What is whaling and whom does it typically target?

Whaling, also known as whale phishing, is a specialized digital attack that focuses on high-level leaders and C-suite executives. Unlike broad phishing attempts, these attacks are highly personalized and involve extensive research to target individuals with significant authority or access.

How does a whaling attack differ from standard business email compromise?

While both methods use social engineering, whaling specifically targets prominent, high-ranking figures within an organization. Because the potential rewards are greater, whaling campaigns are often more persistent and intricately designed than typical BEC attacks, which may target employees at any level.

What are the primary motives behind whaling attacks?

Scammers carry out whaling campaigns to obtain large sums of money, gain entry into secure systems, or steal highly sensitive corporate data.

Which social engineering techniques do attackers use to build trust?

Attackers may interact with a target over weeks or months to establish a sense of legitimacy before making a malicious request. They often use personal details, mimic a specific person's writing style, or even use deepfakes and compromised accounts to appear authentic.

In what ways do scammers use urgency to manipulate their targets?

Whaling messages often raise the stakes by linking their requests to critical events like legal inquiries, company mergers, or data breaches. This pressures the executive to act immediately to avoid a perceived negative consequence.

What is whaling phishing?

Was ist „Whaling Phishing“?

Mit „Whaling“ oder auch „Whale-Phishing“ sind Phishing-Angriffe gemeint, die speziell auf hochrangige Opfer abzielen. Whaling-Angriffe beinhalten einen hohen Anteil an Personalisierung.

Was ist „Whaling“?

Whaling oder Whaling-Phishing ist eine Art von Angriff, der auf hochrangige Führungskräfte abzielt, in der Regel über digitale Kanäle wie E-Mail, Textnachricht oder Instant Message. Whaling ist eine Form des Spear-Phishing und hochgradig personalisiert. Es erfordert in der Regel einen erheblichen Rechercheaufwand seitens des Betrügers. Bei einem Whale-Phishing-Angriff geht es um Daten, Zugang oder Geld. Da Whaling auf Mitglieder der C-Suite oder andere leitende Angestellte abzielt, sind die Betrüger in der Regel auf extrem sensible Daten, hohe Zugriffsberechtigungen oder große Geldbeträge aus.

Wie andere Arten von Phishing beinhaltet auch das Whaling Social Engineering, um die Zielperson zu einem schnellen Handeln zu bewegen. Die Betrüger verwenden eine Reihe von Techniken, um ihre wahren Identitäten zu verschleiern, vom Domain-Spoofing bis zum Identitätsdiebstahl.

Whaling-Angriffe sind zwar teuer und zeitaufwändig (für den Angreifer) und daher seltener, aber sie können für ein Unternehmen enorme negative Auswirkungen haben. Unternehmen müssen sich zusätzlich zu ihren typischen Phishing-Abwehrmaßnahmen gegen Whaling schützen, da dabei Taktiken eingesetzt werden, die die gewöhnlichen Sicherheitsmaßnahmen umgehen können.

Betrüger scheuen oft keinen Aufwand, um ihre Whaling-Kampagnen sorgfältig zu inszenieren. Aus ihrer Sicht lohnen sich Whaling-Angriffe, da sie auf eine hohe Auszahlung abzielen. Zu den wichtigsten eingesetzten Taktiken zählen:

Einbeziehung persönlicher Details, um Legitimität zu verleihen: Eine Personalisierung trägt dazu bei, dass die Nachricht authentisch wirkt. Informationen über den Arbeitsplatz oder das Privatleben des beabsichtigten Opfers können aus verschiedenen Quellen stammen.

Den Druck erhöhen: Whaling-Nachrichten können das Ziel dazu verleiten, sofort zu handeln, bevor eine negative Konsequenz eintritt. Um zusätzliche Dringlichkeit zu erzeugen, beziehen sich Whaling-Angriffe häufig auf wichtige oder öffentlichkeitswirksame Ereignisse wie Unternehmensfusionen, rechtliche Untersuchungen, bedeutende Finanztransaktionen oder Datenpannen.

Sich als vertrauenswürdige Person ausgeben: Betrüger verwenden Domain-Spoofing, gefälschte Instant-Messaging-Namen oder sogar SIM-Swapping-Telefonnummern, um sich als jemand auszugeben, den die Zielperson kennt. Sie können den Schreibstil der vertrauenswürdigen Person imitieren oder Deepfakes verwenden, um deren Stimme oder Aussehen nachzuahmen. Whaling-Angreifer können sogar das echte Konto der vertrauenswürdigen Person verwenden, wenn sie es in einer früheren Kampagne zur Kontoübernahme kompromittiert haben. Eine gängige Version dieser Taktik besteht darin, dass sich der Betrüger als CEO ausgibt und Personalverantwortliche oder hochrangige Mitglieder der Finanzabteilung kontaktiert.

