishing-Mails öffneten 23 Prozent der Empfänger die Phishing-Nachricht als solche und 11 Prozent öffneten auch den Anhang.

In den letzten zehn Jahren ist durch Aufklärung zum Thema Phishing das Bewusstsein für die Risiken gewachsen. Und die Nutzer stellen zunehmend die Echtheit von E-Mails infrage. Die Konversionsraten begannen zu sinken und Phisher sahen sich gezwungen, ihre Nachrichten zu perfektionieren, um die Erfolgsquote wieder zu erhöhen. Unglücklicherweise werden Phisher durch die Beliebtheit sozialer Netzwerke, wie Facebook, Twitter, LinkedIn et cetera mit einer wahren Flut von Informationen versorgt, mit der sie ihre Nachrichten noch echter wirken lassen können. Bei diesem sogenannten "Spear-Phishing" wird es deutlich schwerer, Täuschung und Wahrheit auseinanderzuhalten.

Das mag jetzt klingen, als wären Betrüger ohnehin klar im Vorteil. Doch auch auf Seiten der Unternehmenssicherheit kann man inzwischen einige Erfolge verbuchen. Zunächst einmal sind, da Phisher auf Masse setzen, Firewalls und E-Mail-Gateways geübt, große Traffic-Mengen zu erkennen und zu blockieren. Viele derartige Betrugsversuche landen also gar nicht erst im Posteingang. Eine andere positive Entwicklung sind Antivirenprogrammen, die sich darauf spezialisiert haben genau diesen Nachrichtentypus zu überwachen und zu erkennen. Und solcherart Schadprogramme aussortieren, bevor sie die Inbox erreichen.

Wie bei jedem "Geschäft" dreht sich auch hier alles um die Ertragsmaximierung. Es überrascht also nicht, dass die Betrüger ihre Methoden angepasst haben. Beispielsweise enthalten Nachrichten verworrene Codes, damit sie nicht sofort als Phishing-Mails entlarvt werden und insgesamt werden weniger Nachrichten verschickt. Eine relativ neue Taktik ist es, sich bei den Aktivitäten auf den "dicksten Phish" im Gewässer zu konzentrieren – weniger Adressaten, aber höhere, in einigen Fällen viel höhere, Erträge!

"Whaling"
Der Begriff "Whaling" ist ein Wortspiel, das sich darauf bezieht, dass eine wichtige Person gerne als "dicker Fisch" – oder in unserem Fall "Phish" – bezeichnet wird.

Whaling trägt alle Merkmale von Phishing, es wird jedoch kein großes Netz ausgeworfen, sondern der Betrug richtet sich gezielt gegen einen ganz bestimmten Endnutzer, etwa einen ranghohen Manager, einen Datenbankadministrator oder einen Prominenten. Informationen zu diesen Persönlichkeiten finden sich nicht selten auf Unternehmenswebseiten, in LinkedIn-Profilen und sogar den Twitter-Accounts von Firmen – sie enthalten wesentliche Fakten, die digitale "Walfänger" für ihre Machenschaften benötigen.Wie bei jeder Form des Phishings ist das Ziel des Whalings, die anvisierte Person durch Social Engineering, gefälschte E-Mails und gefälschte Inhalte dazu zu bewegen, persönliche oder geschäftliche Daten preiszugeben.

Ein Beispiel für einen erfolgreich durchgeführten Whaling-Angriff (auch als "CEO-Fraud" bezeichnet) ist eine Form des Überweisungsbetrugs. Das Opfer, meist ein ranghoher Manager, erhält eine gefälschte Nachricht von einem Hacker, der sich als CFO oder sogar CEO eines Partnerunternehmens ausgibt und um die Überweisung eines Geldbetrags für eine Lieferantenzahlung oder gar eine Unternehmensübernahme bittet. Natürlich wird das Geld nicht für die genannte Zahlung oder Übernahme verwendet, sondern auf ein Bankkonto, auf das der Hacker Zugriff hat, eingezahlt.

