Spear-Phishing

So schützen Sie sich vor Spear-Phishing-Angriffen

Phishing sollte mittlerweile jedem bekannt sein. Aber was ist Spear-Phishing? Haben Sie den Begriff schon einmal gehört? Auch dabei geht es um Attacken, die individuell auf die potenziellen Opfer zugeschnitten sind und gezielt durchgeführt werden. Wer kann zum Opfer werden? Und wie kann man sich schützen? Alle Antworten bekommen Sie bei uns.
Der Ausdruck Spear-Phishing beschreibt verschiedene digitale Angriffe, die alle gemeinsam haben, dass sie auf die angegriffenen Personen oder Unternehmen äußerst präzise abgestimmt sind. Spear-Phishing-Attacken setzen dabei ein gewisses Wissen über die Opfer voraus und sind hochgradig zielgerichtet. Erfahren Sie in, was Spear-Phishing ist und wie Sie sich vor Spear-Phishing-Angriffen schützen.

Was ist Spear-Phishing?

Spear-Phishing ist, wie der Name bereits offenbart, eine Unterart des Phishing. Hierbei handelt es sich erst einmal um einen recht weitgefächerten Sammelbegriff. Er umfasst alle Methoden, mit denen über Spam-Nachrichten und -Mails, über fingierte Benutzerprofile oder Websites persönliche oder geschäftliche Daten wie Passwörter entwendet werden. Der Begriff Phishing setzt sich dabei passenderweise aus den beiden englischen Ausdrücken password harvesting (im Deutschen „Passwort-Ernte“) und fishing (Fischen“) zusammen.
Wenn man von Phishing spricht, ist meistens eine Massen-Betrügerei gemeint, die versucht, Passwörter und andere Daten in großer Zahl „zu sammeln“. Bildlich kann man das traditionelle Phishing daher passend mit einem großen Fischernetz assoziieren. Davon grenzt sich das deutlich jüngere und gefährlichere Spear-Phishing ab. Dieses lenkt bereits mit dem Zusatz spear („Speer“) das Augenmerk auf die Präzision eines Angriffs. Spear-Phishing-Angriffe sind auf konkrete Personen, Personengruppen oder Unternehmen individuell abgestimmt.


Traditionelles Phishing weckt die Assoziation ans Netzfischen. Der Begriff Spear-Phishing legt das Bild der Speerjagd nahe. Bild: Pixabay/chenspec

Spear-Phishing als bekannte Social-Hacking-Methode

Sowohl beim Phishing als auch bei Spear-Phishing handelt es sich um Social-Hacking-Angriffe, also perfide Attacken, bei denen Cyberkriminelle mithilfe eines fingierten Szenarios an Passwörter gelangen. Beide Methoden zählen zu den bekanntesten und beliebtesten Angriffsformen, die solche Szenarien nutzen. Dennoch dürfte man ohne Frage Spear-Phishing eher mit dem Kerngedanken des Social Hacking bzw. Social Engineering verbinden:
Die Szenarien, mit denen Spear-Phisher agieren, sind nämlich präziser abgestimmt und wirken damit meistens glaubwürdiger. Die Wahrscheinlichkeit, dass Spear-Phishing-Attacken erfolgreich sind, ist damit auch deutlich höher. Während Angreifer traditionelle Phishing-Mails immer an eine quantitative Vielzahl von Adressen verschicken und sie möglichst allgemein halten, sind Spear-Phishing-Mails durch eingeflochtene Informationen erschreckend individuell aufbereitet.

Business Email Compromise (BEC)

Anders als traditionelles Phishing richten sich Spear-Phishing-Angriffe meistens gegen Unternehmen. Man spricht deswegen auch von Business Email Compromise (BEC), wenn Spear-Phisher via E-Mail einen zielgerichteten Angriff gegen Unternehmen durchführen. Business Email Compromise bedeutet frei übersetzt in etwa „Schädigung über Firmen-E-Mail“. Bei nahezu jeder Spear-Phishing-Attacke handelt es sich um eine BEC.
Voraussetzung für BEC sind meistens Bezüge auf konkrete Personen-, Firmen-, Marken- und Produktdaten, die mit der entsprechenden Person oder dem zugehörigen Unternehmen in Verbindung stehen. Diese Daten werden zum Teil aus Social-Media-Kanälen wie Facebook, Xing oder LinkedIn oder aus anderen Webplattformen wie Firmenseiten gezogen oder direkt erfragt. Zum Teil werden Kommentarspalten beobachtet, in denen sich Personen äußern, die im Fadenkreuz stehen. Teilweise werden aber auch fingierte Kontakte zu Mitarbeitern des entsprechenden Unternehmens hergestellt und Informationen erfragt, die den eigentlichen Angriffen vorausgehen.


Man spricht bei Spear-Phishing-Mails, die zielgerichtet gegen Unternehmen gehen, auch von Business Email Compromise. Bild: Pexels/DavidMcEachan

Spear-Phishing-Methode CEO-Fraud

Eine Sonderform des Spear-Phishing ist der sogenannte CEO-Fraud bzw. CEO-Betrug. Hierbei gibt ein Angreifer konkret vor, der Vorgesetzte des Kontaktierten zu sein. Die Informationen, die er über den Chef hat, ist zum Teil erschreckend präzise recherchiert und veranlassen Arbeitnehmer oft dazu, unüberlegt vertrauliche Daten wie Zugangsdaten und Passwörter preiszugeben oder Überweisungen zu tätigen. CEO-Frauds sind als Unterart des Spear-Phishing heute die beliebteste Social-Hacking-Methode überhaupt. Sie funktionieren so gut, da Angestellte den Vorgesetzten oft nicht zu hinterfragen wagen und deswegen auch deutlich weniger auf alarmierende Auffälligkeiten in Nachrichten, Anrufen und E-Mails achten. Da CEO-Frauds auch die beliebteste Form von Business Email Compromise darstellt, werden die Begriffe oft synonym verwendet. Ein BEC kann nach genauer Definition aber auch eine Spear-Phishing-Mail sein, in der sich Angreifer als Mitarbeiter, Bewerber oder Geschäftspartner ausgeben.

Ziele hinter Spear-Phishing-Angriffen

Cyberkriminelle versuchen mit Spear-Phishing-Angriffen meistens, an sensible Unternehmensdaten wie Passwörter zu gelangen. Oft werden diese direkt oder indirekt erfragt. Alleine deswegen bietet sich das CEO-Fraud an, denn dem Vorgesetzten dürfte man am ehesten die Daten unüberlegt zukommen lassen.
Gelegentlich leiten Angreifer ihre Opfer bei Spear-Phishing-Attacken aber auch auf extra erstellte, echt aussehende, aber dennoch fingierte Websites weiter. Dan werden Sie dazu aufgefordert, Ihre Zugangsdaten beispielsweise für Microsoft 365 einzugeben, um sich vermeintlich mit Ihrem Account anzumelden und eine angebliche Schnittstelle nutzen zu können.
Oft schicken Angreifer aber auch in ihren Spear-Phishing-Mails direkt Anhänge mit, über die sie auf Ihre Systeme gelangen. Die meisten Spear-Phishing-Angreifer versuchen, an sensible Unternehmensdaten zu gelangen oder Firmennetzwerke zu infiltrieren. Ist ein einzelnes System wie ein Arbeitsrechner oder -notebook erst einmal eingenommen, ist es für Kriminelle oft auch ein Leichtes, auf andere Systeme zugreifen zu können und Daten zu entwenden.


Heute ist Spear-Phishing ein beliebter Bestandteil von umfangreicheren Angriffsstrategien. Bild: Pexels/TreedeoFootage

Spear-Phishing als Teil einer perfiden Angriffsstrategie

Ist ein Spear-Phishing-Angriff erfolgreich, können die Kriminellen wichtige Firmendaten löschen, veröffentlichen oder verschlüsseln. Oft stellen die Angreifer auch Lösegeldforderungen oder verkaufen die Daten an andere Kriminelle weiter. Spear-Phishing, das sich gegen Unternehmen richtet, kann Teil eines größeren wirtschaftlichen Angriffs sein oder sogar im Rahmen von Wirtschaftsspionage eingesetzt werden. Zum Teil werden die Daten aber auch als Sprungbrett genutzt, um professionelle Spear-Phishing-Angriffe gegen andere, meistens größere Unternehmen durchzuführen. Gekaperte E-Mail-Adressen, Telefonnummern und Social-Media-Profile können in diesem Sinne missbraucht werden, um von ihnen aus neue Angriffe zu starten. Aufgrund der Echtheit der hierfür eingesetzt Daten, ist es selbst für Firmen mit professionellen Sicherheitskonzepten alles andere als einfach, eine entsprechend professionell durchgeführte Attacke zu erkennen.
Computersysteme können von Angreifern übrigens auch nur heimlich gekapert und zu unentdeckten Bots umfunktioniert werden, die als Teil eines Botnetzes unentdeckt DDoS-Angriffe (Distributed Denial-of-Service) durchführen oder Crypto-Mining betreiben.

