Was ist ein Spear-Phishing-Angriff?

Und wie schützen sich Unternehmen vor einem Spear-Phishing-Angriff

Was ist Spear-Phishing?

Spear-Phishing ist eine spezielle Angriffsform, die sich vom herkömmlichen Phishing-Angriff ableitet und in extrem bösartiger Absicht als Cyberangriff auftritt. Bei einer herkömmlichen Phishing-Attacke fallen die Zielpersonen nach Zufall in das Raster des Angreifers. Bei einem Spear-Phishing-Angriff wird das Opfer zum Teil über Wochen und Monate gezielt ausspioniert. In diesem Zeitraum werden Gewohnheiten und Präferenzen in Erfahrung gebracht. Das dient der Erstellung eines Personendossiers. Auf Basis dieser sorgfältig erhobenen Daten werden maßgeschneiderte E-Mail- bzw. Phishing-Angriffe realisiert. Diese sind immer personenbezogen.

Bei dieser Angriffsform geben sich die Cyberkriminellen als Online-Händler, Institut aus dem Bankensektor, Familienmitglied, Bekannte oder sogar Partner aus. Hierbei sind die E-Mails zumeist so konzipiert, dass sogar die Absenderadresse und die Inhalte auf den ersten Blick täuschend echt wirken. Der Versuch des Angreifers, die womöglich gutgläubige Zielperson zu überlisten, steht hier im Vordergrund. Schließlich möchte der Cyberkriminelle an sensible persönliche Informationen gelangen, wobei er bei dieser Art des Angriffs sehr zielgerichtet vorgeht. So werden nicht selten Zugangsdaten für herkömmliche Bankkonten oder Online-Konten ausgespäht.

Die Brisanz bei Spear-Phishing-Angriffen ergibt sich insbesondere für Unternehmen, die zunehmend von Industrie- bzw. Wirtschaftsspionage betroffen sind. Hierbei suchen sich professionelle Hacker zielgerichtet einen Mitarbeiter aus. Bei der Informationsbeschaffung selbst gelangen nicht nur allgemeine Phishing-Maßnahmen zur Anwendung. Im Gegenteil: Der Angriff erfolgt individuell, auf das jeweilige Opfer abgestimmt.

Spear-Phishing-Angriffe: Altbekannte Angriffsform in einem neuen Gewand

Diese Angriffe stellen aufgrund der tiefgehenden Abstimmung auf die Persönlichkeit des anvisierten Opfers eine drastische Gefahr dar. Im Vergleich zu den herkömmlichen Phishing-Mail-Attacken geraten auch Personen ins Visier, die bisher entsprechenden Fake-Mails mit einem gesunden Maß der Skepsis begegnet sind.

Gemeint ist hier, dass die spezifisch auf die Personen ausgerichteten E-Mails deutlich besser dazu geeignet erscheinen, Vertrauen herzustellen. Dabei wird vor allem die Gutgläubigkeit der Empfänger ausgenutzt. Diese wägen sich – beispielsweise aufgrund von scheinbar bekannten Absenderadressen oder wegen der Reputation des in der E-Mail genannten Unternehmens – in Sicherheit.

Seitens des Angreifers ist nun der erste Schritt vollzogen. Durch die erfolgreiche Täuschung kann der Cyberkriminielle nun den Spear-Phishing-Angriff auf der nächsten Ebene fortsetzen. Das ahnungslose Opfer wird hierbei erst zu einem wesentlich späteren Zeitpunkt die List feststellen. Doch dann ist es zumeist zu spät – der Betroffene kann nicht mehr reagieren.

So gestaltet sich ein Spear-Phishing-Angriff in der Praxis

Nachdem auf elektronischem Wege der Empfänger nun eine vorgetäuschte E-Mail erhalten hat, wird auf manipulative Art versucht, das Opfer beispielsweise über einen Link zum Download zu bewegen. Dass es sich hierbei um Schadsoftware handelt, wird vom Angreifer so gut es geht verschleiert. Denkbar ist auch die Weiterleitung per Link auf eine Webseite, wobei hier über ein Formular personenbezogene Daten abgefangen werden.

In den letzten Jahren ist zunehmend zu beobachten, dass Spear-Phishing sich nicht mehr nur auf den Kommunikationsweg der E-Mail beschränkt. Auch soziale Kanäle werden für diese Form des Angriffs genutzt. Wurde der Link oder die Malware beim potentiellen Opfer platziert, kann sich ein Cyberkrimineller erst einmal zurückziehen und abwarten.

Die Ziele von Spear-Phishing

Ohnehin handelt es sich hierbei zumeist nur um die ersten Vorbereitungen. Denn das Ziel des Angreifers ist letztlich, die IT-Infrastruktur des Unternehmens zu unterwandern. Spear-Phishing eignet sich als gezielte Angriffsform natürlich besonders gut. Eine Recherche auf der Unternehmenswebseite genügt, um entsprechende personenbezogene Daten, aber auch Kontaktdaten von Angehörigen im Unternehmen in Erfahrung zu bringen.

