Phishing sollte mittlerweile jedem bekannt sein. Aber was ist Spear-Phishing? Haben Sie den Begriff schon einmal gehört? Auch dabei geht es um Attacken, die individuell auf die potenziellen Opfer zugeschnitten sind und gezielt durchgeführt werden.
Wer kann zum Opfer werden? Und wie kann man sich schützen? Alle Antworten bekommen Sie bei uns.
Unser Beitrag über Spear-Phishing im Überblick:
Was ist Spear-Phishing?
Spear-Phishing ist eine Unterart des Phishings. Hierbei handelt es sich allerdings um einen recht breitgefächerten Sammelbegriff. Phishing umfasst alle Methoden, mit denen über Spam-Nachrichten, fingierte Benutzerprofile oder Websites persönliche oder geschäftliche Daten wie Passwörter entwendet werden.
Wenn man von Phishing spricht, ist meistens eine Massenbetrügerei gemeint, die versucht, Passwörter und andere Daten in großer Zahl „zu sammeln“. Das deutlich jüngere und gefährlichere Spear-Phishing grenzt sich davon ab. Denn es lenkt bereits mit dem Zusatz spear („Speer“) das Augenmerk auf die Präzision eines Angriffs. Spear-Phishing-Angriffe sind auf konkrete Personen, Personengruppen oder Unternehmen individuell abgestimmt.
Der Ausdruck Spear-Phishing beschreibt daher verschiedene digitale Angriffe, die gemeinsam haben, dass sie auf die angegriffenen Personen oder Unternehmen äußerst präzise abgestimmt sind. Spear-Phishing-Attacken setzen anders als gewöhnliche Phishing-Angriffe ein gewisses Wissen über die Opfer voraus und sind hochgradig zielgerichtet.
Traditionelles Phishing weckt die Assoziation ans Netzfischen. Der Begriff Spear-Phishing legt das Bild der Speerjagd nahe. Bild: Pixabay/chenspec
Spear-Phishing und Social-Engineering
Sowohl beim Phishing als auch bei Spear-Phishing handelt es sich um Social-Engineering- bzw. Social-Hacking-Angriffe, also perfide Attacken, bei denen Cyberkriminelle mithilfe eines fingierten Szenarios an Passwörter gelangen. Beide Methoden zählen zu den bekanntesten und beliebtesten Angriffsformen, die solche Szenarien, sogenannte Pretexts, nutzen. Dabei setzen Angreifer in der Regel einen Köder als Bestandteil des Pretexts ein.
Trotz der Gemeinsamkeiten beider Phishing-Arten, dürfte man ohne Frage Spear-Phishing eher mit dem Kerngedanken des Social Hacking bzw. Social Engineering verbinden: Die Pretexts, mit denen Spear-Phisher agieren, sind nämlich präziser abgestimmt und wirken damit meistens glaubwürdiger. Die Wahrscheinlichkeit, dass Spear-Phishing-Attacken erfolgreich sind, ist daher auch deutlich höher.
Während Angreifer traditionelle Phishing-E-Mails immer an eine Vielzahl von Adressen verschicken und sie möglichst allgemein halten, sind Spear-Phishing-Mails durch eingeflochtene Informationen erschreckend individuell aufbereitet. An entsprechende Informationen gelangen Angreifer durch vorbereitende Social-Engineering-Methoden wie Dumpster Diving und Quid pro Quo oder durch Datenpannen.
Spear-Phishing-Unterarten
Eine Sonderform bzw. Unterart des Spear-Phishing ist der sogenannte CEO-Fraud bzw. CEO-Betrug. Hierbei gibt ein Angreifer konkret vor, der Vorgesetzte des Kontaktierten zu sein. Die Informationen, die er über den Chef hat, sind präzise recherchiert und veranlassen Arbeitnehmer oft dazu, unüberlegt vertrauliche Daten wie Zugangsdaten und Passwörter preiszugeben oder Überweisungen zu tätigen.
CEO-Frauds sind als Unterart des Spear-Phishing heute die beliebteste Social-Hacking-Methode überhaupt. Sie funktionieren so gut, da Angestellte den Vorgesetzten oft nicht zu hinterfragen wagen und deswegen auch deutlich weniger auf alarmierende Auffälligkeiten in Nachrichten, Anrufen und E-Mails achten.
