Spear-Phishing

Was ist Spear-Phishing?

Spear-Phishing ist eine gezielte Form des Phishing-Betrugs, bei der Cyberkriminelle äußerst glaubwürdige E-Mails an bestimmte Personen innerhalb eines Unternehmens senden. Anders als die Kriminellen bei breit angelegten Phishing-Kampagnen geben sich Spear-Phisher als vertraute Personen aus, um die Opfer zur Preisgabe vertraulicher Daten, zur Überweisung von Zahlungen oder zum Herunterladen gefährlicher Malware zu verleiten.

Die Hacker konzentrieren ihre Methoden auf Social-Engineering-Taktiken, mit denen sie sich die natürliche Veranlagung des Menschen zunutze machen, indem sie etwa ihre Hilfsbereitschaft, Reaktion auf alarmierende Hinweise oder ihr Vertrauen in Vorgesetzte ausnutzen. Auf diese Weise gelingt es ihnen, ahnungslose Opfer zu manipulieren. Leider sind MitarbeiterInnen oft eine große Schwachstelle in Unternehmen: Menschliches Versagen ist die Hauptursache für ungeplante Systemausfallzeiten. Dies zeigt, wie wichtig regelmäßige Anti-Phishing-Schulungen sind.  

Was macht Spear-Phishing so gefährlich?

Gezielte Angriffe wie Spear-Phishing sind für Unternehmen brandgefährlich, da ein erfolgreicher Betrüger in den Besitz sensibler Unternehmensdaten oder Anmeldeinformationen für Finanzsysteme gelangen und sogar Direktüberweisungen veranlassen kann. Dies führt nicht nur zu unmittelbarem finanziellen Schaden und Datenverlust, sondern kann auch weitreichende Betrugsdelikte und eine wiederkehrende Serie von Übergriffen und Schadensfällen nach sich ziehen.

Versierte Spear-Phisher nutzen diese erste Verletzung, um APT-Kampagnen (Advanced Persistent Threats) in Gang zu setzen, die unentdeckt bleiben und weitreichende, anhaltende Folgen haben können. Durch diesen anhaltenden nicht autorisierten Zugriff können Hacker durch die Netzwerkressourcen navigieren, was nicht selten weitere Datensicherheitsverletzungen, Betriebsunterbrechungen und letztlich erhebliche finanzielle Verluste und eine Rufschädigung für das Unternehmen zur Folge hat.

Was ist der Unterschied zwischen Phishing und Spear-Phishing?

Sowohl Phishing als auch Spear-Phishing dienen Cyberkriminellen dazu, vertrauliche Daten und persönliche Informationen zu stehlen. Der entscheidende Unterschied ist ihre Vorgehensweise: Während es sich bei Phishing-Angriffen in der Regel um allgemeine Nachrichten handelt, die an eine große Zielgruppe gesendet werden, richtet sich Spear-Phishing an bestimmte Personen und bedient sich der persönlichen Daten des Opfers, um überzeugender zu wirken.

Die folgenden Beispiele verdeutlichen den Unterschied zwischen Phishing und Spear-Fishing.

Beispiel für Phishing: Ein Cyberkrimineller verschickt eine Massen-E-Mail, in der er vor einer möglichen Sicherheitsverletzung warnt und eine sofortige Änderung des Kennworts empfiehlt. Die E-Mail enthält einen Link zu einer gefälschten Website, die eine seriöse Internetseite (z. B. einer Bank) vortäuscht. Der Angreifer rechnet damit, dass ein kleiner Prozentsatz der zahlreichen Empfänger anbeißt, der dringenden Empfehlung Glauben schenkt und seine Anmeldeinformationen eingibt.

Beispiel für Spear-Phishing: Bei einem Spear-Phishing-Szenario nehmen die Angreifer einzelne Angestellte ins Visier. Mithilfe von Daten aus den sozialen Netzwerken des/der Angestellten geben sich die Cyberkriminellen beispielsweise als MedienmanagerIn des Unternehmens aus und senden eine maßgeschneiderte E-Mail, die auf eine kürzlich stattgefundene Veranstaltung anspielt und den/die MitarbeiterIn auffordert, auf einen Link zu klicken, der angeblich zu Fotos der Veranstaltung führt. Durch diesen genau auf die Person abgestimmten Angriff wird der schädliche Link glaubwürdiger, was die Wahrscheinlichkeit erhöht, dass der/die MitarbeiterIn versehentlich Malware installiert oder Anmeldeinformationen preisgibt.