Schutzmaßnahmen gegen Spear-Phishing-Angriffe

Nach dem öffentlich zugänglichen Internet Crime Report des FBI aus dem Jahr 2018 kosteten Spear-Phishing-Attacken inkl. CEO-Fraud amerikanischen Unternehmen circa 1,2 Milliarden US-Dollar, während das traditionelle Phishing betroffene Firmen „nur“ circa 48 Millionen kostete. Es ist weder davon auszugehen, dass sich die Zahlen innerhalb der letzten Jahre zugunsten von Firmen verbessert haben, noch, dass Spear-Phishing in Deutschland weniger erfolgreich ist. Diese Auswertung zeigt in jedem Fall deutlich, wie wichtig es ist, dass Firmen aller Branchen und Größen Strategien entwickeln, Spear-Phishing rechtzeitig zu erkennen und sich davor zu schützen.
Traditionelle Sicherheitsmaßnahmen können Sie jedoch nicht vor Spear-Phishing-Angriffen schützen. Warum? Weil Spear-Phishing Sie dazu verleitet, den Kriminellen sensible Daten wie Passwörter von sich aus zukommen zu lassen oder selbstständig Malware auf Ihr System herunterzuladen. Dennoch gibt es eine ganze Reihe an Sicherheitsmaßnahmen, die Sie in Ihrem Unternehmen umsetzen können:
  • Nehmen Sie mit Ihren Mitarbeitern an Schulungen teil und sensibilisieren Sie Ihr Unternehmen gegen jede Form von Cyberkriminalität und Social Hacking.
  • Nutzen Sie professionelle und professionell konfigurierte Mail-Konten für Firmen.
  • Etablieren Sie Leitfäden zum Umgang mit Nachrichten und E-Mails und zur Weitergabe von sensiblen und personenbezogenen Daten.
  • Links und Anhänge sollten nur unter bestimmten Voraussetzungen geöffnet werden. Vor dem Öffnen sollte geklärt werden, dass der Absender eine legitime Quelle ist.
  • Meiden Sie Darstellung in HTML und automatische Bild-Downloads bei unbekannten E-Mails.
  • Kontrollieren Sie bei jeder verdächtigen eingehenden E-Mail die Adresszeile gründlich. Oft finden Sie hier bekannte oder vertraute Adressen mit kleinen Schreibfehlern.
  • Geben Sie keine sensiblen Daten in sozialen Netzwerken Preis und weisen Sie Ihre Mitarbeiter an, firmeninterne Informationen oder Personenbezogenes nicht zu veröffentlichen.
  • Nutzen Sie eine professionelle Antiviren-Software, die Ihre Systeme ganzheitlich schützt.
  • Sie sollten Ihre sensiblen Daten durch Backups kontinuierlich absichern. Auf diese Weise ist ein Datenverlust oder eine Verschlüsselung zwar dramatisch, aber kein Weltuntergang.
Gerade kleine Unternehmen sind ein beliebtes Ziel für Spear-Phishing-Angriffe, da sie oft keine professionellen Schulungen durchführen und auch keine eigenen IT-Abteilungen haben, die sich um die digitale Sicherheit kümmern. Sie sollten besonders darauf achten, dass sie nicht fahrlässig im Internet unterwegs sind und Opfer von perfiden Attacken werden. Sollten Sie professionelle Hilfe bei der Realisierung von Schutzmaßnahmen benötigen, ist PC-SPEZIALIST Ihr Ansprechpartner.
_______________________________________________
Weiterführende Links: Norton, Kaspersky, Hornetsecurity, VadeSecure, IONOS, Computerwoche, Wikipedia

Ihr Technik-Experte vor Ort

PC-SPEZIALIST – der persönliche Ansprechpartner für Ihre Technik

Wir sorgen dafür, dass alles läuft und sind für Sie da: zentral, nah und persönlich.

Entdecken Sie jetzt unser umfassendes Serviceangebot für Computer, Laptop, Smartphone, Tablet und Co.

Zu unseren Festpreis-Services