Spear Phishing: Was ist das und wie kann man es verhindern?

Wenn Sie unsere Beiträge über Social-Engineering-Methoden (Phishing, Smishing, Whaling und Vishing) gelesen haben, wissen Sie bereits, dass viele Arten von Betrug vom Phishing abgeleitet sind. Es ist jedoch ebenso wichtig, etwas über die am weitesten verbreitete Methode, das so genannte „Spear Phishing“, zu erfahren. Leider ist diese Art von Betrug auch die gefährlichste für Unternehmen.

Was ist Spear Phishing?

Spear Phishing ist eine spezielle Art des Phishings, bei der das Opfer mit Hilfe von zuvor gesammelten persönlichen Informationen getäuscht wird. Der Hacker kann zum Beispiel Ihre öffentlichen Daten aus Ihren Social Media-Profilen verwenden, um Sie davon zu überzeugen, dass seine Nachricht authentisch ist.

Angenommen, Sie haben gerade ein Haus gekauft und die Neuigkeit auf Facebook gepostet. Dank eines Ihrer Kommentare auf LinkedIn findet der Hacker den Namen und die Geschäftsadresse Ihrer Bank heraus. Von dort aus muss er nur noch eine scheinbar vertrauenswürdige E-Mail-Adresse mit diesen Informationen erstellen, und schon ist er am Ziel! Er kann Sie dann zum Beispiel auffordern, Geld auf ein bestimmtes Konto zu überweisen, wobei er vorgibt, dass Sie dies im Hinblick auf Ihre Hypothek tun müssen. Wenn Sie nicht vorsichtig genug sind, werden Sie auf diese Weise betrogen.

Manchmal werden die Urheber dieser Art von Betrug sogar von einer fremden Regierung gesponsert. Es kann sich auch um „Hacktivisten“ oder Cyberkriminelle handeln, die auf der Suche nach sensiblen Informationen sind, um sie an Regierungen oder Konkurrenten zu verkaufen.

Was ist der Unterschied zwischen Phishing und Spear Phishing?

Wie der Name schon vermuten lässt, handelt es sich beim Spear Phishing um eine Form des Phishings. „Phishing“ umfasst alle Arten von Cyberangriffen, die darauf abzielen, durch Täuschung, Identitätsdiebstahl oder Nachahmung an sensible Informationen (Kreditkartennummer, Passwörter, Sozialversicherungsnummer usw.) zu gelangen.

Wie sieht eine Phishing-Attacke aus?

Phishing-Angriffe werden in der Regel auf breiter Front durchgeführt. Sie zielen auf eine große Anzahl potenzieller Opfer ab und sind nicht speziell auf die einzelnen Opfer zugeschnitten. In den meisten Fällen werden alle diese Personen gleichzeitig mit einer gefälschten E-Mail angegriffen, die vorgibt, von einer echten Organisation zu stammen.

Wahrscheinlich sind Sie bereits mit dieser Art von Betrug konfrontiert worden. Wir alle haben schon einmal eine dieser E-Mails erhalten, die angeblich von einer Person verschickt wurde, die um Hilfe bei der Verschiebung eines riesigen Geldbetrags (in der Regel mehrere Dutzend Millionen Dollar) bittet, der in einer nigerianischen Bank blockiert ist, und die einen beträchtlichen Prozentsatz dieses Vermögens als Gegenleistung für unsere Mitarbeit anbietet. Sehr oft geht es dabei um die Weitergabe unserer persönlichen oder Bankdaten… In vielen Fällen stammen diese Betrügereien tatsächlich aus Nigeria, was erklärt, warum sie „Nigerianische Briefe“ oder „419“-Betrügereien genannt werden (419 ist der Abschnitt des nigerianischen Strafgesetzbuchs, der dieses Verbrechen verbietet).

Die Täter dieser Phishing-Angriffe geben sich keine große Mühe, ihre Botschaft glaubwürdig zu gestalten. Häufig ist ihre E-Mail irgendwie grob formuliert (Rechtschreibfehler, Sprachfehler, kulturelle Abweichungen) und der Betrug ist unverhohlen erkennbar. Sie setzen einfach darauf, dass unter den zahlreichen Empfängern der E-Mail jemand so naiv ist, auf den angegebenen Link zu klicken oder die angeforderten persönlichen Daten zu übermitteln.

Was ist der Unterschied zu einer Spear Phishing-Attacke?

Der Hauptunterschied zwischen Phishing und Spear Phishing besteht darin, dass die Hacker beim Spear Phishing ein bestimmtes Opfer ins Visier nehmen und nicht eine Vielzahl von Personen gleichzeitig.

Bei einem Großteil dieser Angriffe handelt es sich bei den Opfern um leitende Angestellte oder Mitarbeiter, die eine Position innehaben, die ihnen Zugang zu bestimmter Hardware, Software oder Privilegien in der Organisation, in der sie arbeiten, gewährt. Es kann sich aber auch um Personen handeln, die für Betrüger verwertbare Informationen veröffentlicht haben (wie in unserem Hauskauf-Beispiel).

Bevor die Hacker mit ihren Opfern Kontakt aufnehmen, haben sie über sie recherchiert, um so viel wie möglich über die Organisation zu erfahren, für die sie arbeiten, die Position, die sie innehaben, wie sie genannt werden (z. B. Verwendung von Spitznamen), den Namen ihres Vorgesetzten oder Geschäftsführers, den Namen einer Bank, bei der ihre Organisation ein Konto hat, usw.

Diese Informationen werden dann verwendet, um eine Nachricht zu verfassen, die eine echte E-Mail von dieser Firma oder von einer anderen Einrichtung, mit der sie in Kontakt steht, vortäuscht. Die Betrüger achten darauf, die Nachricht so glaubwürdig wie möglich zu gestalten. Sie fügen Details hinzu, die die Illusion verstärken (sehr ähnliche E-Mail-Adressen, Namen echter Angestellter, Kopie des Logos, Kopie von Textblöcken, die normalerweise in den E-Mails dieser Organisation enthalten sind), so dass die Nachricht legitim erscheint und das Vertrauen des Empfängers gewinnt.

Sie nennen häufig eine URL, um den Empfänger zum Besuch einer gefälschten Website einzuladen, die zuvor erstellt wurde, um die angeforderten sensiblen Daten (Passwörter, Sozialversicherungsnummer, Bankkonto- oder Kreditkartennummern usw.) zu sammeln. In einigen Fällen haben sie dafür gesorgt, dass diese gefälschte Website besucht wird, um den Domain-Namen zu bestätigen und so die Antiviren-Software des Unternehmens zu täuschen.

In anderen Fällen geben sie sich als Freunde aus, geben vor, in Not zu sein und einen Geldbetrag zu benötigen, oder bitten um Zugang zu bestimmten Bildern, die in sozialen Netzwerken veröffentlicht wurden.

Eine dritte Form des Spear Phishing verwendet einen Anhang, der eine Rechnung oder ein Dokument (PDF-, Word- oder Excel-Datei) vortäuscht, das heimlich eine bösartige Software, ein Makro oder einen Code (z. B. einen Keylogger) enthält. Es könnte sich auch um eine Ransomware handeln, eine Software, die das Computersystem des Unternehmens blockieren kann und es zur Zahlung eines Lösegelds zwingt, um es freizuschalten.

Die Hacker erklären häufig, dass ihre Anfrage nach sensiblen Informationen dringend ist. Sie sagen den Opfern, dass sie ein Passwort ändern müssen, das bald abläuft, oder dass sie Änderungen in einer Lieferung, die in einem angehängten Dokument beschrieben ist, zur Kenntnis nehmen müssen.

Sie können sich auch als ein hochrangiges Mitglied des Unternehmens ausgeben (z. B. der Geschäftsführer oder ein mit dem Zahlungsverkehr befasster Manager) und um eine dringende Überweisung an einen neuen Lieferanten bitten. Manchmal wird diese Dringlichkeit mit der Notwendigkeit kombiniert, strenge Vertraulichkeit zu wahren oder gegen bestimmte Verfahren zu verstoßen, wie z. B. die Genehmigung eines Vorgesetzten einzuholen.

Schließlich können sie auch mit Emotionen spielen und versuchen, ihr Opfer durch Empathie dazu zu bewegen, die gewünschte Maßnahme durchzuführen.

All diese Strategien zielen darauf ab, eine schnelle Reaktion der Zielperson zu erreichen, damit sie nicht zu viel nachdenkt.

Wenn sie ihr Ziel erreicht haben, geben sich die Betrüger dank der persönlichen Daten als ihre Opfer aus, um bestimmte Aktionen durchzuführen (Geldtransfer, Diebstahl von persönlichen Daten, Diebstahl von geistigem Eigentum, unerwünschte Veröffentlichung von widerlichen Nachrichten in ihrem Namen usw.). In anderen Fällen bringen sie ihre Zielpersonen dazu, auf einen Link zu klicken, um ohne deren Wissen den Download einer Schadsoftware auszulösen. Oder sie veranlassen ihr Opfer zu einer Geldüberweisung oder zu einer bestimmten Handlung.

Wer kann die Zielperson sein?

Jeder Mitarbeiter eines Unternehmens kann Ziel eines Spear Phishing-Angriffs sein. Einige dieser Betrügereien zielen jedoch speziell auf hochrangige Führungskräfte ab. Sie werden als „Whaling-Angriffe“ bezeichnet. Die meisten von ihnen geben sich als CEO oder ein anderes hochrangiges Mitglied der Organisation aus, um dem Opfer einen eindeutigen Auftrag zu erteilen, der ohne Widerrede ausgeführt werden muss.

Bemerkenswerterweise deuten Studien darauf hin, dass Führungskräfte mit größerer Wahrscheinlichkeit zur Zielscheibe werden, aber auch anfälliger dafür sind, getäuscht zu werden als andere Mitarbeiter. Das liegt daran, dass sie oft sehr beschäftigt sind und nicht die nötige Zeit haben, ihren E-Mails kritische Aufmerksamkeit zu widmen. Manchmal unterschätzen sie einfach auch die Bedrohung.

Auf der anderen Seite ist es für einen Hacker lohnender, sie auszuwählen, weil sie häufiger Zugang zu unternehmenskritischen Informationen und Autorität haben.

Erwähnenswert ist auch, dass sich diese Cyberangriffe häufig gegen Mitarbeiter oder Führungskräfte richten, die mit Zahlungsvorgängen wie der Gehaltsabrechnung oder der Rechnungsstellung befasst sind.

Beachten Sie, dass auch Privatpersonen dieser Art von Betrug zum Opfer fallen können: Ein Hacker kann sich als einer Ihrer Freunde ausgeben und Sie auffordern, auf eine nette Website oder ein Video zu klicken… dahinter verbirgt sich dann eine Ransomware, die Ihr Smartphone sperren kann.

Wie kann man diese Art von Betrug erkennen?

Meistens sind Spear Phishing-E-Mails sehr gut gefälscht, so dass es sehr schwierig ist, die bösartige Nachricht zu erkennen. Selbst die Tools, die zur präventiven Erkennung dieser Form von Betrugs-E-Mails in den Unternehmen eingesetzt werden, können die Nachrichten von Spear Phishing-Angreifern kaum erkennen.

Das ist auch der Grund, warum sie alltäglich geworden sind (Schätzungen zufolge sind sie inzwischen für 91 % aller Cyberangriffe verantwortlich) und warum sie so viel Schaden anrichten.

Einige Ratschläge zum Erkennen von Spear Phishing-E-Mails

1.   Überprüfen Sie immer alle Informationen, insbesondere die Angaben zum Absender. Sie sehen vielleicht nur den Namen des Absenders, aber achten Sie auch auf die E-Mail-Adresse. Es ist sehr unwahrscheinlich, dass Ihr Bankier Ihnen eine E-Mail von einer Adresse wie „nameofthebanker.nameofthebank@gmail.com“ schickt. Prüfen Sie die angegebene E-Mail-Adresse sorgfältig, auch wenn sie von einer vertrauenswürdigen Organisation zu stammen scheint. Achten Sie auf eine Ziffer 0, die anstelle eines „o“ eingegeben wurde, oder auf ein russisches „ш“, das ein „w“ vortäuscht.