Was macht Spear-Phishing so effektiv?

Phishing-Scams haben sich von offensichtlichen Betrügereien wie den berüchtigten E-Mails des „nigerianischen Prinzen“ zu den heutigen ausgefeilten Speer-Phishing-Kampagnen weiterentwickelt, bei denen Social Engineering und generative KI zum Einsatz kommen. Mit diesen Mitteln können die Betrüger ihre Glaubwürdigkeit erhöhen und arglose Opfer dazu bewegen, ihre scheinbar harmlosen Bitten zu erfüllen.

Der Erfolg von Spear-Phishing beruht häufig auf folgenden Faktoren:

• Überzeugende E-Mail-Fälschungen von Markenunternehmen: Geübte Angreifer täuschen in ihren E-Mails seriöse Marken wie Apple, Microsoft oder das Bankinstitut des Users vor und lassen sie authentisch erscheinen.
• Vertrauensvorschuss am Arbeitsplatz: E-Mails, die scheinbar von vertrauenswürdigen Personen innerhalb des Unternehmens stammen, z. B. von Führungskräften oder VertreterInnen der Personalabteilung, vermitteln ein falsches Gefühl von Sicherheit, Glaubwürdigkeit und Vertrauen.
• Angst, Bedrängung und Einschüchterung: Betrüger versuchen oft, ihre Opfer zu verunsichern, indem sie behaupten, im Besitz kompromittierender Informationen zu sein. Auch das Suggerieren einer unmittelbaren Gefahr ist eine beliebte Einschüchterungstaktik. Diese Drucksituation verleitet die Zielperson dazu, ihren Forderungen schnell und oft unüberlegt nachzukommen.
• Unzureichend geschulte MitarbeiterInnen: Ohne kontinuierliche Schulungen erkennen oder melden die MitarbeiterInnen Spear-Phishing-Versuche möglicherweise nicht und werden so zu leicht angreifbaren Zielen.
• Schwache E-Mail-Sicherheit: Ohne geeignete Tools können die systemeigenen Sicherheitskontrollen raffinierte Spear-Phishing-Versuche nicht abfangen, sodass Unternehmen schutzlos ausgeliefert sind.
• Generative KI-Technologie: Moderne Betrüger verwenden KI-Tools wie ChatGPT, um glaubwürdige E-Mails zu verfassen, die den menschlichen Kommunikationsstil perfekt imitieren. Dadurch sind ihre Phishing-Angriffe noch schwieriger zu erkennen.

Funktionsprinzip von Spear-Phishing

Spear-Phishing richtet sich ganz gezielt an bestimmte Personen oder nutzt maßgeschneiderte gefälschte Nachrichten, um vertrauliche Informationen zu stehlen, sich nicht autorisierten Zugriff zu verschaffen oder schädliche Software zu installieren.

Ein typischer Spear-Phishing-Prozess läuft in der Praxis ungefähr folgendermaßen ab:

1. Recherche und gezielte Auswahl: Speer-Phisher suchen zunächst ein Ziel – meist handelt es sich um eine Person mit leicht zugänglichen Informationen im Internet. Sie durchforsten die Internetpräsenz der betreffenden Person, um Einzelheiten wie ihre berufliche Position, ihre KollegInnen, ihre jüngsten Unternehmungen oder ihre privaten Interessen herauszufinden.
2. Entwicklung des Angriffs: Anhand der gesammelten Informationen verfassen die Angreifer eine täuschend echt wirkende Nachricht oder E-Mail. In der Regel geben sich in dieser Nachrichten als vertrauenswürdige Personen oder KollegInnen aus, was sie glaubwürdig erscheinen lässt.
3. Platzierung: Der Betrüger sendet die betrügerische Nachricht an die Zielperson. Die E-Mail kann Folgendes enthalten:

• Einen Link, über den Malware auf dem Gerät des Opfers installiert wird
• Einen Anhang, der das System mit Ransomware infiziert
• Eine scheinbar seriöse Bitte um vertrauliche Informationen
• Ein Link zu einer gefälschten Website, auf der das Opfer seine Anmeldeinformationen eingibt

1. Aktion: Sobald die Zielperson mit der Nachricht interagiert (z. B. durch Anklicken eines Links oder Angabe der angeforderten Informationen), kann der Angreifer sein primäres Ziel erreichen – nämlich wichtige Daten zu stehlen, nicht autorisierten Zugriff zu erlangen oder Malware oder Ransomware zu installieren.
2. Exploit: Mit dem erlangten Zugriff oder den gewonnenen Daten kann der Cyberkriminelle nun vertrauliche Informationen stehlen, Finanzdelikte begehen oder sich sogar seitlich im Netzwerk eines Unternehmens bewegen, wodurch erheblicher Schaden droht.

Auswahlkriterien für die Zielpersonen beim Spear-Phishing

Betrüger konzentrieren sich in der Regel bei der Wahl ihrer Zielpersonen auf drei Hauptkriterien: auf die Informationen, auf die eine Person Zugriff hat, auf die Informationen, die sie über diese Person sammeln können, und auf die Möglichkeit, sie auszunutzen.

Ausgehend von diesen Kriterien sind diese drei Gruppen von Angestellten häufige Zielscheiben von Spear-Phishing:

• MitarbeiterInnen mit wertvollen Daten: Die Zielpersonen von Spear Phishing sind nicht zwangsläufig hochrangige Führungskräfte oder EntscheidungsträgerInnen, aber sie haben in der Regel Zugriff auf wertvolle Informationen. MitarbeiterInnen in Abteilungen wie der Kreditorenbuchhaltung, der Gehaltsabrechnung und der Personalabteilung haben nicht nur Zugriff auf wichtige Daten, sondern erhalten auch regelmäßig jede Menge E-Mails. Dies macht es einfacher, Phishing-E-Mails einzuschleusen.
• Unerfahrene MitarbeiterInnen: Betrüger haben es oft auf weniger erfahrene oder neu eingestellte MitarbeiterInnen abgesehen, da diese mit den Unternehmensprotokollen oder Best Practices im Bereich der Cybersicherheit nicht vertraut sind. Manchmal wird eine falsche Autorität oder Dringlichkeit vorgetäuscht, weil neue MitarbeiterInnen von Natur aus dazu neigen, sich einer vermeintlichen Autorität unterzuordnen.
• Very Attacked Persons (VAPs): Entgegen der landläufigen Meinung sind VIPs nicht immer das Ziel von Spear-Phishing-Angriffen. Die VAPs sind oftmals gefährdeter, weil sie online viele persönliche Daten hinterlassen oder ein hohes E-Mail-Aufkommen haben, sodass betrügerische E-Mails schwieriger zu erkennen sind. Sie mögen zwar keine hohen Posten bekleiden, aber ihre datenintensiven Aufgaben im Finanz-, Personal- oder Verwaltungsbereich machen sie in Verbindung mit dieser Schwachstelle zu einem beliebten Ziel für Betrüger.

Typische Beispiele für Spear-Phishing-Angriffe

Betrug durch Tarnung als CEO

Würden Sie sich weigern, einer dringenden Bitte Ihres CEO nachzukommen? Wohl kaum, und genau darauf setzen Cyberkriminelle, wenn sie CEO-Betrug begehen, auch bekannt als BEC-Betrug (Business Email Compromise). Bei diesen Angriffen nutzen die Betrüger die Achtung vor der Hierarchie am Arbeitsplatz aus und geben sich als hochrangige Führungskräfte aus, um MitarbeiterInnen aus dem Finanz- oder Rechnungswesen zum Kauf von Geschenkkarten oder zu Überweisungen auf betrügerische Konten zu verleiten.

Schädliche Anhänge und Ransomware-Angriffe

Seien Sie bei E-Mails mit Anhängen oder Links besonders vorsichtig – wenn Sie darauf klicken, könnten Sie Malware oder Ransomware herunterladen. Überprüfen Sie die Sicherheit eines Links, indem Sie mit dem Mauszeiger über den Link streichen, damit Sie die vollständige URL sehen. Denken Sie daran, dass selbst bekannte KollegInnen ungewollt schädliche Links versenden können. Nehmen Sie die Quelle immer genau unter die Lupe und überprüfen Sie die Echtheit eines Links oder Anhangs, damit Sie Ihr Unternehmen nicht gefährden.