Eine andere, fast schon gegenteilige Unterart des Spear-Phishings ist das sogenannte Whaling. Beim Whaling nehmen Kriminelle nicht die Rolle von Vorgesetzten ein, sondern kontaktieren Personen in Führungspositionen wie Selbstständige oder Personen in C-Level-Positionen (CEO, CFO und andere). Dabei geben sie vor, Geschäftsführer oder Mitarbeiter der Finanzabteilung eines echten oder fingierten Unternehmens zu sein, und Geschäftspartner zu sein oder als solcher in Frage zu kommen.
Man spricht bei Spear-Phishing-Mails, die zielgerichtet gegen Unternehmen gehen, auch von Business Email Compromise. Bild: Pexels/DavidMcEachan
Exkurs: Business Email Compromise (BEC)
Anders als traditionelles Phishing richten sich Spear-Phishing-Angriffe meistens gegen Unternehmen. Man spricht deswegen auch von Business Email Compromise (BEC), wenn Spear-Phisher via E-Mail einen zielgerichteten Angriff gegen Unternehmen durchführen.
Voraussetzung für BEC sind meistens Bezüge auf konkrete Personen-, Firmen-, Marken- und Produktdaten, die mit der entsprechenden Person oder dem zugehörigen Unternehmen in Verbindung stehen. Diese Daten werden zum Teil aus Social-Media-Kanälen wie Facebook, Xing oder LinkedIn oder aus anderen Webplattformen wie Firmenseiten gezogen oder direkt erfragt. Zum Teil werden Kommentarspalten beobachtet, in denen sich Personen äußern, die im Fadenkreuz stehen. Teilweise werden aber auch fingierte Kontakte zu Mitarbeitern des entsprechenden Unternehmens hergestellt und Informationen erfragt, die den eigentlichen Angriffen vorausgehen.
Bei nahezu jeder Spear-Phishing-Attacke handelt es sich um eine BEC. Da CEO-Frauds die beliebteste Form von Business Email Compromise darstellt, werden die Begriffe oft synonym verwendet. Bei einer BEC kann sich der Angreifer aber auch als Mitarbeiter, Bewerber oder Geschäftspartner ausgeben.
Ziele von Spear-Phishern
Cyberkriminelle versuchen mit Spear-Phishing-Angriffen meistens, an sensible Unternehmensdaten wie Passwörter zu gelangen. Oft werden diese direkt oder indirekt erfragt. Deswegen bietet sich für Spear-Phisher der CEO-Fraud an, denn dem eigenen Vorgesetzten überlässt man die Daten unüberlegt am ehesten.
Gelegentlich leiten Angreifer ihre Opfer bei Spear-Phishing-Attacken aber auch auf extra erstellte, echt aussehende, aber dennoch fingierte Websites weiter. Dort werden Opfer aufgefordert, ihre Zugangsdaten für beispielsweise Social-Media-Kanäle, E-Mail-Accounts oder Office-Lösungen einzugeben, um sich anzumelden oder eine angebliche Schnittstelle nutzen zu können. Die Anmeldedaten gelangen jedoch direkt an die kriminellen Hintermänner.
Oft schicken Angreifer in ihren Spear-Phishing-E-Mails aber auch Anhänge mit, um die Systeme ihrer Opfer zu kapern. Die meisten Spear-Phishing-Angreifer versuchen, an sensible Unternehmensdaten zu kommen oder Firmennetzwerke zu infiltrieren. Ist ein einzelnes System wie ein Arbeitsrechner oder Arbeitsnotebook erst einmal eingenommen, ist es für Kriminelle oft ein Leichtes, auf andere Systeme des Firmennetzwerks zuzugreifen und großflächig Daten zu entwenden.
Heute ist Spear-Phishing ein beliebter Bestandteil von umfangreicheren Angriffsstrategien. Bild: Pexels/TreedeoFootage
Angriffsstrategien mit Spear-Phishing
War ein Spear-Phishing-Angriff erfolgreich, können die Kriminellen wichtige Firmendaten löschen, im Darknet veröffentlichen oder verschlüsseln. Oft stellen die Angreifer auch Lösegeldforderungen oder verkaufen die Daten an andere Kriminelle weiter.