Mehrere Interaktionen, nicht nur eine einzige E-Mail wie bei einem Phishing-Angriff. Der Betrüger versucht möglicherweise, das Vertrauen des beabsichtigten Opfers über einen Zeitraum von Wochen oder Monaten zu gewinnen. Beispielsweise könnte ein Betrüger, der vorgibt, der CEO der Acme Corp. zu sein, E-Mails an den Personalleiter von Acme Corp. von einer E-Mail-Adresse aus senden, die sich geringfügig von der E-Mail-Adresse des echten CEOs unterscheidet, jedoch legitime Nachrichten enthält, so dass sich der Personalleiter daran gewöhnt, auf solche E-Mails zu antworten. Sobald das Vertrauen gewonnen ist, stellen sie ihre böswillige Anfrage.

Einfügen einer Nachricht als Teil einer laufenden Unterhaltung oder Transaktion: Einen Schritt über die Nachahmung hinaus können Angreifer Nachrichten als Teil bereits bestehender Threads versenden. Das ist schwer zu bewerkstelligen, aber frühere erfolgreiche Kontoübernahmeangriffe können dies ermöglichen.

Wie personalisieren Whaling-Angreifer ihre Nachrichten?

Betrügern stehen eine Reihe von Kanälen zur Verfügung, um an die Informationen zu gelangen, die sie zur Personalisierung ihrer Nachrichten benötigen.

Öffentlich zugängliche Informationen: Whaling-Ziele bekleiden häufig stark exponierte Positionen, sodass über sie zahlreiche öffentlich verfügbare Informationen existieren. Anhand dieser Informationen können Angreifer entscheiden, wen sie ins Visier nehmen, ihre Angriffe planen und die einzelnen Nachrichten, die sie senden, personalisieren.
Informationen aus sozialen Medien: Wenn beispielsweise ein CTO gerade an einer Konferenz in Las Vegas, Nevada, teilgenommen und darüber gepostet hat, könnte sich ein Angreifer als ein Kontakt ausgeben, den er auf dieser Veranstaltung kennengelernt hat.
Recherche zur Unternehmenshierarchie und -funktionen: Ein großer Teil der Hierarchiestruktur eines Unternehmens lässt sich über dessen Website oder über soziale Medien ermitteln.
Zuvor kompromittierte Daten: Sammlungen personenbezogener Informationen, einschließlich Kontaktinformationen, sind im Dark Web zum Kauf erhältlich, oder der Betrüger hat solche Informationen aus früheren Angriffen erhalten.
Insider-Beteiligung (absichtlich oder unbeabsichtigt): Angreifer können Social Engineering einsetzen, um Mitarbeitende eines Unternehmens so zu manipulieren, dass sie Insider-Informationen über die Struktur und die Arbeitsweise eines Unternehmens oder die Gewohnheiten der Führungskräfte preisgeben. Alternativ können böswillige Insider und Unternehmensspione diese Informationen absichtlich an die Whaling-Angreifer weitergeben.

Wie setzen Whale-Phishing-Angriffe KI ein?

Um Nachrichten zu generieren: Große Sprachmodelle (LLMs) erleichtern die Erstellung überzeugender, fehlerfreier Nachrichten oder E-Mails erheblich.
Zur Nachahmung vertrauenswürdiger Parteien: KI kann Betrügern helfen, den Schreibstil oder die Stimme am Telefon zu imitieren.
Vibe-Coding zur Nachahmung von Marken: Gefälschte Websites oder authentisch aussehende E-Mail-Designs können mit Vibe-Coding schneller als je zuvor erstellt werden.
Automatisierung: Ein Teil des Prozesses der Identifizierung potenzieller Ziele, der Kompromittierung nachgelagerter Konten oder anderer Aspekte des Whaling-Lebenszyklus kann mithilfe von KI automatisiert werden.

Whaling vs. Kompromittierung von Geschäftsmails (BEC)

Whaling-Angriffe weisen einige Gemeinsamkeiten mit BEC (Business Email Compromise)-Angriffen auf. Wie BEC-Angriffe beruhen auch Whaling-Angriffe stark auf Social Engineering und nicht auf Schadsoftware oder bösartigen Links, sodass sie eher durch die E-Mail-Sicherheitsfilter schlüpfen. BEC-Angriffe können sich jedoch gegen Mitglieder der niedrigen oder mittleren Ebene eines Unternehmens richten, während Whaling-Attacken ausschließlich auf die Führungsetage oder andere hochrangige, prominente Persönlichkeiten abzielen. Da die Angreifer eine höhere Auszahlung erwarten, können Whaling-Angriffe noch komplexer aufgebaut sein als typische BEC-Kampagnen, und die Angreifer können sehr hartnäckig sein.

Whaling kann auch über andere Kanäle als E-Mail stattfinden. Tatsächlich sind Multi-Channel-Angriffe bei allen Arten von Phishing immer häufiger geworden.

Wie Sie Whaling-Angriffe verhindern können

Angreifer, die genügend Ressourcen und Zeit in die Durchführung eines Whaling-Angriffs investieren, werden wahrscheinlich sicherstellen, dass ihre E-Mails grundlegende Sicherheitsprüfungen wie DMARC, DKIM und SPF bestehen. Das ist natürlich nicht immer der Fall und es lohnt sich, diese Sicherheitsüberprüfungen durchzuführen, aber man sollte sich nicht ausschließlich auf sie verlassen. Whale-Phishing-Angriffe können auch herkömmliche sichere E-Mail-Gateways umgehen, da sie in der Regel keine bösartigen Links oder Anhänge enthalten und Angreifer möglicherweise darauf achten, sie nicht von bekannten schlechten IP-Adressen zu versenden.

Aus diesen Gründen sind E-Mail-Sicherheitsfilter, die die Reputation des Absenders, die Nachrichtenstimmung und den Gesprächskontext sowie andere Merkmale analysieren, zur Erkennung potenzieller Whaling-Angriffe (wie bei der BEC-Prävention) unerlässlich. Ungewöhnliche Anfragen oder Nachrichten können als verdächtig gekennzeichnet und untersucht oder blockiert werden.

Schließlich sollten alle Mitarbeitenden, Auftragnehmer und Führungskräfte innerhalb einer Organisation regelmäßig darin geschult werden, wie man potenzielle Phishing-Kampagnen erkennt und sich mit dem angeblichen Absender einer E-Mail oder einer Nachricht über einen anderen vertrauenswürdigen Kanal in Verbindung setzt, bevor man größere Transaktionen durchführt.

Erfahren Sie, wie Cloudflare Email Security Whaling- und BEC-Angriffe stoppt, bevor sie stattfinden.

FAQs

Was ist „Whaling“ und auf wen zielt es normalerweise ab?

Whaling, auch als Whale-Phishing bekannt, ist ein spezialisierter digitaler Angriff, der sich gezielt gegen Führungskräfte auf höchster Ebene und Mitglieder der Geschäftsleitung richtet. Im Gegensatz zu breit angelegten Phishing-Versuchen sind diese Angriffe stark personalisiert und beinhalten umfangreiche Recherchen, um Personen mit erheblicher Entscheidungsbefugnis oder weitreichendem Zugriff gezielt anzugreifen.

Wie unterscheidet sich ein Whaling-Angriff von der standardmäßigen Kompromittierung von Geschäfts-E-Mails?

Obwohl beide Methoden auf Social Engineering beruhen, richtet sich Whaling gezielt gegen prominente, hochrangige Persönlichkeiten innerhalb einer Organisation. Da die potenziellen Gewinne höher sind, sind Whaling-Kampagnen häufig hartnäckiger und ausgefeilter konzipiert als typische BEC-Angriffe, die Mitarbeitende auf jeder Ebene ins Visier nehmen können.

Was sind die primären Motive für Whaling-Angriffe?

Betrüger führen Whaling-Kampagnen durch, um große Summen zu erhalten, sich Zugang zu sicheren Systemen zu verschaffen oder hochsensible Unternehmensdaten zu stehlen.

Angreifer können über Wochen oder Monate hinweg mit einem Ziel kommunizieren, um zunächst einen Eindruck von Legitimität zu erzeugen, bevor sie eine bösartige Anfrage stellen. Dabei nutzen sie häufig persönliche Details, ahmen den Schreibstil einer bestimmten Person nach oder greifen sogar auf Deepfakes und kompromittierte Konten zurück, um authentisch zu wirken.

Wie manipulieren Betrüger ihre Ziele durch Dringlichkeit?

Whaling-Nachrichten erhöhen häufig den Druck, indem sie ihre Anfragen mit kritischen Ereignissen wie rechtlichen Untersuchungen, Unternehmensfusionen oder Datenpannen verknüpfen. Dadurch wird die Führungskraft dazu gedrängt, sofort zu handeln, um eine vermeintlich negative Konsequenz zu vermeiden.