Eine bestimmte Fischfangtechnik ist das Jagen mit Speeren. Dabei suchen sich die Fischer einen ganz speziellen Wasserbewohner heraus und versuchen, diesen gezielt zu erlegen. Ganz ähnlich gehen Angreifer beim sogenannten Spearphishing vor: Sie wählen eine bestimmte Zielperson aus, die sie anschließend mit einer individuellen Attacke angehen. Beliebt hierbei ist nach wie vor die E-Mail als Vehikel, die jedoch nur in kleiner Anzahl versendet wird.

Ganz aktuell haben unsere Filtersysteme einen solchen Fall entdeckt und an der Zustellung gehindert. Der Empfänger hätte eine im perfekten Deutsch erstellte E-Mail erhalten, in deren Anhang sich eine angebliche Rechnung befindet. Die E-Mail stammt von einem „Beauftragten Rechtsanwalt“, kann jedoch genauso gut von einer „Rechnungsstelle“, „Inkasso OnlinePayment“ und anderen, ähnlich klingenden Absendern herrühren. Der Empfänger erhält eine letzte Erinnerung zur Zahlung der Rechnungssumme plus zusätzliche Gebühren, ansonsten würde ein Inkassounternehmen zur Eintreibung der Schulden beauftragt.

Beispiel der Spearphishing-Mail (Originalgröße durch Klick auf Screenshot)

Das typische Erkennungszeichen dafür, dass es sich hierbei um einen Spearphishing-Angriff handelt, ist die Nutzung der korrekten E-Mail-Adresse in Verbindung mit dem richtigen Vor- und Nachnamen des Empfängers. Selbst die in der E-Mail angegebene postalische Adresse ist korrekt. Der Anhang jedoch verriet in diesem Fall die bösartigen Absichten der Angreifer: Eine Analyse ergab, dass sich im Attachment eine ausführbare .com-Datei verbirgt, die gleich zweimal gezippt ist, um ihre eigentliche Identität zu verschleiern. Dennoch erkannten die Hornetsecurity-Filter die Malware sicher und klassifizierten sie als Virus, so dass sich unsere Kunden keine Sorgen darum machen müssen, mit einer solchen E-Mail in Kontakt zu kommen. Ein weiterer Hinweis für aufmerksame Leser einer solchen E-Mail ist die Inkonsistenz bei dem Absender („Beauftragter Rechtsanwalt Pay Online24 AG [news @ newsletter.karstadt.de]). Insgesamt lediglich neun dieser Virenmails wurden von unseren Spam- und Virenfiltern entdeckt, was den Verdacht eines Spearphishing-Angriffs weiter erhärtet. Das Besondere: Beim Malware-Scandienst Jotti ergab sich eine Erkennungsrate der .com-Datei von unter 25 Prozent nach 48 Stunden, die Analyse der gezippten Version erbrachte sogar eine Rate von weniger als 15 Prozent. Sollte eine solche E-Mail in Ihrem Posteingang landen, löschen Sie die E-Mail am besten direkt, ohne sie geöffnet zu haben.