2.   Scheint irgendein Detail anders zu sein als sonst? Achten Sie auf Unterschiede im Format. Unterscheidet sich die Signatur auch nur geringfügig? Die E-Mail ist voller Rechtschreibfehler, was bei dieser Person sonst nie der Fall ist? Die Art und Weise, wie sie an Sie gerichtet ist, ist ungewohnt? All diese Details sind „Alarmlämpchen“, die Sie misstrauisch machen. Einige spezifische Merkmale sind den Hackern möglicherweise nicht bekannt, und genau daran können Sie Spear-Phishing erkennen.

3.   Überprüfen Sie jeden Link, den Sie erhalten, genauso wie Sie die E-Mail-Adresse überprüfen. Die tatsächliche URL ist nicht dieselbe wie der Link, auf den Sie klicken sollen? Das könnte ein Grund zur Sorge sein.

4.   Achten Sie auch auf die Formulierungen und den Jargon. Eine ungewöhnliche Erwähnung oder ein Ausdruck, den Sie innerhalb Ihrer Organisation noch nie gehört haben, sollte Sie misstrauisch machen. Achten Sie auf die Höflichkeitsfloskeln und Grußformeln am Ende der Nachricht. Heißt es normalerweise „Danke“, „Mit freundlichen Grüßen“ oder etwas anderes?

5.   Und schließlich, wenn ein Klick auf eine angehängte Datei ein Fenster öffnet, das anzeigt, dass sie ein Makro enthält: Vorsicht!

6.   Zögern Sie im Zweifelsfall nie, sich den Inhalt einer E-Mail telefonisch bestätigen zu lassen. Ein kurzer Anruf kann Ihnen eine Menge Ärger ersparen! Vorsicht ist besser als Nachsicht.

Wie Sie Spear Phishing verhindern?

Hacker können verschiedene Tricks anwenden, um Informationen über ihre Opfer zu erhalten. So können sie z. B. Nachrichten von außerhalb des Büros verwenden, um herauszufinden, wie die E-Mails der Mitarbeiter eines Unternehmens aussehen. Andere nutzen soziale Medien und andere öffentlich zugängliche Quellen, um Informationen zu sammeln.

Einige Ratschläge zum Vermeiden dieser Angriffe

Über das reine vorsichtig sein hinaus haben Sie auch andere Möglichkeiten, Speer Phishing zu verhindern. Hacker mögen zwar raffiniert sein, aber ein Betrug ist nicht gleich ein Todesurteil. Sie können sich und Ihre persönlichen Daten schützen, indem Sie die folgenden Schritte unternehmen:

  1. Denken Sie daran, dass jede Information (Name, Bild, …), die in sozialen Medien veröffentlicht wird, auch böswillig verwendet werden kann. Schützen Sie Ihre privaten Daten so gut wie möglich und vermeiden Sie es, in Ihren LinkedIn-Profilen zu viele Informationen über Ihre Zuständigkeiten, Lieferanten, Kunden, Prozesse oder operative Aspekte Ihres Unternehmens zu veröffentlichen.
  2. Vermeiden Sie es, zu viele Informationen über Ihre Mitarbeiter auf Ihrer Website zu veröffentlichen. Geben Sie keine E-Mail-Adressen an, sondern verwenden Sie stattdessen ein Formular zum Anfordern weiterer Informationen.
  3. Achten Sie auf die von Ihrer Organisation veröffentlichten Stellenanzeigen zur Besetzung von Positionen in der IT-Abteilung. Achten Sie darauf, dass sie nie zu spezifisch sind, wenn sie Einzelheiten über die von Ihrer Organisation verwendeten Software- und Cybersicherheitssysteme erwähnen.
  1. Achten Sie auch im Internet auf diese Informationen und vermeiden Sie sie, wo immer möglich.
  2. Verwenden Sie immer ein gehostetes E-Mail-Sicherheitssystem und einen Antispam-Schutz, um schädliche E-Mails zu stoppen.
  3. Senden Sie auf keinen Fall vertrauliche Informationen wie Anmeldedaten und Passwörter an andere. Wenn Sie Anhänge erhalten, scannen Sie diese mit Ihrem Antivirenprogramm, bevor Sie sie öffnen.
  4. Halten Sie Ihre gesamte Software ständig auf dem neuesten Stand, um jeglichen Missbrauch einer Sicherheitslücke zu vermeiden.
  5. Wissen und Bewusstsein sind der Schlüssel. Informieren Sie sich über die neuesten Phishing-Trends.
  6. Unternehmen müssen ihre Mitarbeiter schulen und Simulationen von Speer Phishing-Angriffen organisieren. Auf diese Weise können sie ein Bewusstsein für diese Bedrohung entwickeln und herausfinden, welche Mitarbeiter besonders anfällig für diese Art von Betrug sind.
  7. Weisen Sie Ihre Mitarbeiter an, verdächtige E-Mails an die IT-Abteilung zu melden und nicht auf eine URL in E-Mails zu klicken. Stattdessen sollten sie sich direkt mit der eigentlichen Website/URL verbinden.
  8. Hüten Sie sich vor ungewöhnlichen und unerwarteten E-Mails, insbesondere wenn sie vorgeben, dringend zu sein.
  9. Wenn Ihr Unternehmen über eine gut ausgebildete IT-Abteilung verfügt, kann es sich lohnen, diese zu bitten, alle externen E-Mails so zu kennzeichnen, dass sie leicht von internen E-Mails zu unterscheiden sind.
  10. Stellen Sie strenge Regeln für die Verwendung von Passwörtern auf. Verbieten Sie Ihren Mitarbeitern die Wiederverwendung von Passwörtern oder die Verwendung von Passwörtern, die zu leicht zu knacken sind.
  11. Führen Sie Zahlungsprozesse ein, die mehrere Genehmigungen auf Führungsebene erfordern.
  12. Vermeiden Sie jegliche „BYOD“ Regelung und die Verwendung von externer Software, Plattformen oder Anwendungen, die nicht ausdrücklich von Ihrer IT-Abteilung genehmigt wurden.
  13. Prävention ist ebenfalls wichtig, vor allem für schwächere Ziele wie ältere oder jüngere Nutzer. Wenn jemand in Ihrem Umfeld ein leichtes Ziel sein könnte, warnen Sie ihn vor Spear Phishing. Versuchen Sie, wenn möglich, ein Auge auf die E-Mail-Postfächer dieser Personen zu haben.
  14. Informieren Sie Ihre Belegschaft, Ihre Freunde und Familienmitglieder über die Risiken, die mit der Weitergabe persönlicher Daten in sozialen Medien verbunden sind.
  15. Einige Tools wurden speziell entwickelt, um Phishing zu verhindern. Hier ist eine Auswahl, die Sie verwenden können, um jede URL zu kontrollieren, bevor Sie sie anklicken: Where Goes, Redirect Detective und Redirect Check.
  16. Und zu guter Letzt: Verwenden Sie einen sicheren E-Mail-Anbieter wie Mailfence, um E-Mail-Sicherheit und Datenschutz zu gewährleisten.

Das Verhindern von Spear Phishing ist der Schlüssel zum Schutz Ihrer persönlichen Daten. Wenn Sie nicht wenigstens einige kleine Maßnahmen ergreifen, um dieses Szenario zu vermeiden, müssen Sie damit rechnen, dass Ihre E-Mail gehackt wird. Lesen Sie unsere Ratschläge, um zu wissen, was in diesem Fall zu tun ist, und kontaktieren Sie uns, wenn Sie Fragen zu Sicherheit und Datenschutz haben.

Mailfence ist eine Suite integrierter Kollaborationstools mit einer Vielzahl von Funktionen zum Schutz Ihrer persönlichen Daten. Wenn Sie bereits ein Konto haben, wissen Sie schon alles darüber. Wenn nicht, worauf warten Sie dann noch? Eröffnen Sie jetzt ein kostenloses Konto.

Ihr sicheres E-Mail-Konto – jetzt

Bleiben Sie auf dem Laufenden über unsere neuesten Beiträge, indem Sie uns auf Twitter und Reddit folgen. Für weitere Informationen über die sichere E-Mail-Suite von Mailfence zögern Sie bitte nicht, uns unter support@mailfence.com zu kontaktieren.

Avatar for Werner Grohmann

Werner Grohmann

Werner Grohmann ist Online-Redakteur und Content Marketingberater für deutsche und internationale IT-Unternehmen. Er ist für die deutsche Version des Mailfence Blogs verantwortlich.

Das könnte dich auch interessieren …