Spear-Phishing, das sich gegen Unternehmen richtet, kann Teil eines größeren wirtschaftlichen Angriffs sein oder sogar im Rahmen von Wirtschaftsspionage eingesetzt werden. Zum Teil werden die Daten aber auch als Sprungbrett genutzt, um professionelle Spear-Phishing-Angriffe gegen andere, meistens größere Unternehmen durchzuführen.
Gekaperte E-Mail-Adressen, Telefonnummern und Social-Media-Profile können missbraucht werden, um von ihnen aus neue Angriffe zu starten. Aufgrund der Echtheit der hierfür eingesetzten Plattformen und Daten ist es selbst für Firmen mit professionellen Sicherheitskonzepten alles andere als einfach, eine professionell durchgeführte Attacke zu erkennen.
Computersysteme können von Angreifern übrigens auch nur heimlich gekapert und zu unentdeckten Bots umfunktioniert werden, die als Teil eines Botnetzes unentdeckt DDoS-Angriffe (Distributed Denial-of-Service) durchführen oder Crypto-Mining betreiben.
Spear-Phishing: Schutzmaßnahmen
Laut Internet Crime Report des FBI aus dem Jahr 2018 kosteten Spear-Phishing-Attacken amerikanischen Unternehmen circa 1,2 Milliarden US-Dollar, während das traditionelle Phishing betroffene Firmen „nur“ circa 48 Millionen kostete. Leider ist nicht davon auszugehen, dass sich die Zahlen innerhalb der vergangenen Jahre zugunsten von Firmen verbessert haben oder dass Spear-Phishing in Deutschland weniger erfolgreich ist. Wichtig ist, dass Firmen aller Branchen und Größen Strategien entwickeln, Spear-Phishing frühzeitig zu erkennen und sich davor zu schützen.
Traditionelle Sicherheitsmaßnahmen können nur selten vor Spear-Phishing-Angriffen schützen. Denn: Angriffe mittels Spear-Phishing verleiten das Opfer dazu, den Kriminellen sensible Daten wie Passwörter von sich aus zukommen zu lassen oder selbstständig Malware auf das System herunterzuladen. Dennoch gibt es an Sicherheitsmaßnahmen, die Sie in Ihrem Unternehmen umsetzen können:
- Nehmen Sie mit Ihren Mitarbeitern an Schulungen teil und sensibilisieren Sie Ihr Unternehmen gegen Cyberkriminalität und Social Engineering.
- Nutzen Sie professionelle und professionell konfigurierte E-Mail-Konten für Firmen.
- Etablieren Sie Leitfäden zum Umgang mit Nachrichten und E-Mails sowie zur Weitergabe von sensiblen und personenbezogenen Daten.
- Links und Anhänge sollten nur dann geöffnet werden, wenn sichergestellt werden kann, dass der Absender eine legitime Quelle ist.
- Meiden Sie Darstellung in HTML und automatische Bild-Downloads.
- Kontrollieren Sie bei jeder verdächtigen E-Mail die Adresszeile gründlich. Oft finden Sie hier bekannte oder vertraute Adressen mit kleinen Schreibfehlern.
- Geben Sie keine sensiblen Daten in sozialen Netzwerken preis und weisen Sie Ihre Mitarbeiter an, firmeninterne Informationen oder Personenbezogenes nicht zu veröffentlichen.
- Verwenden Sie eine Antivirensoftware, die Ihre Systeme ganzheitlich schützt.
- Sichern Sie sensiblen Daten durch Backups kontinuierlich ab und setzen Sie auf eine Backup-Strategie. Datenverlust oder -verschlüsselung sind dann kein Weltuntergang mehr.
Gerade kleine Unternehmen sind ein beliebtes Ziel für Spear-Phishing-Angriffe, da sie weder professionelle Schulungen durchführen noch eigenen IT-Abteilungen haben, die sich um die digitale Sicherheit kümmern. Achten Sie deshalb besonders darauf, dass sie nicht fahrlässig im Internet unterwegs sind. Sollten Sie professionelle Hilfe bei der Realisierung von Schutzmaßnahmen benötigen, ist PC-SPEZIALIST Ihr Ansprechpartner.
_______________________________________________
Weiterführende Links: Norton, Kaspersky, Hornetsecurity, VadeSecure, IONOS, Computerwoche, Wikipedia
Gruselig!