Was ist unter Spear-Phishing zu verstehen?

Mit nur einer einzigen E-Mail wurden schon ganze Unternehmen gehackt. Dabei wurden schier unglaubliche Geldbeträge gestohlen oder schließlich als Lösegeld gezahlt. Und all das nur, weil ein einziger Mitarbeiter einen bösartigen Link angeklickt hat. Leider sind jedes Jahr zahlreiche Unternehmen von Phishing-Angriffen betroffen. Dies kann leider nur schwer verhindert werden. Wenn du dich jedoch mit jeder Form von Phishing vertraut machst, steigt die Wahrscheinlichkeit, dass du einen Angriff als solchen erkennst, bevor es zu spät ist. Sehen wir uns Spear-Phishing also nun im Detail an.

Wie läuft ein Spear-Phishing-Angriff ab?

Wenn ein Angreifer Geld von einem Unternehmen stehlen oder Malware in dessen Systemen installieren möchte, zielt er dabei wahrscheinlich auf das schwächste Glied ab: die Mitarbeiter. Dazu sucht sich der Angreifer eine Person aus, die innerhalb des Unternehmens über entsprechende Befugnisse und Zugriffsmöglichkeiten verfügt, und versucht dann, so viel über diese Person wie möglich in Erfahrung zu bringen.

Dies geschieht möglicherweise über deren Konten in den sozialen Medien, bzw. über die Konten ihrer Freunde. Tweets, öffentliche Instagram-Storys und Geotags sind allesamt hilfreiche Informationsquellen, um sich einen Überblick über die Lebensverhältnisse eines Menschen zu verschaffen. Selbst die Website des Unternehmens kann als nützliche Quelle fungieren – ganz zu schweigen davon, was ein Angreifer alles herausfinden könnte, wenn er die Online-Kommunikation der Zielperson mitliest.

Sobald er die Person gut kennt, kann er sie dann in E-Mails an ihre Kollegen imitieren. Ebenso kann er der eigentlichen Zielperson schreiben und sich dabei als wichtiger Kunde ausgeben, der um einen Gefallen oder um die Umsetzung kleinerer Aufgaben bittet.

Durch diese selektive Zielerfassung erhielt das Spear-Phishing (also das „Angeln“/„Phising“ mit einem „Speer“) auch seinen Namen. Genau wie ein Angler, der mit einem Speer einen bestimmten großen Fisch an Land zieht, setzt auch der Angreifer einen zielgerichteten Social Engineering ein, um jemand anderes aufs Kreuz zu legen und sein Opfer zu einer Handlung zu bewegen.

Phishing und Spear-Phishing

Phishing ist der am weitesten verbreitete Social-Engineering-Angriff, den es gibt. Ein normaler Phishing-Angriff richtet sich an die breite Öffentlichkeit, also generell an alle Menschen, die einen bestimmten Dienst nutzen, usw. Dabei verschickt ein Angreifer Hunderte oder gar Tausende E-Mails, in der Erwartung, dass zumindest ein paar der Empfänger darauf anspringen werden. Derartige Nachrichten sind meist schlecht geschrieben und enthalten mehrere Tippfehler sowie seltsame Schriftarten.

Für einen Spear-Phishing-Angriff sind jedoch Recherche und weitere umfangreiche vorbereitende Arbeiten erforderlich. Der Angreifer nimmt eine bestimmte Person ins Visier, weshalb er mehr Zeit darauf verwendet, seine Phishing-E-Mail möglichst authentisch aussehen zu lassen. Diese Fälschungen sind so gut gemacht, dass sie selbst für einen Profi schwer zu erkennen sind, ganz zu schweigen von Menschen, die jeden Tag Dutzende von E-Mails bearbeiten müssen. Die Umsetzung dieser Taktik gestaltet sich schwieriger als übliche Phishing-Versuche. Doch wenn der Hacker Erfolg hat, gelangt er an sämtliche Informationen, die er benötigt, um seinen Angriff abzuschließen, und erhält schließlich auch den Zugang, den er benötigt.

Ein Beispiel für Spear-Phishing

Stell dir vor, du erhältst eine geschäftliche E-Mail, in der steht: „Hey Susie, könntest du dich bitte um diese Rechnung kümmern? Danke!“ Wenn du wirklich Susie heißt, wenn du in deinem Unternehmen oft mit Rechnungen zu tun hast und wenn dein Chef seine E-Mails immer mit einem „Danke!“ beendet, lädst du die beigefügte Rechnung einfach herunter und überweist das Geld.

In ein paar Stunden oder auch erst am nächsten Tag erfährst du dann möglicherweise, dass es sich dabei um eine betrügerische E-Mail gehandelt hat; das Geld des Unternehmens ist aber ein für allemal weg und kommt nicht wieder. Der Angreifer hat offensichtlich den E-Mail-Verkehr deines Chefs ausspioniert und herausgefunden, wer in deinem Unternehmen Rechnungen bearbeitet. Ferner hat er den Namen dieser Person herausgefunden und eine E-Mail verfasst, in der er den üblichen Tonfall perfekt imitieren konnte. Er hat es sogar geschafft, vor dem Versand der E-Mail den Namen des Absenders zu fälschen. Nur an der E-Mail-Adresse wäre der Betrug zu erkennen gewesen. Oftmals sieht der Empfänger einer E-Mail an dieser Stelle aber nicht genau nach.

Wie lässt sich Spear-Phishing verhindern?

