Was ist unter Spear-Phishing zu verstehen?

Wie läuft ein Spear-Phishing-Angriff ab?

Wenn ein Angreifer Geld von einem Unternehmen stehlen oder Malware in dessen Systemen installieren möchte, zielt er dabei wahrscheinlich auf das schwächste Glied ab: die Mitarbeiter. Dazu sucht sich der Angreifer eine Person aus, die innerhalb des Unternehmens über entsprechende Befugnisse und Zugriffsmöglichkeiten verfügt, und versucht dann, so viel über diese Person wie möglich in Erfahrung zu bringen.

Dies geschieht möglicherweise über deren Konten in den sozialen Medien, bzw. über die Konten ihrer Freunde. Tweets, öffentliche Instagram-Storys und Geotags sind allesamt hilfreiche Informationsquellen, um sich einen Überblick über die Lebensverhältnisse eines Menschen zu verschaffen. Selbst die Website des Unternehmens kann eine nützliche Quelle sein – ganz zu schweigen davon, was ein Angreifer alles herausfinden könnte, wenn er die Online-Kommunikation der Zielperson mitliest.

Sobald er die Person gut kennt, kann er sie dann in E-Mails an ihre Kollegen imitieren. Ebenso kann er der eigentlichen Zielperson schreiben und sich dabei als wichtiger Kunde ausgeben, der um einen Gefallen oder um die Umsetzung kleinerer Aufgaben bittet.

Durch diese selektive Zielerfassung erhielt das Spear-Phishing (also das „Angeln“/„Phising“ mit einem „Speer“) auch seinen Namen. Wie ein Fischer, der einen Speer benutzt, um einen einzelnen großen Fisch zu fangen, benutzt der Angreifer gezieltes Social Engineering , um eine Person zu einer bestimmten Handlung zu bewegen.

Phishing und Spear-Phishing

Phishing ist aktuell der gängigste Social-Engineering-Angriff. Ein normaler Phishing-Angriff zielt auf die breite Öffentlichkeit, auf Personen, die einen bestimmten Dienst nutzen, usw. Die Angreifer verschicken Hunderte oder sogar Tausende von E-Mails in der Hoffnung, dass wenigstens ein paar Leute darauf reagieren. Derartige Nachrichten sind meist schlecht geschrieben und enthalten mehrere Tippfehler sowie seltsame Schriftarten.

Spear-Phishing erfordert Recherche und viel Vorbereitung. Die Angreifer haben es auf eine bestimmte Person abgesehen und investieren daher mehr Zeit, um ihre Phishing-E-Mails echt aussehen zu lassen. Diese Fälschungen sind so gut gemacht, dass sie selbst für einen Profi schwer zu erkennen sind, ganz zu schweigen von Menschen, die jeden Tag Dutzende von E-Mails bearbeiten müssen. Diese Taktik ist wesentlich aufwendiger als normale Phishing-Versuche. Hat der Hacker jedoch Erfolg, erhält er alle notwendigen Informationen und Zugang, um seinen Angriff durchzuführen.

Ein Beispiel für Spear-Phishing

Stellen Sie sich vor, Sie bekommen bei Ihrer Arbeit eine E-Mail, in der steht: „Hey Susie, könntest du diese Rechnung für mich erledigen? Danke!“ Wenn Ihr Name Susie ist und Sie in Ihrem Unternehmen Rechnungen bearbeiten und Ihr Chef seine E-Mails immer mit einem „Danke!“ beendet, dann laden Sie die angehängte Rechnung einfach herunter und überweisen das Geld.

Vielleicht finden Sie in ein paar Stunden oder sogar am nächsten Tag heraus, dass es sich um eine gefälschte E-Mail gehandelt hat, aber das Geld bekommen Sie nicht zurück. Der Angreifer hat offensichtlich den E-Mail-Verkehr ihres Chefs ausspioniert und herausgefunden, wer in ihrem Unternehmen Rechnungen bearbeitet. Ferner hat er den Namen dieser Person herausgefunden, eine E-Mail verfasst, und den üblichen Tonfall perfekt imitiert. Er hat es sogar geschafft, vor dem Versand der E-Mail den Namen des Absenders zu fälschen. Nur an der E-Mail-Adresse wäre der Betrug zu erkennen gewesen. Oftmals sieht der Empfänger einer E-Mail an dieser Stelle aber nicht genau nach.

Wie lässt sich Spear-Phishing verhindern?

Unternehmen und Organisationen sind meistens das Ziel eines Spear-Phishing-Angriffs. Unternehmen können verschiedene Maßnahmen ergreifen, um das Risiko von Spear-Phishing zu minimieren. Im Zentrum der meisten Möglichkeiten steht jedoch stets die entsprechende Schulung der Mitarbeiter.

