Anfangs 2016 passierte es dem grossen Social-Network Konzern Snapchat: Ein erfolgreicher Angriff wurde auf das Unternehmen ausgeübt. Dabei bekam ein Mitarbeiter der HR-Abteilung eine E-Mail des CEOs, der nach Gehaltsinformationen von Mitarbeiter fragte. Da man nur sehr ungern eine Mitteilung des Chefs unbeantwortet lässt, wurden die Daten an ihn geschickt. Wenig später wurden sie auf einer Website namens SnapchatDB veröffentlich. Dabei wurde klar, dass die E-Mail nicht vom eigentlichen CEO Evan Spiegel stammte und Snapchat Opfer von einem Whaling-Angriff wurde. Das Unternehmen schaltete daraufhin das FBI ein und bot allen betroffenen Mitarbeitern kostenlos eine zweijährige Identitätsdiebstahlversicherung an (ganzer Artikel hier, nur in Englisch).
Phishing ist eine gezielte Manipulation der Anwender, basierend auf Social Engineering. Dabei wollen Cyberkriminelle an vertrauliche Informationen gelangen, indem sie sich als eine seriöse Person oder Institution ausgeben. Diese Angriffe werden meist via E-Mail auf sehr viele Anwender ausgeübt, in der Hoffnung, dass einige darauf hereinfallen. Ein klassisches Beispiel dafür sind E-Mails vom technischen Support, aber auch von eBay, PayPal und Amazon. Oftmals werden Probleme mit dem Benutzerkonto angeführt und der Empfänger aufgefordert auf einen Link zu klicken. Auf dieser Website werden dann die eingetragenen Daten direkt an den Betrüger gesendet.
Eine weitere Form von Phishing ist das Spear-Phishing. Wenn man mit einem Speer nach Fischen jagt, braucht man ein bestimmtes Ziel. Beim Spear-Phishing will der Angreifer von genau einem Mitarbeiter heikle Informationen, zum Beispiel Finanzdaten. Bei dieser Methode werden die Angriffe aufwändiger geplant, was die Chance erhöht, dass das Opfer darauf eingeht. Oftmals wird Spear-Phishing verwendet, wenn der Angreifer von einer Regierung beauftragt wurde.
Whaling ist wie Spear-Phishing, nur werden hier spezifisch Mitarbeiter einer hohen Position zum Ziel. Diese haben Zugriff auf viele vertrauliche Daten, welche für die Angreifer interessant sind. Um an diese Daten zu gelangen, erstellen die Angreifer individuell zugeschnittene E-Mails oder Webseiten. Dazu werden Informationen über das Opfer via Social Media wie LinkedIn oder Facebook gesammelt. Auch werden oft manipulierte E-Mail-Adressen mit ähnlicher Endung wie die des Unternehmens verwendet und die Signatur des eigentlichen Absenders imitiert.
Wieland Alge, ehemaliger Security-Spezialist bei Barracuda Networks, ist der Meinung, dass die Personalabteilung ein besonders einfaches Ziel für solche Angriffe sei. Viele der dort eingehenden E-Mails besitzen Anhänge und die Mitarbeiter seien ermutigt oder sogar verpflichtet, diese zu öffnen.
Jareth vom Emisoft-Blog hat folgende Tipps, um nicht auf solche Angriffe hereinzufallen: