Erkennen eines Spear-Phishing-Angriffs

Zehn Merkmale an denen Phishing zu erkennen ist

Phishing zählt zu den größten Gefahren für Internetnutzende. Neben dem Kreditkartenbetrug zählt die Methode zu einer der beliebtesten Formen von Cyberkriminalität. Zum Schutz vor Phishing ist es zunächst wichtig eine Attacke als solche zu erkennen. Wie das funktioniert, zeigt unser Artikel mit Hilfe von zehn Merkmalen.

Phishing stammt aus dem angelsächsischen Sprachraum und leitet sich aus „Password“ und „fishing“ ab. Auf Deutsch bedeutet der Kunstbegriff: „Passwort angeln“. Einer weitere Begriffserklärung nach leitet sich die Wortschöpfung neben dem Begriff „fishing“ aus dem Wort „phreaking“ (hacken) ab. Das Ziel solcher Attacken ist das Sammeln von persönlichen Daten wie Benutzername, Passwort, Kreditkartennummer, persönliche Identifikationsnummer (PIN) oder anderer Geheimzahlen. Wer solche Daten preisgibt, bietet Kriminellen die Möglichkeiten finanziellen Schaden anzurichten oder einen Identitätsdiebstahl für zwielichtige Geschäfte zu begehen.

Phishing-Angriff nach Schema F

Ein Phishing-Angriff läuft immer gleich ab: Kriminelle tarnen sich als Bank, Bezahldienst (z. B. Paypal), Onlineauktionshaus (z. B. Ebay), elektronischer Versandhandel oder anderes Unternehmen (z. B. Deutsche Post, Telekom). Sie fordern ihre Opfer per E-Mail auf, einen in der Nachricht enthaltenen Link anzuklicken, um auf einer Webseite ihre persönlichen Daten zu aktualisieren. Hinter dem auf den ersten Blick seriösen Link verbirgt sich ein zweiter, gefälschter Link (Link-Spoofing). Dieser verweist auf eine gefakte Website, die der Originalseite des betreffenden Unternehmens oft zum Verwechseln ähnlich sieht (Visual Spoofing). Dort soll das Opfer seine vertraulichen Daten eingeben.

Damit der Nutzende keinen Verdacht schöpft, verwenden Phisher oft eine ähnliche Internetadresse wie die der betreffenden Firma. Mit der Einführung der Möglichkeit der Verwendung internationalisierte Domainnamen in der URL, eröffnete sich für Gauner ein neuer Wege zum URL-Spoofing. Die Originaladresse einer Bank könnte beispielsweise heißen. Die Fälschung würde lauten: Beide Adressnamen sind objektiv gesehen gleich. Sie unterscheiden sich nur technisch, da sie in unterschiedliche Adressen aufgelöst werden und auf zwei verschiedene Internetseiten führen. Auch der Einsatz von ähnlich aussehenden Buchstaben aus anderen Alphabeten (Homographischer Angriff) ist bei Datendieben beliebt. Zum Beispiel unterscheidet sich das kyrillische „а“ bei den im Allgemeinen verwendeten Schriftarten optisch nicht vom lateinischen „a“. Falls das „a“ in „xyz-bank.beispiel.de/“ kyrillisch dargestellt wird, ist die URL different und somit falsch. Im Adressfeld des Internetbrowsers ist dieser Unterschied nicht sichtbar. Eine weitere Alternative, um eine gefakte Internetadresse echt aussehen zu lassen, ist das Fälschen der Adressleiste des Browsers mit einem JavaScript. Die Nutzenden glauben, sie seien auf einer seriösen Internetseite, sind es aber in Wirklichkeit nicht.

Neue Impulse gefällig? Nix verpassen: Abonniere den Adcaor Newsletter! Jetzt anmelden! Nein, Danke.

Zehn Phishing-Merkmale

Der beste Schutz gegen Phishing-Angriffe ist die eigene Wachsamkeit.

Anhand dieser zehn Merkmale erkennen Sie eine Phishing-Attacke:

Sie stehen in keiner Beziehung zum Absender der Mail und sind kein Kunde der im Absender angegebenen Bank oder des Unternehmens. Die Absenderadresse unterscheidet sich von der bekannten Firmenadresse. Die Anrede ist unpersönlich wie beispielsweise „Sehr geehrter Kunde“. Akuter Handlungsbedarf wird vorgetäuscht. Zum Beispiel „Wenn Sie nicht innerhalb der nächsten zwei Tagen eine Verifikation durchführen, wird Ihr Konto gesperrt.“ In diesem Fall empfiehlt es sich, sich bei dem jeweiligen Dienst direkt einzuloggen und zu prüfen, ob die Mail real ist. Öffnen Sie keinesfalls Links oder Anhänge. Drohungen kommen zum Einsatz wie „Wenn Sie das nicht tun, sperren wir Ihr Konto“. Die Mitteilung ist in schlechtem Deutsch verfasst wie beispielsweise „müssen sie ein Form füllen …“, „ … ein TAN eintasten“. Der Text enthält kyrillische Buchstaben oder falsch aufgelöste/fehlende Umlaute wie „a“ statt „ä“ bzw. „ae“ Über ein in die E-Mail eingebundenes Formular oder über einen Link werden vertrauliche Daten abgefragt. Das Sicherheitszertifikat (Secure Socket Layer – kurz SSL) auf der verlinkten Website fehlt (keine verschlüsselte https-Verbindung) oder ist fehlerhaft. Die URL sieht der echten Adresse ähnlich, enthält aber unübliche Zusätze wie Zahlen: oder ab-bank.kundenservice.de

Beispiel einer Phishing-Mail Der folgende Screenshot einer PayPal-Phishing-Mail ist an drei Merkmalen aus unserer Liste als Phishing-Angriff zu erkennen. Zum einen wird in der Mail die unpersönliche Anrede „Sehr geehrter Kunde“ verwendet. Zum anderen werden über den eingebundenen Link mit dem Ankertext „Weiter zu PayPal“ vertrauliche Daten abgefragt. Außerdem wird zwingender Handlungsbedarf vorgetäuscht. Bei so einer Mail sollten Sie vorsichtig sein: Loggen Sie sich bei dem jeweiligen Dienst direkt ein und prüfen Sie, ob die Mail der Wahrheit entspricht. Es sollten keinesfalls Links oder Anhänge geöffnet werden.

Phishing-Varianten und die fiesen Tricks der Datendiebe

Cyberkriminelle profitieren von einer Vielzahl von Phishing-Varianten, die sich laufend weiterentwickeln. Im Folgenden haben wir sechs bekannte Angriffsarten aufgeführt:

Spear-Phishing: Hier werden gefakte E-Mails nicht massenhaft, sondern gezielt an einen bestimmten Empfängerkreis gesendet, etwa innerhalb eines Unternehmens oder einer Hochschule. Beim Whaling richtet sich der Angriff gezielt gegen hochrangige Führungskräfte. Pharming-Angriffe manipulieren Anfragen an das Domain Name System (DNS) von Webbrowsern. Platziert der Betrüger zusätzlich Malware, kann die Host-Datei des Betriebssystems so beeinflusst werden, dass der Nutzer automatisch auf die gefälschte Website umgeleitet wird. Beim Clone-Phishing werden Kopien einer zuvor legitim versendeten E-Mail verschickt. Die dortigen Anhänge dienen dann einem Phishing-Angriff. Durch Voice-Phishing versuchen Datendiebe mittels automatisierter Telefonanrufe, meist über Internettelefonie, an persönliche Daten zu gelangen. Über SMS-Phishing wird beispielsweise eine „Abo-Bestätigung“ verschickt, in der eine Internetadresse zur Abmeldung genannt wird. Beim Besuch dieser Seite werden Trojaner, Würmer oder Viren eingeschleust. Auch mobile Endgeräte stehen im Interesse von Datendieben.

Besonders gefährlich sind Phishing-Angriffe, bei denen sich das Opfer auf der gefälschten Website zusätzlich mit Malware (z. B. Trojaner, Würmer, Viren) infiziert. Die Schadsoftware installiert sich auf dem PC des Nutzenden durch den Besuch einer Seite. Schadprogramme stecken oft in E-Mail-Anhängen. Sie aktivieren sich, sobald man versucht die angehängte Datei zu öffnen.

Datendiebe machen vor sozialen Netzwerken wie Facebook nicht Halt. Die dreiste Tour der Betrüger dort: Die Schadsoftware wird verteilt, indem das Opfer einem „Freund“ (hinter dem jedoch der Phisher steckt) vertraut und arglos verseuchte Anhänge öffnet oder Links folgt, die zu einer Infizierung führen.

Oft knüpfen Betrüger an aktuelle Ereignisse an, um ihren Phishing-Attacken den Anschein von Glaubwürdigkeit zu verleihen. So wurden zu Beginn der COVID-19-Pandemie Anfang 2020 mehrere E-Mails verschickt, deren Absender angeblich die WHO (World Health Organization) oder andere Gesundheits- und Forschungseinrichtungen waren. In der Betreffzeile wurde von einem „Coronavirus outbreak in your city“ gewarnt. Das BKA (Bundeskriminalamt) warnte davor Dateien, Anhänge oder Links von unbekannten Adressaten zu öffnen. So war unter anderem eine Weltkarte, auf der Infiziertenzahlen zu sehen waren, mit Malware verseucht. Diese las im Hintergrund Passwörter und Zugangsdaten aus. Ebenso wurden Mails versendet, in denen sich Betrüger als Händler von Atemschutzmasken ausgaben, um damit an sensible Daten ihrer Opfer zu gelangen.

Wenn Sie Phishern ins Netz gegangen sind und sensible Daten wie Passwörter oder Kontonummern herausgegeben haben, gilt es schnell zu handeln: Das Passwort sofort ändern, die Bank kontaktieren, das Konto sperren lassen – und Anzeige bei der Polizei erstatten. In jedem Fall macht sich der Phisher strafbar. Es kommen die Tatbestände des Ausspähens von Daten nach § 202a StGB (Strafgesetzbuch), Nötigung nach § 240 StGB sowie Betrug (§ 263 StGB) und Computerbetrug (§263a StGB) in Betracht.

Fazit: Wachsamkeit ist der beste Schutz

Jeder Internetnutzende sollte, gerade wenn es um Onlinehändler oder Zahlungsdienste geht, genau hinschauen, ob der jeweiligen E-Mail zu trauen ist. Mit unseren zehn Tipps können Sie Phishing-Attacken erkennen und sich vor Datenklau schützen.

Darüber hinaus veröffentlicht die Verbraucherzentrale über das Phishing-Radar regelmäßig Phishing-Mail-Beispiele sowie Informationen über aktuelle Attacken.

Um Phishing-Attacken zu erkennen, hat die Forschungsgruppe „Secuso“ von der TU Darmstadt die kostenfreie App „NoFish“ entwickelt. Hier können Nutzende durch das „Durchspielen“ mehrerer interaktiver Levels lernen, in welchen Fällen Phishing-Angriffe anzunehmen sind. Nach einer Einführung stehen acht Level zur Verfügung, bei denen das Wissen über Phishing vertieft und getestet werden kann.

Welche technischen Schutzmaßnahmen Sie zusätzlich ergreifen können, erfahren Sie in diesem Beitrag:

5 Types of Phishing Attacks to Watch For

Der Begriff "Phishing" kam 2005 offiziell in den Sprachgebrauch, als das Oxford American Dictionary das Wort hinzufügte und es definierte als "die Aktivität, Menschen auszutricksen, indem sie dazu gebracht werden, ihre Identität, Bankkontonummern usw. über das Internet oder per E-Mail anzugeben, und diese dann zu benutzen, um Geld von ihnen zu stehlen". Aber Phishing-E-Mails sind so alt wie die E-Mail selbst. Die ersten Phishing-Angriffe per E-Mail gab es Mitte der 1990er Jahre, [i] und Phishing ist auch im Jahr 2021 noch ein großes Problem. Infolge der Umstellung auf Fernarbeit während der COVID-19-Pandemie berichten Unternehmen über einen Anstieg der verschiedenen Arten von Phishing-Angriffen. [ii]

Was ist ein Phishing-Angriff?

Die Auflistung der verschiedenen Phishing-Arten beginnt mit den offensichtlichen Spam-E-Mails - z. B. "Klicken Sie hier und fordern Sie einen Preis an" -, die den Empfänger dazu verleiten, auf den Köder zu klicken und die bösen Jungs auf seinen Computer zu lassen - und darüber hinaus. Dann gibt es noch raffiniertere Arten von Phishing, bei denen Social-Engineering-Taktiken eingesetzt werden, um die Zielperson zur Weitergabe vertraulicher Informationen oder zum Hochladen von Malware zu verleiten. Social Engineering - die Nutzung persönlicher und unternehmensinterner Informationen, um Benutzer dazu zu bringen, auf verschiedene Arten von Phishing-E-Mails hereinzufallen - ist in der Tat ein wachsendes Problem. Sieben von zehn Unternehmen sind der Meinung, dass das Verhalten der Mitarbeiter ihr Unternehmen einem Risiko für verschiedene Arten von E-Mail-Phishing aussetzt, so die Studie von Mimecast State of Email Security 2021 (SOES).

Wie funktioniert Phishing?

Die Betrüger sammeln oft Hintergrundinformationen wie E-Mail-Adressen von Unternehmen sowie Namen und Berufsbezeichnungen von Zielpersonen aus öffentlich zugänglichen Datenbanken und sozialen Netzwerken, um ihre Nachrichten glaubwürdiger zu gestalten. Sie erstellen auch gefälschte Websites, um private Informationen wie Passwörter und Kreditkartennummern zu sammeln.

Die Quintessenz ist, dass die Art des Phishing-Angriffs, der auf bestimmte Benutzer abzielt, davon abhängt, welche Schwachstellen die Bösewichte finden und ausnutzen können. Die Abwehr dieser Angriffe erfordert ebenfalls mehrere Verteidigungsmaßnahmen.

Arten von Phishing-Angriffen

Cyber-Bedrohungen per E-Mail sind im Jahr 2020 um 64 % gestiegen, aber E-Mail ist nicht der einzige Kommunikationskanal für Phishing. Es gibt so viele verschiedene Arten von Phishing-Angriffen, wie es Kommunikationsmedien gibt, über die sie durchgeführt werden.

Neben den vielen Arten von Phishing-E-Mails, die weltweit versendet werden, haben Betrüger auch Kanäle wie Text- und Sprachdialogsysteme genutzt, um die Arten von Phishing zu erweitern und verschiedene Personen und Organisationen anzusprechen. Die folgenden fünf Arten von Phishing-Angriffen, auf die Ihr Unternehmen im Jahr 2021 achten sollte, werden im Folgenden ausführlich beschrieben:

E-Mail-Phishing Speer-Phishing Walfang Smishing und Vishing Angler Phishing

E-Mail-Phishing wirft ein weites Netz aus

Die ursprüngliche Phishing-Masche aus der Zeit der Einwahlmodems ist eine Spam-E-Mail, die an Hunderte oder Tausende von Empfängern geschickt wird und die Nutzer dazu bringen soll, Geld zu überweisen, auf einen Link zu klicken (der in der Regel eine Malware auf ihrem Computer hinterlässt) oder eine Website aufzurufen, die von den Betrügern eingerichtet wurde, um Geld zu stehlen, persönliche Daten zu entwenden oder Malware einzuschleusen. Denken Sie an die alte E-Mail, in der behauptet wird, sie stamme von einem Regierungsminister einer turbulenten Republik, und in der Millionen im Austausch für eine kleine Vorauszahlung angeboten werden. Überraschenderweise fallen die Menschen immer noch auf diese Art von Nachrichten herein. Laut der SOES-Umfrage geben 40 % der Unternehmen an, dass ihre E-Mail-Sicherheit unzureichend ist, während 13 % über kein E-Mail-Sicherheitssystem verfügen.

Einige einfache Präventivmaßnahmen können die Benutzer davor bewahren, auf Phishing hereinzufallen. Das Center for Internet Security gibt einige grundlegende Ratschläge: Seien Sie bei allen E-Mails vorsichtig und klicken Sie nicht auf Links oder Anhänge, die verdächtig aussehen. [iii] Ein Phishing-Filter, der in Ihrer E-Mail-Anwendung und in Ihrem Webbrowser installiert ist, reduziert Phishing-Versuche; ein Popup-Blocker kann ebenfalls dazu beitragen, ein anderes Mittel zu stoppen, das Betrüger häufig einsetzen, um an persönliche Daten zu gelangen.

Speer-Phishing wird persönlich

Dabei handelt es sich um eine speziellere Art von Phishing-Angriffen, die dank persönlicher Informationen aus Online-Quellen auf einen bestimmten Nutzer abzielen. Neben der Schriftart der sozialen Medien können Betrüger jetzt ganze Datenbanken mit Informationen im Dark Web kaufen, was es einfacher macht, eine Nachricht zu erstellen, die ankommt.