Phishing-Angriffe durch geklonte Nachrichten

Bei Phishing-Angriffen mit Klonelementen werden echte E-Mails von Betrügern kopiert und mit einer gefährlichen Variante versehen. Diese erscheinen als aktualisierte Versionen echter Nachrichten, allerdings wurden die ursprünglichen Links oder Anhänge durch schädliche Varianten ersetzt.

Angriffe durch Markenimitationen

Angreifer imitieren oft den Kommunikationsstil und die Aufmachung von vertrauenswürdigen Marken und Service-Providern. Diese gefälschten E-Mails enthalten jedoch eine gefährliche Masche: Die echten Links werden durch falsche Links ersetzt, die zu fingierten Anmeldeseiten führen. Damit versuchen die Betrüger, an die Anmeldeinformationen des Users zu gelangen.

Besonders häufig werden bei Spear-Phishing-Angriffen Marken wie Lieferdienste, Dienste für digitale Unterschriften, Videokonferenzsysteme, Bankinstitute und Videostreaming-Plattformen vorgetäuscht.

Erkennung einer Spear-Phishing-E-Mail

Mit der folgenden SPEAR-Methode können Sie einen Spear-Phishing-Versuch schnell entlarven:

Identifizieren Sie den Absender

Eine verbreitete Spear-Phishing-Taktik ist die Verwendung irreführender Domänennamen, die seriösen Unternehmen oder Organisationen sehr ähnlich sind. Allerdings gibt es kleine Unterschiede, die möglicherweise unbemerkt bleiben. So könnten beispielsweise Zeichen wie „l“ (klein geschriebenes L) und „1“ (die Zahl „Eins“) ausgetauscht werden, um Domänen wie „goog1e“ oder „paypa1“ zu erhalten.

Zwar erscheint dies auf den ersten Blick als kaum übersehbarer Trick, doch viele aufmerksame User fallen dennoch darauf herein. Dies gilt vor allem dann, wenn sie häufig echte E-Mails von diesen Unternehmen erhalten.

Prüfen Sie die Betreffzeile

Häufig wird in den Betreffzeilen von Spear-Phishing-E-Mails eine gewisse Dringlichkeit oder Gefahr suggeriert, indem Begriffe wie „Dringend“, „Sofortiges Maßnahmen erforderlich“ oder „Zahlung überfällig“ verwendet werden. Damit sollen die EmpfängerInnen zu einer übereilten Reaktion verleitet werden.

Sie können auch durch Formulierungen wie „Re:“, „Ausstehende Anfrage“ oder „Wichtige Rückfrage“ den Eindruck erwecken, dass bereits ein Gespräch stattgefunden hat oder eine Beziehung besteht. Diese subtilere Vorgehensweise ist Teil eines ausgedehnten Spear-Phishing-Betrugs, bei dem die Betrüger den Anschein einer echten Kommunikation erwecken. In Wirklichkeit verleiten sie ihre Zielpersonen jedoch nach und nach zu Schritten, die verheerende Folgen haben können, sodass möglicherweise ganze Unternehmen den Plänen der Betrüger zum Opfer fallen.

Erkennen Sie falsche Links oder Anhänge

Spear-Phishing-E-Mails enthalten häufig schädliche Anhänge in Form von .zip- und .exe-Dateien sowie PDF-, Excel- und Word-Dokumenten. Links können mindestens genauso gefährlich sein wie Anhänge. Seien Sie deshalb bei Formularen, in denen Sie zur Eingabe vertraulicher Daten aufgefordert werden, vorsichtig, denn sie sind möglicherweise nicht so sicher, wie sie erscheinen. Google Forms und andere seriöse Onlinedienste werden häufig zum Erhalt vertraulicher Informationen missbraucht, da sie die üblichen E-Mail-Sicherheitsfilter umgehen.