Unabhängig davon, ob Sie Ihre IT-Operationen auslagern oder eine eigene IT-Abteilung haben, sollten Sie mit den Personen sprechen, die für Ihre E-Mail-Systeme zuständig sind. Dabei sind auch Standardmaßnahmen wie Spamfilter, Antiviren-Programme und Browserfilter zu beachten. Nicht klicken, nicht herunterladen und ähnliche Empfehlungen sind keine gute Lösung, wenn Sie jeden Tag mit mehreren Rechnungen zu tun haben. Deshalb sollte stets versucht werden, den gesamten Prozess zu verändern. So sollten beispielsweise mindestens zwei Personen eine finanzielle Transaktion bestätigen müssen, bevor das Geld überwiesen wird.

Ebenso sollten Unternehmen ihre Mitarbeiter dazu anhalten, nach Möglichkeit eine Zwei-Faktor-Authentifizierung zu verwenden. Selbst wenn ein Passwort kompromittiert werden sollte, bleibt das damit verbundene Konto dann weiterhin sicher, weil der Angreifer weiterhin keine Kontrolle über den zweiten Faktor hat. Die Umstellung dauert vielleicht eine Weile, vor allem für weniger technikaffine Mitarbeiter, aber auf lange Sicht lohnt sie sich. So können Sie sicher sein, dass die Konten des Unternehmens sicher sind, selbst wenn jemand auf eine Phishing-E-Mail hereinfällt.

Auch die Arbeitskultur in Ihrem Unternehmen ist ein wichtiger Faktor. Viele Mitarbeiter haben Probleme damit, ihren Vorgesetzten zu widersprechen. Deshalb machen sie alles, was in einer Spear-Phishing-E-Mail steht, ohne die dahinter stehenden Absichten zu hinterfragen. Dieses Verhalten lässt sich nur schwer überwinden, da die Art und Weise, wie die Menschen in einem Unternehmen miteinander kommunizieren, umgestellt werden muss. Aber wenn Sie mit sensiblen Informationen arbeiten, ist das vielleicht die richtige Strategie für Sie.

Maßnahmen zur privaten Cybersicherheit

Beim Versuch, das Unternehmen anzugreifen, für das Sie arbeiten, können die Hacker über Ihre persönliche E-Mail-Adresse Kontakt mit Ihnen aufnehmen. Es gibt einige Dinge, die Sie tun können, um zu verhindern, dass Sie Opfer einer Spear-Phishing-Attacke werden:

• Prüfen Sie E-Mails sorgfältig – auch wenn sie von einem Kollegen oder Freund stammen. Wenn sie plötzlich nach persönlichen Daten gefragt werden, sollten Sie sich sicher gehen, dass die E-Mails echt sind, bevor Sie etwas senden. Sind Ihre E-Mails im Beruf eher lockerer formuliert? Dann ist eine förmliche E-Mail von einem Kollegen auf jeden Fall ein Warnsignal. In diesem Fall sollten Sie die E-Mail gründlich untersuchen, bevor Sie irgendetwas unternehmen.

• Geben Sie online nicht zu viel preis. Ändern Sie Ihre Konten nach Möglichkeit in private Konten, damit nur die Ihnen bekannten Personen sehen können, was Sie posten. Auch dann solltest Sie nicht allzu viele private Inhalte mit anderen teilen. Verwenden Sie keine Geotags, verraten Sie keine Urlaubspläne und geben Sie keine persönlich identifizierbaren Informationen wie Ihre Telefonnummer, Kreditkartendaten, Geburtstag usw. preis. Das macht es für den Angreifer schwieriger, ein Profil von Ihnen zu erstellen.

• Verwenden Sie aktuelle Software und scannen Sie Ihre Geräte von Zeit zu Zeit auf Malware. Malware kann auf viele Arten in Ihren Laptop oder Ihr Smartphone eindringen, ohne dass Sie es bemerken. Stellen Sie also sicher, dass Sie Ihre Geräte regelmäßig überprüfen und aktualisieren.

• Verwenden Sie für jedes Konto völlig unterschiedliche, komplizierte Passwörter. Auf diese Weise bleiben die übrigen Konten sicher, selbst wenn eines davon kompromittiert wird. Holen Sie sich einen Passwort-Manager , um alle Ihre Passwörter sicher zu speichern. Dann müssen Sie sich keine Passwörter mehr merken oder aufschreiben. Brauchen Sie Hilfe bei der Erstellung neuer Passwörter? Unser Passwort-Generator liefert Ihnen optimale Ergebnisse.