Unternehmen und Organisationen werden am häufigsten zum Ziel eines Spear-Phishing-Angriffs. Jedes Unternehmen kann mehrere Maßnahmen ergreifen, um das Risiko, selbst zum Opfer von Spear-Phishing zu werden, deutlich zu senken. Im Zentrum der meisten Möglichkeiten steht jedoch stets die entsprechende Schulung der Mitarbeiter.

Egal, ob die IT-Leistungen an einen Drittanbieter ausgelagert oder über eine interne Abteilung abgebildet werden, muss dabei stets mit den Menschen gesprochen werden, die für die E-Mail-Systeme im jeweiligen Unternehmen zuständig sind. Dabei sind auch Standardmaßnahmen wie Spamfilter, Antiviren-Programme und Browserfilter zu beachten. Wenn mehrere Rechnungen pro Tag zu bearbeiten sind, sind Empfehlungen, auf keine Links zu klicken und keine Dateien herunterzuladen, oder ähnliche Anweisungen natürlich keine gangbare Möglichkeit. Deshalb sollte stets versucht werden, den gesamten Prozess zu verändern. So sollten beispielsweise mindestens zwei Personen eine finanzielle Transaktion bestätigen müssen, bevor das Geld überwiesen wird.

In ähnlicher Weise sollten Unternehmen ihre Mitarbeiter dazu ermutigen, wo immer möglich eine Zwei-Faktor-Authentifizierung einzusetzen. Selbst wenn ein Passwort kompromittiert werden sollte, bleibt das damit verbundene Konto dann weiterhin sicher, weil der Angreifer weiterhin keine Kontrolle über den zweiten Faktor hat. Die Eingewöhnung kann ein wenig dauern, insbesondere bei Mitarbeitern, die technisch weniger versiert sind. Auf lange Sicht lohnt es sich jedoch auf jeden Fall. Denn selbst wenn jemand auf eine Phishing-E-Mail reinfällt, darf man weiterhin damit rechnen, dass die Konten des Unternehmens sicher bleiben.

Ebenso sollte unbedingt die Arbeitskultur im jeweiligen Unternehmen bedacht werden. Viele Mitarbeiter tun sich schwer damit, ihren Vorgesetzten zu widersprechen. Wenn sie also eine Spear-Phishing-E-Mail erhalten, setzen sie die dort beschriebenen Anweisungen auch um, ohne die zugrundeliegenden Motive zu hinterfragen. Diese Gewohnheit lässt sich nur schwer abstellen, da dazu die innerbetriebliche Kommunikation zwischen den Menschen im Unternehmen grundlegend verändert werden muss. Wenn sensible Informationen jedoch ein unweigerlicher Bestandteil der Arbeitsabläufe sind, liegt darin trotzdem eine gute Strategie.

Maßnahmen zur privaten Cybersicherheit

Wenn Hacker das Unternehmen, für das du arbeitest, angreifen möchten, versuchen sie vielleicht, dich über deine private E-Mail-Adresse zu kontaktieren. In Bezug auf die private Cybersicherheit lassen sich mehrere Maßnahmen ergreifen, um einem Spear-Phishing-Angriff zu entgehen:

  • Gehe stets wachsam mit E-Mails um – auch wenn sie von einem Kollegen oder einer Freundin stammen. Wenn du plötzlich aus dem nichts nach personenbezogenen Daten gefragt wirst, solltest du zuerst sicherstellen, dass sich hinter dieser Anfrage wirklich der angegebene Absender verbirgt. Verfasst du deine geschäftlichen E-Mails eher in einem zwanglosen Stil? Dann ist eine E-Mail von einem Kollegen, die förmlicher klingt als üblich, auf jeden Fall ein Warnsignal. Überprüfe sie daher sorgfältig, bevor du irgendeine weitere Maßnahme ergreifst.

  • Verbreite im Internet nicht allzu viele Informationen über dich. Sofern möglich, solltest du deine Konten auf privat stellen, damit nur Menschen, die du auch kennst, deine Posts sehen können. Auch dann solltest du nicht allzu viele private Inhalte mit anderen teilen. Nutze keine Geotags, gib keine Urlaubspläne bekannt und gib keine persönlichen Informationen preis, mit denen du identifiziert werden könntest, etwa deine Telefonnummer, deine Kreditkartendaten, dein Geburtsdatum usw. So bietest du Hackern deutlich weniger Angriffsfläche.

  • Verwende Software, mit der du deine Geräte von Zeit zu Zeit auf Malware überprüfen kannst, und halte sie stets auf dem neuesten Stand. Malware kann auf vielen Wegen auf deinen Laptop oder dein Smartphone gelangen, ohne dass du das mitbekommst, also überprüfe deine Geräte regelmäßig und halte sie stets auf dem neuesten Stand.

  • Verwende für jedes deiner Konten ein eigenes kompliziertes Passwort. Selbst wenn eines der Passwörter kompromittiert werden sollte, bleiben deine übrigen Konten trotzdem sicher. Hol dir einen Passwort-Manager, um all deine Passwörter sicher zu speichern. So musst du sie dir nicht merken oder aufschreiben. Brauchst du Hilfe bei der Suche nach neuen Passwörtern? Nutze unser Passwort-Generator, mit dem du die besten Ergebnisse erzielen wirst.

NordPass-News abonnieren

Erhalten Sie aktuelle Nachrichten und Tipps von NordPass direkt in Ihrem Posteingang.