Bewerten Sie den Inhalt

Dass Sie eine E-Mail mit Ihren persönlichen Daten erhalten, ist keine Garantie dafür, dass die Quelle vertrauenswürdig ist. Was Ihnen zunächst als privates Hintergrundwissen über Sie erscheinen mag, ist häufig im Internet zu finden. Für Cyberkriminelle ist es kein Problem, Daten wie Adressen, Namen von Familienmitgliedern, Telefonnummern und sogar Namen von Haustieren aus öffentlichen Quellen oder Social-Media-Plattformen zu sammeln.

Rückfragen überführen Angreifer

Vertrauen Sie Ihrem Instinkt. Wenn Ihnen eine E-Mail verdächtig vorkommt, obwohl sie scheinbar echt ist, sollten Sie die Initiative ergreifen. Antworten Sie nicht einfach auf eine dubiose E-Mail, sondern senden Sie eine neue Nachricht an die zuvor gespeicherte E-Mail-Adresse Ihres Kontakts, um sich die Echtheit der E-Mail bestätigen zu lassen. Als zusätzliche Vorsichtsmaßnahme können Sie die AbsenderInnen über eine verifizierte Nummer direkt anrufen oder ihnen eine Textnachricht schicken. Auf diese Weise lassen sich alle zweifelhaften Anfragen überprüfen.

Das ist zu tun, wenn Sie auf einen Spear-Phishing-Link geklickt haben

Haben Sie versehentlich auf einen Phishing-Link geklickt? Fehler können vorkommen, aber Sie müssen richtig reagieren. So können Sie möglichen Schaden begrenzen:

• Bleiben Sie ruhig. Wenn Sie einen klaren Kopf bewahren, können Sie die Situation besser bewältigen.
• Geben Sie keine Daten ein. Machen Sie keine Angaben, wenn Sie dazu aufgefordert werden.
• Löschen Sie die E-Mail und trennen Sie die Verbindung. Löschen Sie die schädliche E-Mail und trennen Sie die Verbindung zum Internet, um weitere potenzielle Sicherheitsverletzungen oder die Verbreitung von Malware zu verhindern.
• Ändern Sie Ihre Kennwörter. Gehen Sie davon aus, dass Ihre Anmeldeinformationen entwendet wurden, und ändern Sie Ihre Kennwörter, vorzugsweise auf einem anderen Gerät.
• Warnen Sie die IT-Abteilung. Informieren Sie umgehend Ihre IT-Abteilung. Diese hat die nötigen Ressourcen, um den Angriff zu entschärfen, und kann auch die zuständigen Behörden benachrichtigen.
• Führen Sie eine Sicherheitsprüfung durch. Das Sicherheitsteam Ihres Unternehmens sollte eine umfassende Systemprüfung mit modernen Tools zum Schutz vor Malware durchführen, um alle Bedrohungen zu erkennen und abzuwehren.

Schutz vor Spear-Phishing

Keine Strategie der Welt kann eine vollständige Sicherheit vor Cyberbedrohungen gewährleisten. Durch die Integration moderner Security-Tools, die Annahme von Best Practices und die Förderung einer informierten und aufmerksamen Belegschaft können Sie jedoch die Risiken von Spear-Phishing verringern.

Nehmen Sie Multi-Faktor-Authentifizierung (MFA) an

Durch die Implementierung von Multi-Faktor-Authentifizierung (MFA) in Ihrer gesamten Umgebung können Sie die Schlagkraft von Spear-Phishing-Angriffen deutlich verringern. Wenn Ihre Anwendungen durch MFA geschützt werden, erhalten die User erst dann Zugriff, nachdem sie anhand von mindestens zwei Validierungsquellen eindeutig identifiziert wurden. So haben Spear-Phishing-Betrüger kein leichtes Spiel. Selbst wenn es gelingt, in einem Spear-Phishing-Angriff ein Kennwort zu erbeuten, ist es ohne die anderen Authentifizierungsschritte wertlos.

Implementieren Sie strenge Richtlinien für das Kennwortmanagement

Knapp 50 % aller Datensicherheitsverletzungen gehen auf gestohlene Anmeldeinformationen zurück. Unternehmen, die strenge Kennwortrichtlinien durchsetzen und ihre MitarbeiterInnen in Best Practices schulen, können das Risiko eines nicht autorisierten Zugriffs und die Gefahr von Sicherheitsverletzungen deutlich verringern.

Für eine starke Kennwortsicherheit haben sich die folgenden Best Practices bewährt:

• Verwenden Sie lange, komplexe Kennwörter mit einer Länge von mindestens 10 Zeichen.
• Verifizieren Sie User-Identitäten bei der Anmeldung durch MFA.
• Stellen Sie Sicherheitsfragen, die nur vom User richtig beantwortet werden können.
• Speichern Sie Kennwörter in einer sicheren Kennwortmanagementlösung.
• Verwenden Sie Kennwörter mit biometrischen Faktoren wie Fingerabdrücken oder Gesichts- bzw. Spracherkennung.
• Ändern Sie Ihre Kennwörter in kurzen Abständen.

Legen Sie regelmäßig Sicherungskopien an und installieren Sie Sicherheitspatches.

Die konsequente Erstellung von Sicherungskopien und die Anwendung von Sicherheitspatches sind für die Abwehr von Spear-Phishing-Angriffen unverzichtbar. Regelmäßige Backups sind Ihr Sicherheitsnetz, das die Wiederherstellung von Daten gewährleistet und mögliche Verluste im Falle einer Verletzung auf ein Minimum begrenzt.

Ein gewissenhaftes Patch-Management ist nicht minder wichtig. Diese Updates verbessern Ihren Softwareschutz, da sie Schwachstellen beheben, die Spear-Phishing-Angriffen als Einfallstor dienen könnten.

Installieren Sie moderne Software für E-Mail-Sicherheit

Da Spear-Phishing-Taktiken immer ausgefeilter und gängiger werden, müssen Sie unbedingt proaktive Anti-Phishing-Maßnahmen annehmen, um Ihr Unternehmen und Ihre Angestellten vor Datensicherheitsverletzungen, Identitätsdiebstahl und Unternehmensspionage zu schützen. Eine der wirksamsten Gegenmaßnahmen ist die Investition in eine zuverlässige E-Mail-Sicherheitslösung.

Innovative E-Mail-Sicherheitslösungen wie Cisco Secure Email Threat Defense sorgen für einen zuverlässigen Phishing-Schutz und analysieren mithilfe fortschrittlicher Algorithmen Tausende von Signalen in Bezug auf Identität, Verhalten und Sprache. Durch dieses System ist die wichtige Kommunikation Ihres Unternehmens geschützt. Es werden nicht nur typische, per E-Mail übermittelte Angriffsindikatoren erkannt, sondern zudem Bedrohungen unschädlich gemacht, bevor sie Schaden anrichten können.

Nutzen Sie Cisco Advanced Malware Protection (AMP)

Da keine Sicherheitslösung sämtliche Spear-Phishing-Angriffe abwehren kann, müssen Sie Ihre Verteidigungssysteme mehrschichtig aufbauen. Cisco Advanced Malware Protection wehrt nicht nur Softwareviren ab, sondern erkennt und entfernt auch Viren, die möglicherweise bei einem erfolgreichen Phishing-Angriff bereits installiert wurden, wie z. B. Ransomware, Würmer, Spyware, Adware oder Trojaner.

Durch den Einsatz von AMP können Unternehmen die Folgen potenzieller Sicherheitsverletzungen deutlich begrenzen und sicherstellen, dass die Auswirkungen eines Angriffs, selbst wenn dieser die anfängliche Verteidigungslinie durchdringt, eingedämmt und minimiert werden.

Priorisieren Sie Schulungen zur Schärfung des Sicherheitsbewusstseins

MitarbeiterInnen müssen kontinuierlich über Sicherheitsthemen unterrichtet werden, damit die Maßnahme sinnvoll ist. Die Aufklärung über Sicherheitsfragen darf keine einmalige Angelegenheit sein. Angesichts der Weiterentwicklung von Spear-Phishing-Angriffen und anderen gefährlichen Bedrohungen ist eine kontinuierliche Schulung der MitarbeiterInnen unumgänglich. Binden Sie die Aufklärung über Phishing sowohl in die Einarbeitung neuer MitarbeiterInnen als auch in regelmäßige, aktualisierte Schulungen für das bereits vorhandene Personal ein. Regelmäßige Schulungen sorgen dafür, dass die MitarbeiterInnen Spear-Phishing-Versuchen immer einen Schritt voraus sind und die vertraulichen Daten und Systeme Ihres Unternehmens sicher sind.