Spear Phishing

Als Spear Phishing werden gezielte Phishing-Angriffe bezeichnet, die sich gegen ein bestimmtes Unternehmen oder Individuum richten. Diese Angriffe werden sorgfältig geplant und sollen bei einem bestimmten Opfer eine spezielle Reaktion auslösen. Angreifer investieren Zeit in die Erforschung ihrer Opfer und deren Unternehmen, um sich mithilfe personalisierter Nachrichten glaubwürdig als vertrauenswürdiger Absender auszugeben. Dadurch wirkt die Nachricht auf den Empfänger vertrauenswürdig. Zur Erhöhung der Erfolgsquote setzen Angreifer ihre Opfer oft unter Zeitdruck, damit sie möglichst schnell und unbedacht reagieren. Sie werden möglicherweise gebeten, sofort Geld zu überweisen, schädliche Anhänge zu öffnen oder auf einen Link zu klicken, der sie zu einer bösartigen Website mit einer gefälschten Anmeldeseite führt.

Die auf diese Weise erhaltenen Daten werden dann in betrügerischer Absicht zum Zugriff auf Unternehmens- oder persönliche Konten verwendet.

• Spear-Phishing umfasst personalisierte Angriffe, die auf bestimmte Personen oder Organisationen abzielen und oft recherchierte Details verwenden, um überzeugende, vertrauenswürdige Nachrichten zu erstellen.
• Bei diesen Angriffen werde typischerweise Dringlichkeit und Neugier ausgenutzt, um die Opfer dazu zu verleiten, vertrauliche Informationen preiszugeben oder Aktionen auszuführen, die dem Angreifer Vorteile bringen.
• Eine wirksame Vorbeugung erfordert eine Kombination aus fortschrittlichen E-Mail-Sicherheitsvorschriften, kontinuierlicher Benutzerschulung und proaktiven Maßnahmen wie Netzwerksegmentierung und Penetrationstests.

• Business Email Compromise (BEC): Dies wird auch als CEO Fraud, Whaling oder Überweisungsbetrug bezeichnet. Bei einem BEC-Angriff geben sich Kriminelle als Mitarbeiter, normalerweise als Führungskraft oder leitender Angestellter des Unternehmens aus. Unter Angabe glaubwürdiger Details und plausibler Gründe weisen sie ihre Opfer – zumeist Mitarbeiter mit Zugriff auf die Unternehmensfinanzen oder personenbezogene Daten – an, Geld zu überweisen oder vertrauliche Informationen, etwa Bankverbindungen von Kunden, Mitarbeitern oder Teilhabern des Unternehmens, weiterzuleiten. Die Angreifer arbeiten dabei mit Social-Engineering-Methoden und kompromittierten Konten; in der Regel werden keine Anhänge oder Links mit Schadprogrammen versendet.
• Identitätsmissbrauch: Dazu gehören viele Spearphishing-Angriffe, die sich als vertrauenswürdige Instanz ausgeben, z. B. ein bekanntes Unternehmen oder eine häufig genutzte Geschäftsanwendung wie Microsoft 365, Gmail oder Docusign. Manchmal geben sich Angreifer auch als vertrauenswürdige Kollegen oder Geschäftspartner aus. Mit diesen Angriffen soll der Empfänger normalerweise zur Preisgabe von Kontodaten oder zum Anklicken eines Links zu einem Schadprogramm verleitet werden. So können Sie beispielsweise eine E-Mail mit der Meldung erhalten, dass Ihr Konto gesperrt wurde und Sie zum Zurücksetzen Ihres Passworts einen bestimmten Link anklicken müssen. Beim Anklicken des Links werden Sie zu einem gefälschten Portal weitergeleitet, geben dort Ihre Zugangsdaten ein – und schon haben die Betrüger uneingeschränkten Zugriff auf Ihr Konto. Diesen Zugriff können sie dann nutzen, um vertrauliche Daten zu stehlen, Finanzbetrug über Ihr Konto zu begehen oder einen gezielten Angriff innerhalb Ihres Unternehmens zu verüben.

Der Unterschied zwischen Whaling, Spear-Phishing und Phishing liegt im Aufwand des Ziels und des Angreifers.

Phishing-E-Mails sind generisch und richten sich mit geringem Aufwand an ein breites Publikum, während Spear-Phishing den Angriff mit moderatem Aufwand auf bestimmte Personen personalisiert.

Whaling-Angriffe zielen auf hochrangige Führungskräfte mit stark angepassten E-Mails und erheblichem Aufwand der Angreifer. Es gibt zwar einige Unterschiede, aber alle zielen darauf ab, sensible Informationen zu stehlen oder die Opfer zu Aktionen zu verleiten, die dem Angreifer nützen.

Spear-Phishing-Angriffe sind bekannt für ihre Planung und Präzision. Im Gegensatz zu normalen Phishing-Versuchen, die ein weites Netz auswerfen, zielt Spear-Phishing akribisch auf bestimmte Personen ab. So läuft ein typischer Angriff ab:

• Phase 1: Aufklärung und Forschung: Der Angreifer agiert wie ein Späher, der Informationen über sein Ziel sammelt. Dies kann das Durchsuchen von Social-Media-Profilen, Unternehmenswebsites oder sogar professionellen Networking-Plattformen beinhalten. Sie suchen nach Details wie der Berufsbezeichnung des Opfers, aktuellen Projekten oder sogar den Namen von Kollegen.
• Phase 2: Den Köder auslegen: Mit Informationen bewaffnet, personalisiert der Angreifer den Angriff. Er verfasst eine E-Mail, die von einer vertrauten Quelle zu stammen scheint, vielleicht von einem Kollegen, einem Lieferanten oder sogar einem Vorgesetzten. Der Inhalt der E-Mail wird geschickt mit den Details aus der Recherchephase verwoben, so dass sie für die Zielgruppe äußerst relevant und vertrauenswürdig erscheint. Eine gängige Taktik besteht darin, Dringlichkeit oder Neugier auszunutzen und das Opfer dazu zu bringen, auf einen bösartigen Link zu klicken oder einen infizierten Anhang herunterzuladen.
• Phase 3: Der Haken und der mögliche Einbruch: Der eigentliche Angriff entfaltet sich, wenn das Opfer getäuscht wird und auf einen Link oder Anhang klickt. Ein Link könnte zu einer gefälschten Anmeldeseite führen, die darauf ausgelegt ist, Anmeldeinformationen zu stehlen, während ein Anhang Malware enthalten könnte, die das Gerät des Opfers infiziert und dem Angreifer möglicherweise Zugriff auf vertrauliche Daten oder sogar die Kontrolle über das System gewährt.

Die häufigsten Ziele dieser Angriffe sind:

• Aufforderung zur Geldüberweisung
• Aufforderung zur Preisgabe von vertraulichen Daten oder Geschäftsgeheimnissen
• Verbreitung von Malware oder Ransomware
• Diebstahl von Anmeldedaten
• Übernahme von Unternehmenskonten

Herkömmliche E-Mail-Sicherheitslösungen basieren auf Reputationsanalysen, Blocklisten und Signaturabgleich zur Identifizierung von Anhängen und URLs mit Schadprogrammen. Spear-Phishing-Angriffe sind sorgfältig konzipiert, sodass sie bei diesen Überprüfungen unerkannt bleiben. In der Regel sind ihnen keine Schadprogramme angehängt oder verlinkt, die ein herkömmliches Sicherheitssystem entdecken könnte. Meist werden sie darüber hinaus aus Absender-Domains mit guter Reputation bzw. bereits kompromittierten Konten verschickt.

Einige hilfreiche Methoden, um diese Angriffe zu erkennen und zu verhindern, dass sie Schaden anrichten, sind:

• Prüfen Sie die Absenderinformationen: Überfliegen Sie nicht nur den Namen des Absenders. Schauen Sie sich die E-Mail-Adresse selbst genau an. Spear-Phisher können Adressen mit leichten Schreibfehlern einer legitimen Quelle, Positionsbezeichnung oder anderen Inhalten in der E-Mail verwenden.
• Hüten Sie sich vor generischen Begrüßungen: Seriöse Unternehmen sprechen Sie normalerweise mit Ihrem Namen an. Allgemeine Begrüßungen wie „Sehr geehrter Kunde“ oder „Sehr geehrter Benutzer“ können ein Warnzeichen sein.
• Verdächtige Anhänge und Links: Seien Sie misstrauisch gegenüber unaufgeforderten Anhängen, insbesondere solchen mit generischen Namen oder Dateierweiterungen, die Sie normalerweise nicht erwarten würden (z.B. ".exe" in einem Dokument). Ergreifen Sie immer alle verfügbaren Maßnahmen zur Cybersicherheit, fragen Sie beim Absender nach oder wenden Sie sich an Ihr IT-Team, bevor Sie auf einen Link klicken oder einen E-Mail-Anhang herunterladen.
• Extreme Dringlichkeit oder Bedrohungen: Phishing- oder Spear-Phishing-E-Mails versuchen oft, Sie unter Druck zu setzen, schnell zu handeln, ohne darüber nachzudenken. Seien Sie vorsichtig bei E-Mails, in denen sofortige Maßnahmen gefordert werden oder Schrecktaktiken angewendet werden.
• Unbekannte Anfrage: Wenn Sie in einer E-Mail aufgefordert werden, etwas Ungewöhnliches zu tun, z. B. Ihr Passwort zu aktualisieren oder Geld auf ein neues Konto zu überweisen, überprüfen Sie die Anfrage über einen vertrauenswürdigen Kanal, bevor Sie Maßnahmen ergreifen. Sie können beispielsweise die Organisation anrufen, die der potenzielle Angreifer vorgibt zu vertreten, um zu überprüfen, ob die Anfrage legitim ist.
• Ungereimtheiten im Ton oder in der Sprache: Lesen Sie den Inhalt der E-Mail sorgfältig. Scheint der Schreibstil nicht mit dem des vermeintlichen Absenders vereinbar zu sein? Grammatikfehler oder eine ungeschickte Ausdrucksweise können Anzeichen für eine gefälschte E-Mail sein.
• Überprüfung über separate Kanäle: Wenn Sie sich hinsichtlich einer E-Mail nicht sicher sind, insbesondere wenn sie dringend erscheint, wenden Sie sich über einen vertrauenswürdigen Kanal (z. B. einen Telefonanruf unter einer bekannten Nummer) direkt an den Absender, um die Legitimität zu bestätigen.

Effektiver Schutz vor Spear-Phishing-Angriffen erfordert neue Ansätze und fortschrittliche Benutzerschulungsprogramme, um das Sicherheitsbewusstsein in Ihrem Unternehmen kontinuierlich zu verbessern. Einige beliebte, praktische Strategien zur Verhinderung von Spear-Phishing sind:

• Implementierung von E-Mail-Authentifizierungsprotokollen: Diese Protokolle, wie Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Brand Indicators for Message Identification (BIMI), überprüfen die Legitimität von Absender-E-Mail-Adressen. Dadurch wird es für Angreifer schwieriger, echte Adressen zu Spoofing.
• Setzen Sie sichere E-Mail-Gateways (SEGs) ein: SEGs fungieren als Sicherheitskontrollpunkte für Ihre E-Mails und überprüfen eingehende Nachrichten auf verdächtige Inhalte, Links und Anhänge, bevor sie Ihren Posteingang erreichen. Dies kann dazu beitragen, bösartige E-Mails zu blockieren, selbst wenn sie einzelne Sensibilisierungsmaßnahmen umgehen.
• Verwenden Sie Cloud-basierte E-Mail-Sicherheitslösungen: Diese Cloud-basierten Lösungen lassen sich direkt in Ihren E-Mail-Anbieter integrieren und bieten Echtzeitschutz vor sich entwickelnden Spear-Phishing-Taktiken. Sie können E-Mail-Inhalte, Anhänge und das Absenderverhalten auf verdächtige Aktivitäten hin analysieren und bieten so eine zusätzliche Schutzebene.
• Aktivieren Sie Content Disarm and Reconstruction (CDR): Diese Technologie entfernt potenzielle Bedrohungen aus E-Mail-Anhängen, bevor sie in Ihrem Posteingang landen. Indem der Anhang unschädlich gemacht wird, wird das Risiko einer Malware selbst dann ausgeschlossen, wenn ein Benutzer auf einen bösartigen Anhang klickt.
• Führen Sie regelmäßig Penetrationstests durch: Bei Penetrationstests, die auch als Pen-Tests bekannt sind, werden Cyberangriffe simuliert, um Schwachstellen in Ihrem E-Mail-System und Ihrer Sicherheitslage zu identifizieren. Dieser proaktive Ansatz kann dazu beitragen, Schwachstellen aufzudecken, die Angreifer für Spear-Phishing-Versuche ausnutzen könnten.
• Segmentieren Sie Ihr Netzwerk: Durch die Segmentierung Ihres Netzwerks erstellen Sie isolierte Zonen. So wird es für Angreifer schwieriger, Zugriff auf vertrauliche Daten zu erhalten, selbst wenn sie nur einen einzigen Punkt verletzen. Dadurch kann der potenzielle Schaden durch einen erfolgreichen Spear-Phishing-Angriff begrenzt werden.