Zumeist informieren sich Angreifer bereits im Vorhinein sehr genau über die Zielperson. Vorname, Nachname, Geburtsdatum, Wohnort, Straße, Hobbies, aber auch Informationen über Familienmitglieder, Freunde und Geschäftspartner können ohne Problem im Netz recherchiert werden. Hierzu gibt es unzählige, öffentlich zugängliche Datenbanken im Internet. Meistens sorgen die Nutzer sogar selbst dafür, dass Profil-Informationen für Dritte frei einsehbar sind. Dies gilt insbesondere für den Bereich Social Media.

Der Angreifer bringt über die Zielperson u.a. auch Informationen, Präferenzen und Gewohnheiten in Erfahrung. Es ist teilweise einsehbar, wann, wer, was zu welchem Zeitpunkt im Internet gekauft hat, sei es auf eBay oder Amazon. Selbst das Erstellen von Bewegungsmustern stellt für Cyberkriminelle in der heutigen Zeit keine größere Herausforderung mehr dar. Mittels GPS trägt eine nicht unerhebliche Anzahl an Nutzern von sogenannten Tracking-Services sogar selbst dazu bei, dass ein Angreifer ganz genau in Erfahrung bringen kann, wo, wann und wie lange sich eine Person konkret aufhält.

Digitale Quellen für Spear-Phishing

Doch damit nicht genug. Die Angreifer suchen auch nach Bewertungen auf Reiseportalseiten. Die Gästebücher von Hotels auf Webseiten geben ebenfalls einen sehr detaillierten Überblick über den finanziellen Hintergrund einer Person. So können auch schnell einmal konkrete Rückschlüsse auf Verflechtungen im Geschäfts- sowie Privatbereich gezogen werden. Hierbei handelt es sich allerdings lediglich um die digitale Recherche nach Informationen.

Der Spear-Phishing-Angriff im Allgemeinen basiert auf ganz unterschiedlichen Angriffsvarianten. In der Vorbereitungsphase stehen sie oft im engen Zusammenhang mit Social Engineering, welches auch als Social Hacking bekannt ist. Denn je mehr Informationen ein Angreifer über die Zielperson im Vorhinein in Erfahrung bringen kann, desto nachhaltiger kann er seinen Angriff auf das etwaige Opfer eines Spear-Phishing-Angriffs abstimmen.

In jedem Fall steigt durch die Preisgabe von personenbezogenen Daten durch den User selbst die Gefahr, Betroffener eines Spear-Phishing-Angriffs zu werden. Denn diejenigen im Unternehmen, die leichtsinnig mit ihren Daten umgehen, eignen sich zumeist ideal für diese Angriffsform. Cyberkriminelle, die Spear-Phishing einsetzen, sind sich dieser Tatsache durchaus bewusst und suchen gezielt nach Mitarbeitern, die diese entsprechenden Schwachstellen vorzuweisen haben.

Das direkte Umfeld des Spear-Phishing-Betroffenen

In Bezug auf die Suche nach immer detaillierteren Informationen nimmt der Einfallsreichtum von Cyberkriminellen stetig zu. Aus diesem Grund gerät bei einem Spear-Phishing-Angriff regelmäßig die nähere Umgebung des potentiellen Opfers ins Visier. Demnach ist es keine Seltenheit, dass sensible Schriftstücke entweder direkt aus dem Papiermüll von Unternehmen oder sogar aus dem privaten Bereich von Mitarbeitern abgefangen werden.

Liegen dem Angreifer alle benötigten Informationen vor, kann der Angreifer mit der Spear-Phishing-Attacke fortfahren. Im weiteren Verlauf erhalten einzelne oder mehrere Mitarbeiter E-Mails, in welchen diese beispielsweise dazu aufgefordert werden, bestimmte Informationen zu bestätigen. Auch lässt sich zunehmend ein Verschwimmen der Grenze hin zum CEO-Fraud feststellen. Die E-Mails werden zumeist durch vermeintliche Absenderadressen von Autoritäten versehen bzw. gefälscht.

Auch angefügte Dateien, die im alltäglichen E-Mail-Verkehr von Unternehmen täglich zum Einsatz gelangen, dienen hier häufig als Einfallstor. So kann sich eine Word-, Excel- oder PDF-Datei als Schlüssel zum gesamten Unternehmens-Netzwerk herausstellen. Diejenigen, die diese Dateianhänge öffnen, ahnen zumeist nichts von der bevorstehenden Gefahr.

r

Der Köder bei einem Spear-Phishing-Angriff

Die Gestaltung und Tarnung des Köders ist ein ganz entscheidendes Element, wenn es um die Täuschung der Zielperson geht bzw. die Initiierung eines Spear-Phishing-Angriffs betrifft. Denn je überzeugender ein Angreifer seinen Köder tarnt, desto größer ist die Wahrscheinlichkeit, dass der Cyberkriminelle Erfolg bei seinem Vorgehen hat.