Spear-Phishing-E-Mails werden oft so gestaltet, dass sie den Anschein erwecken, von einem vertrauenswürdigen Kollegen oder einem Unternehmen zu stammen, mit dem der Zielnutzer zusammenarbeitet (so genannte "Imitationsangriffe"), mit einer gefälschten Adresse oder Website, die der echten ähnlich sieht. Man kann sie erkennen, wenn man genau auf die Rechtschreibung und Zeichensetzung der Adresse achtet. Einige Betrüger verwenden eine andere Domäne statt oder fügen einer legitimen Adresse zusätzliche Zeichen hinzu, z. B. einen Unterstrich oder Bindestrich. Manche verwenden ähnlich aussehende Zeichen, wie z. B. eine Null anstelle eines "o" oder ein "l" anstelle eines "i", um das Phishing-Ziel zu verwirren.

Technologie und Automatisierung können bei der Abwehr dieser Art von E-Mail-Angriffen hilfreich sein. E-Mail-Authentifizierungsprotokolle wie Domain-based Message Authentication, Reporting & Conformance (DMARC) und Sender Policy Framework (SPF) können dabei helfen, die gefälschten Adressen auszusortieren, die für Impersonation-Angriffe verwendet werden. Künstliche Intelligenz kann das Scannen von E-Mails, die das System durchlaufen, automatisieren, um Anomalien wie gefälschte Websites zu finden. Darüber hinaus können einige Sicherheitstools dank maschinellem Lernen Kommunikationsmuster erkennen, die nicht in den E-Mail-Verkehr des Unternehmens passen, und dann Phisher kennzeichnen.

Walfang trifft Senior Management

Wie der Name schon sagt, handelt es sich beim Walfang um eine Art von Phishing-E-Mail, die auf einen großen Fisch abzielt. Diese noch speziellere Variante des Spear-Phishings zielt auf einen bestimmten Benutzer in der Hierarchie eines Unternehmens ab. Dies ist auch als CEO- oder CFO-Betrug bekannt und beinhaltet das Versenden einer betrügerischen E-Mail an die Führungskraft, in der behauptet wird, ein Untergebener oder Kollege zu sein. Die E-Mail hat oft einen dringenden Ton und bittet um schnellen Zugang zu sensiblen Informationen, ein Passwort oder eine Geldüberweisung, um eine Unternehmensfunktion auszuführen.

Die Abwehrmaßnahmen gegen Whaling ähneln denen gegen Spear-Phishing und andere Arten von Phishing-E-Mails, einschließlich Schulungen zum Sicherheitsbewusstsein und Filtern zum Scannen von E-Mail-Anhängen auf Malware oder zur Überprüfung des E-Mail-Textes auf falsch geschriebene Adressen, die Phishing-E-Mails verraten.

Smishing- und Vishing-Angriffe auf Mobiltelefone

Weltweit gibt es Milliarden von Mobiltelefonen, und sie werden für immer mehr Funktionen genutzt, sowohl zu Hause als auch am Arbeitsplatz. Es war also nur eine Frage der Zeit, bis Betrüger einen Weg finden würden, verschiedene Arten von Phishing mit Hilfe von Smartphones zu entwickeln. Beim Smishing werden Texte oder SMS verwendet, um die Arbeit zu erledigen, die beim herkömmlichen Phishing von E-Mails übernommen wird, während beim Vishing Sprachnachrichten und Robo-Anrufe für den gleichen Effekt eingesetzt werden. Ein Anruf oder eine SMS, die vorgeben, von der Sozialversicherungsbehörde oder dem Internal Revenue Service zu kommen, und in denen dringend eine Antwort verlangt wird - oder eine Betrugswarnung von "Cardmember Services" - ist in der Regel mit einer Aufforderung zur Angabe persönlicher Daten oder einem Link verbunden, auf den man klicken soll.

Die Federal Communications Commission hat eine Reihe von Richtlinien mit gesundem Menschenverstand zusammengestellt, die einzelnen Nutzern dabei helfen sollen, diese Betrügereien zu vermeiden, z. B. die Installation von Anti-Malware-Software und die Sicherstellung, dass die Betriebssysteme auf allen Geräten auf die neueste Version aktualisiert sind. [iv] Unternehmen können ihre Systeme auch schützen, indem sie eine BYOD-Richtlinie (Bring-your-own-device) für alle Mitarbeiter einführen, die Sicherheitsfunktionen enthält und die Aktionen und den Zugriff auf diese Geräte einschränkt, falls sie Opfer von Smishing oder Vishing werden.