Diese Mitteilungen wirken zunächst ganz harmlos. So fragt der Hacker (der sich als Geschäftsführer oder interner Mitarbeiter ausgibt) beispielsweise das Opfer, ob es an seinem Schreibtisch sitzt. Um glaubhaft zu wirken, nutzt der Hacker für die E-Mail eine Adresse mit der Firmendomain, als Antwortadresse gibt er jedoch eine Adresse mit einer externen Domain an, meist die eines kostenlosen E-Mail-Dienstes. Bei dieser Methode passiert es nicht selten, dass die Opfer mit dem Hacker per Mail kommunizieren, ohne zu bemerken, dass sie gerade übers Ohr gehauen werden. Mit dieser Vorgehensweise wurden bereits Tausende Dollar mittels betrügerischer Überweisungen von Unternehmen gestohlen. Die geforderte Summe liegt dabei oft in einem Bereich zwischen 20.000 und 50.000 Dollar. Das sind schon keine ganz geringen Verluste mehr. Allerdings geht es bei vielen Betrugsversuchen um deutlich höhere Summen. Nicht selten in einer Größenordnung, die eine Firma in den finanziellen Ruin stürzen kann.

Ubiquiti, ein Hersteller von Netzwerkkomponenten, fiel Mitte 2015 auf eine solche Masche herein. Das Unternehmen überwies nicht Zehntausende Dollar, sondern ganze 40 Millionen US-Dollar. Es gelang zwar, einige Millionen im Nachhinein zurückzubekommen, doch den Großteil des Geldes darf man wohl getrost als verloren betrachten. Anfang 2016 meldete die belgische Bank Crelan, eine Tochter der Crédit-Agricole-Gruppe, dass sie einem Whaling-Angriff zum Opfer gefallen war und mehr als 70 Millionen Euro verloren gingen. FBI-Zahlen zufolge haben in den letzten zwei Jahren Unternehmen auf der ganzen Welt durch Whaling rund 1,2 Milliarden Dollar beziehungsweise 1,07 Milliarden Euro eingebüßt.

Unternehmen investieren viel Zeit und Geld, um ihren Netzwerkverkehr oder ihre öffentlich zugänglichen Server vor Hackerangriffen zu schützen, was auch unbestritten überaus wichtig ist. Doch aufgrund dieser manipulativen, gezielten Spear-Phishing-Versuche sollte man die Kommunikation der Mitarbeiter keinesfalls außer Acht lassen.

Damit der Köder dem Phish nicht schmeckt...
Firewalls und Antivirensoftware sind weiterhin unverzichtbar, das steht außer Frage. Allerdings werden die Betrüger bei ihren Aktionen immer raffinierter. Will man den betreffenden Köder nicht schlucken, muss man ähnlich raffiniert vorgehen. Hier sind einige Tipps, wie Sie den Netzen von Phishern und Whaler entgehen:

Unternehmen sollten die Konfiguration der E-Mail-Accounts ihrer Führungskräfte ändern. Zum Beispiel statt der in Unternehmen meist üblichen E-Mail-Adresse Vorname.Nachname@domain.com das Schema Nachname.Vorname@ oder auch AnfangsbuchstabeVorname.Nachname@ verwenden oder besser noch ein Pseudonym, das nur eingeweihte Mitarbeiter kennen – Hauptsache, man macht es dem Phisher unmöglich, eine E-Mail zu fälschen.
Führen Sie einen ganz bestimmten Prozess ein, der bei ungewöhnlichen Anfragen befolgt werden muss – einige der Überweisungsbetrügereien der letzten Jahre hätten durch ein kurzes Telefonat zur Bestätigung der Anfrage verhindert werden können.

Erwägen Sie die Einführung eines "Geheimcodes", eine Wendung, die Führungskräfte gebrauchen, wenn sie miteinander kommunizieren, damit Nachrichten sofort als echt erkennbar sind.

Verschlüsseln Sie grundsätzlich alle E-Mails – das verhindert zwar nicht, dass ein Betrüger eine Nachricht versendet und diese ankommt, doch allein die Tatsache, dass sie nicht verschlüsselt ist, würde den Empfänger stutzig machen.
Um das Risiko weiter zu begrenzen sind zuverlässige E-Mail- und Web-Filter unerlässlich. Das Netz des Walfängers zu erkennen, ist schwierig, aber nicht unmöglich. (AppRiver: ra)

AppRiver: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Grundlagen

  • Zertifikat ist allerdings nicht gleich Zertifikat

    Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

  • Datensicherheit und -kontrolle mit CASBs

    Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

  • KI: Neue Spielregeln für IT-Sicherheit

    Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

  • DDoS-Angriffe nehmen weiter Fahrt auf

    DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

  • Fluch und Segen des Darkwebs

    Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.