Während die in der Vergangenheit durchgeführten Spear-Phishing-Angriffe sich häufig auf den Bereich von E-Mails erstreckten, rückt zunehmend der Social Media Bereich in den Fokus. Auch hier können Mitarbeiter von Unternehmen unwissentlich durch Spear-Phishing angegriffen werden. Dies geschieht dann aber auf persönlicher Ebene, sodass das Opfer nichtsahnend mit dem Angreifer kommuniziert. Auch hier wird auf vermeintlich ausgespäht werden.

Professionelle Spear-Phishing-Attacken sind nur schwer erkennbar. Sie sind zumeist inhaltlich derart zielgerichtet aufbereitet, dass sie von Laien nur sehr schwer als Köder enttarnt werden können und die Zielperson zu entsprechenden Handlungen verleiten. Gerade bei einem kleinen Personenkreis sind Cyberkriminelle recht erfolgreich. Hierin unterscheidet sich das Spear-Phishing vom normalen Phishing. Denn bei letzterem werden beispielsweise wahllos unzählige E-Mails in Form der sogenannten “Schrotflintentaktik” versandt.

Wie können sich Unternehmen vor einem Spear-Phishing-Angriff schützen?

Gerade für IT-Sicherheitsbeauftragte in Unternehmen sind Spear-Phishing-Angriffe eine Herausforderung. Denn letztlich ist es der einzelne Mitarbeiter als Mensch, der hierbei als zentrale Schwachstelle dient. So werden Links und Dateianhänge ohne Erkennen des tatsächlichen Absenders leichtfertig geöffnet. Gleiches gilt für falsche Freundschaftsanfragen, die User über soziale Netzwerke erhalten. Die Psyche des Empfängers wird regelmäßig als Einfallstor genutzt und umgangen. Daher steigt die Zahl der Angriffe auch Jahr um Jahr an. Aus diesem Grund ist es außerordentlich wichtig, Aufklärungsarbeit zum Thema Spear-Phishing zu betreiben und Mitarbeiter in Unternehmen zu sensibilisieren.

1. Spear-Phishing-Angriff enttarnen

Um sich effektiv vor Spear-Phishing in der Praxis zu schützen, sollten E-Mail-Benachrichtigungen, die zur Herausgabe von sensiblen Daten auffordern, ignoriert werden.

Weder ein Geldinstitut, noch ein Service-Anbieter, würde seine Kunden jemals dazu auffordern, persönliche Informationen per E-Mail preiszugeben.

Gleiches gilt für äußerst fragwürdige Nachrichten oder angeblich harmlose Links von angeblichen Bekanntschaften aus dem Bereich Social Media. Dies gilt insbesondere für kryptische Adressen bzw. URLs. Aber auch vertrauenswürdig wirkende Links können problematisch sein.

2. Soziale Medien mit Vorsicht nutzen

Vielleicht haben auch Sie schon einmal ein Posting an einer Pinnwand auf Twitter oder Facebook gesehen, welches persönliche Daten beinhaltete. Hierbei gibt es die kuriosesten Fälle. Von der Veröffentlichung des Führerscheins bis hin zur Offenlegung eines Kontoauszugs, gibt es alles. Sogar Personen, die Ihre Kreditkarten präsentieren. Diese User sind gerade zu prädestiniert für einen Spear-Phishing-Angriff.

Auch anhand von Bildaufnahmen lassen sich u.U. Daten abgreifen. Dies gilt insbesondere dann, wenn sensible Dokumente auf einem Schreibtisch liegen und als Fotoaufnahme in den sozialen Medien landen. Hierbei muss es sich lediglich um einen Mitarbeiter handeln, der unbewusst eine Aufnahme von seinem Arbeitsplatz postet. Das beschriebene Szenario ist nicht selten in der Praxis anzutreffen.

3. Professionelle Schutzmaßnahmen

Die bisherigen Schutzmaßnahmen bezogen sich im Prinzip auf die Schwachstelle Mensch, die natürlich in erster Linie als Einfallstor eines erfolgreichen Spear-Phishing-Angriffs dient. In technischer Hinsicht ist aber ebenfalls die Einführung eines IT-Security-Konzepts sinnvoll, welches Unternehmen einen weitreichenden Schutz vor Spear-Phishing-Attacken bietet.

Mit der Advanced Threat Protection können Sie dieser raffinierten Angriffsform entgegenwirken. Informieren Sie sich hier.

Besuchen Sie unsere Wissensdatenbank

Hat Ihnen unser Beitrag aus der Wissensdatenbank zum Thema Spear-Phishing gefallen? Dann gelangen Sie hier zur Übersichtsseite unserer Wissensdatenbank. Dort erfahren Sie mehr über Themen, wie IT-Sicherheit, Social Engineering, Bitcoin Mining, DDoS-Attacken, Cryptolocker Virus, KryptographiePhishing, Brute-Force-Angriffe, GoBD, Cyber Kill Chain, Computervirus und Ransomware.