Angler-Phishing zielt auf soziale Medien

Soziale Medien sind ein Segen für Kundendienstorganisationen, aber sie bieten Betrügern auch eine andere Art von Phishing-Angriffsmodell. Diese Art von Phishing-Angriff nutzt die eigenen Social-Media-Aktivitäten eines Kunden als Social-Engineering-Vektor, um Zugang zu persönlichen Informationen zu erhalten.

Der Angler bemerkt beispielsweise einen Social-Media-Beitrag, in dem er sich über den Service eines Unternehmens beschwert, fängt die Kommunikation ab, antwortet dem verärgerten Kunden per E-Mail oder in einer Social-Media-Direktnachricht und bietet ihm an, die Dinge wieder in Ordnung zu bringen. Dazu muss der Kunde persönliche Daten preisgeben, auf einen Link klicken oder eine vom Betrüger angegebene Website-Adresse aufrufen. Wie beim Spear-Phishing-Angriff werden auf der ähnlich aussehenden Website persönliche Daten abgeschöpft, Malware eingeschleust und andere böswillige Handlungen auf dem System des Opfers vorgenommen.

Um sich gegen diese Art von Phishing-Angriffen zu schützen, muss man bei Interaktionen in sozialen Medien aufmerksam sein. Nutzer müssen auf verräterische Anzeichen eines gefälschten Social-Media-Kontos achten, z. B. ein fehlendes blaues Häkchen, das bei verifizierten Twitter-Konten auftaucht. Das gefälschte Unternehmen muss seine Social-Media-Präsenz schützen und seine Kunden auf denselben Social-Media-Kanälen warnen, wenn es einen Phishing-Angriff entdeckt, und ihnen Alternativen zur Kontaktaufnahme mit dem Kundendienst anbieten.

Ausbildung erweist sich als unerlässlich

Schulungen sind die erste Verteidigungslinie gegen alle Arten von Phishing, damit die Mitarbeiter auf der Hut sein können. Benutzertests, Phishing-Übungen und andere außerplanmäßige Schulungen, die einen tatsächlichen Phishing-Angriff simulieren, können dazu beitragen, dass die Benutzer auf der Hut sind.

Cyberkriminelle werden weiterhin nach Möglichkeiten suchen, in Ihre Systeme einzudringen, solange sich das Verbrechen lohnt. Und da sich neue Kommunikationskanäle öffnen, werden die Betrüger mit verschiedenen Arten von Phishing-Angriffen nicht lange auf sich warten lassen. Je früher Ihr Unternehmen ein Bewusstsein für seine Schwachstellen entwickelt, desto besser wird es in der Lage sein, diese zu bekämpfen.

Die Quintessenz

Die Bedrohung durch Phishing-Angriffe gehört für Unternehmen zum Alltag. Sie können Phishing-Angriffe vielleicht nicht ganz verhindern, aber Sie können die meisten von ihnen vom Erfolg abhalten. Mit einer Kombination aus defensiven Tools zum Schutz Ihrer Systeme und Schulungen, die Ihren Mitarbeitern helfen, Betrug zu erkennen, lässt sich die Wahrscheinlichkeit, dass Ihr Unternehmen Opfer von Phishing-Angriffen wird, erheblich verringern.

[i] " Die Geschichte des Phishings ," Verizon

[ii] 2020 Data Breach Investigations Report , Verizon

[iii] "Schützen Sie sich vor Phishing-Betrug", Center for Internet Security

Erkennen eines Spear-Phishing-Angriffs

Spear-Phishing ist eine ernsthafte Bedrohung für Unternehmen auf der ganzen Welt, aber dieses sehr gezielte Phishing kann schwer zu verhindern sein.

Ein Bericht des Sicherheitsunternehmens Ivanti verdeutlicht die Erfolgsquote von Spear-Phishing: Fast drei Viertel (73 %) der Unternehmen gaben gegenüber Ivanti an, dass IT-Mitarbeiter Ziel von Spear-Phishing sind, und fast die Hälfte der Versuche (47 %) sind erfolgreich.

Was ist Spear Phishing?

Spear-Phishing ist eine sehr gezielte Form des Phishings. Während bei einer Phishing-Kampagne in der Regel eine Massen-E-Mail an viele Personen verschickt wird, konzentrieren sich Spear-Phishing-Kampagnen auf eine oder einige wenige Personen, die in der Regel für eine bestimmte Organisation arbeiten oder mit ihr verbunden sind.

Spear-Phishing erfolgt häufig per E-Mail, kann aber auch per Telefon (Vishing) oder per SMS erfolgen.

Beim Spear-Phishing werden fortschrittliche Social-Engineering-Taktiken eingesetzt, um eine wirksame Spear-Phishing-Kampagne auf der Grundlage gesammelter Informationen über ein Ziel zu erstellen. Die Informationen, die zur Perfektionierung einer Spear-Phishing-E-Mail benötigt werden, werden auf beliebige Weise gesammelt, z. B. durch Beiträge in sozialen Medien, Unternehmenswebsites, gehackte Online-Konten usw.

Es ist sogar schon vorgekommen, dass Cyberkriminelle per E-Mail oder Telefon eine Beziehung zu ihrer Zielperson aufgebaut haben, um das Vertrauen des Mitarbeiters zu gewinnen und ihn zu ermutigen, persönliche oder Unternehmensdaten preiszugeben. Sobald die Cyberkriminellen genügend Informationen über eine Zielperson haben, erstellen sie eine personalisierte E-Mail, die legitim aussieht.

Das Ziel eines Spear-Phishing-Versuchs besteht in der Regel darin, Anmeldedaten zu stehlen. Diese Anmeldedaten können dann verwendet werden, um Zugang zu einem Unternehmensnetzwerk zu erhalten. Das Ergebnis des Social Engineering eines Mitarbeiters ist eine Malware-Infektion, einschließlich Ransomware, Datendiebstahl, Business Email Compromise (BEC) und andere Formen von Cyberangriffen.

Die Verwendung der Multi-Faktor-Authentifizierung (MFA) kann zwar dazu beitragen, das Risiko eines Angriffs zu verringern, ist aber keine Garantie: Eine kürzlich durchgeführte Phishing-Kampagne, die auf Office 365-Benutzer abzielte, war in der Lage, jede von Mitarbeitern verwendete MFA zu umgehen.

Wie Cyberkriminelle Spear-Phishing-Angriffe einsetzen

Cyberkriminelle nutzen Spear-Phishing, um einen Angriff auf ein bestimmtes Unternehmen zu richten. Diese Kampagnen können direkt (auf einen Mitarbeiter) oder indirekt abzielen, d. h. sie konzentrieren sich auf einen Lieferanten in der Lieferkette, um ein Unternehmen auf einer höheren Ebene der Lieferkette anzugreifen.

Spear-Phishing-Angriffe sind oft Teil eines Angriffszyklus, bei dem Daten, einschließlich Kennwörtern, gestohlen werden; dies führt zu einer Malware-Infektion, weiterem Diebstahl von Zugangsdaten und gestohlenen Daten. Der Prozess beginnt mit einer E-Mail, Vishing oder SMShing. Speer-Phishing beinhaltet oft eine strategische Planung auf höchster Ebene, die mehrere choreografierte Schritte erfordern kann, um das Ziel des Hackers zu erreichen.

Beispiele für Spear-Phishing-Angriffe

Spear Vishing: Ein Spear-Phishing-Angriff auf Twitter im Jahr 2020 machte Schlagzeilen, als es Hackern gelang, Tweets von mehreren hochrangigen Konten zu senden, darunter Joe Biden, Barack Obama, Bill Gates und Elon Musk. Im Mittelpunkt des Twitter-Angriffs stand ein Phishing-Anruf (Vishing) bei den betroffenen Mitarbeitern, bis einer von ihnen den Angreifern die Anmeldedaten für interne Tools gab. Diese Anmeldedaten wurden dann verwendet, um die Privilegien auf eine höhere Ebene zu heben.

Spear-Phishing-E-Mail: Eine Spear-Phishing-E-Mail gab sich als die US-Arbeitsministerium (DoL) um mehrere Organisationen anzugreifen. Ziel der gefälschten E-Mail war es, die Anmeldedaten für Office 365 zu stehlen. Die E-Mail basierte auf geschickt getarnten Domänen, um den Anschein zu erwecken, dass die E-Mail vom Arbeitsministerium stammte.

Außerdem gab die E-Mail vor, von einem leitenden Mitarbeiter des Ministeriums zu stammen, der die Empfängerorganisation aufforderte, ein Angebot für ein Regierungsprojekt abzugeben. Durch Anklicken des "Angebots-Buttons" gelangte der Mitarbeiter auf eine Phishing-Website, auf der dann die Anmeldedaten für Office 365 gestohlen wurden.

Wie man eine Spear-Phishing-E-Mail erkennt

Diese E-Mails sind bekanntermaßen schwer zu erkennen, einfach weil so viel Arbeit in ihre Erstellung geflossen ist. Es gibt jedoch einige Punkte, auf die die Mitarbeiter achten können, um verräterische Anzeichen zu erkennen.

Spear-Phishing-E-Mails nutzen häufig Autoritätspositionen aus, z. B. beim IT-Support, um einen Mitarbeiter zu einer Handlung zu zwingen, z. B. zur Eingabe eines Passworts auf einer gefälschten Webseite. Überprüfen Sie die E-Mail-Adresse des Absenders. Sie kann wie die echte aussehen, jedoch mit einigen feinen Unterschieden. Stimmt das Format der E-Mail mit dem überein, was Sie gewohnt sind? Wenn die E-Mail z. B. angeblich vom IT-Support kommt, entspricht dann die Art und Weise, wie sie geschrieben und formatiert ist, früheren E-Mails des IT-Supports? Erfordert die E-Mail die Eingabe von zu vielen Daten oder Informationen, die unnötig erscheinen? Werden Sie beispielsweise aufgefordert, sich bei einer Cloud-App des Unternehmens anzumelden, nachdem Sie ohne zwingenden Grund auf einen Link in einer E-Mail geklickt haben - kommt Ihnen das verdächtig vor?

Eine weitere Low-Tech-Maßnahme zur Verhinderung von Spear-Phishing-Vorfällen besteht darin, sich beim vermeintlichen Absender der E-Mail zu vergewissern: Rufen Sie ihn an, um zu überprüfen, ob die E-Mail wirklich von ihm stammt.

Schützen Sie sich vor Angriffen

Der beste Weg, der Bedrohung durch Spear-Phishing zu begegnen, ist ein mehrschichtiger Schutz. Hier sind die sechs besten Möglichkeiten, um sich und Ihr Unternehmen vor einem Angriff zu schützen:

Teilen Sie nicht zu viel auf sozialen Medien

Cyberkriminelle sammeln die Informationen, die sie zur Erstellung glaubwürdiger E-Mails benötigen, aus vielen Quellen, auch aus sozialen Medien. Führen Sie also eine Richtlinie ein, die über die Gefahren einer übermäßigen Weitergabe von Daten in sozialen Medien aufklärt.

Klicken Sie nicht auf verdächtige Links in Phishing-E-Mails

Dies sollte zum Mantra an allen Arbeitsplätzen werden. Selbst wenn ein Mitarbeiter nach dem Anklicken eines bösartigen Links seine Anmeldedaten nicht eingibt, wird der Hacker wahrscheinlich wissen, wer geklickt hat, und immer raffiniertere Phishing-E-Mails an dieses Unternehmen senden.

Robuste Authentifizierung verwenden

Eine robuste Authentifizierung ist zwar nicht ausfallsicher, hilft aber bei einem mehrschichtigen Ansatz gegen Phishing. Erstellen Sie starke, eindeutige Passwörter und fügen Sie MFA hinzu, wo dies unterstützt wird.

Sensible Informationen niemals online weitergeben

Es versteht sich von selbst, dass die Weitergabe sensibler persönlicher oder Unternehmensdaten nicht öffentlich und online erfolgen sollte, da sie gesammelt und für Phishing-Attacken auf Mitarbeiter oder verbundene Zulieferer verwendet werden können.

Seien Sie vorsichtig und wachsam

Schulen Sie alle Mitarbeiter und Angestellten über die Taktiken der Cyberkriminellen. Stellen Sie sicher, dass diese Schulungen regelmäßig durchgeführt werden, und verwenden Sie eine simulierte Phishing-Plattform, um simulierte Phishing-Nachrichten an die am meisten gefährdeten Mitarbeiter zu versenden.

Ermutigen Sie Mitarbeiter, Vorfälle zu melden

Sobald Sie Ihre Mitarbeiter darin geschult haben, wie sie die verräterischen Anzeichen von Phishing erkennen können, sollten Sie sie ermutigen, Vorfälle zu melden. Dies trägt dazu bei, die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten und die erforderlichen Informationen bereitzustellen, um schnell handeln zu können, bevor ein Vorfall zu einem ausgewachsenen Cyberangriff wird.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels