Spear-Phishing ist ein gezielter E-Mail-Angriff, der vorgibt, von einem vertrauenswürdigen Absender zu stammen. Erfahren Sie, wie Sie diese Art von Phishing-Angriff erkennen - und abwehren - können. [...]
Spear-Phishing-Definition
Bei Spear-Phishing-Angriffen verwenden die Angreifer häufig Informationen, die sie durch gezielte Recherche gewonnen haben, um den Empfänger zu verunsichern. Das eigentliche Ziel besteht darin, entweder Geräte mit Malware zu infizieren, indem der Empfänger dazu gebracht wird, auf einen Link zu klicken beziehungsweise einen Anhang herunterzuladen, oder den Empfänger zu einer anderen Handlung zu verleiten, die dem Angreifer zugute kommt, in der Regel die Herausgabe von Informationen oder Geld.
Spear-Phishing-Nachrichten werden oft sorgfältig mit bösartigen Social-Engineering-Techniken erstellt und lassen sich mit rein technischen Mitteln nur schwer abwehren.
„Wichtig beim Spear-Phishing ist, dass die Person, die angegriffen wird, oft nicht das eigentliche Ziel ist“, erklärt J.R. Cunningham, CSO bei Nuspire, einem MSSP aus Michigan. „Vielmehr ist die Unternehmensumgebung höchstwahrscheinlich das eigentliche Ziel des Angreifers.“
Phishing vs. Spear-Phishing vs. Whaling
Phishing, Spear-Phishing und Whaling sind allesamt Arten von E-Mail-Angriffen, wobei Phishing eine breitere Kategorie von Cyberangriffen ist, die so gut wie jede Nutzung von E-Mails oder anderen elektronischen Nachrichten umfasst, um Menschen zu täuschen, und Spear-Phishing und Whaling nur zwei von einer Handvoll verschiedener Arten von Phishing-Angriffen sind.
Die meisten Phishing-Angriffe erfolgen in Form von allgemeinen Nachrichten, die automatisch an Tausende von Empfängern gesendet werden. Sie sind so geschrieben, dass sie irgendwie verlockend wirken – der Anhang könnte einen Namen wie „Gehaltsbericht“ haben oder der Link könnte eine gefälschte Lotteriegewinnseite sein -, aber es wird kein Versuch unternommen, den Inhalt der Nachricht einer bestimmten Person zuzuordnen, die sie erhalten könnte. Der Name leitet sich von „fishing“ (Angeln) ab (wobei das „ph“ Teil der Tradition der skurrilen Hacker-Schreibweise ist), und die Analogie ist die eines Anglers, der einen Köder auswirft (die Phishing-E-Mail) und hofft, dass ein Opfer vorbeischwimmt und anbeißt.
Beim Spear-Phishing wird, wie der Name schon sagt, versucht, einen bestimmten Fisch zu fangen. Eine Spear-Phishing-E-Mail enthält spezifische Informationen über den Empfänger, um ihn davon zu überzeugen, die vom Angreifer gewünschte Aktion durchzuführen. Dies beginnt mit dem Namen des Empfängers und kann Informationen über seinen Beruf oder sein Privatleben enthalten, die die Angreifer aus verschiedenen Quellen abrufen können.
Ein weiterer Begriff, den man in diesem Zusammenhang hören kann, ist „Whaling“, eine spezielle Art des Spear-Phishings, bei der es vor allem auf die ganz großen Fische ankommt. „Whaling ist eine Art von Spear-Phishing, die sich auf Persönlichkeiten des öffentlichen Lebens, Top-Manager oder andere große Ziele konzentriert, daher auch der wenig schmeichelhafte Name“, sagt Jacob Ansari, Security Advocate und Emerging Cyber Trends Analyst bei Schellman. „Jedes Spear Phishing ist zielgerichtet, aber manchmal auf weniger prominente Ziele mit einer wichtigen Funktion ausgerichtet: jemand in der IT- oder Finanzabteilung, der eine wichtige Funktion innehat, indem er z. B. Benutzerzugriff gewährt oder die Freigabe von Rechnungen erteilt.“
Wie Spear-Phishing-Angriffe funktionieren
Wie die Angreifer an die persönlichen Daten gelangen, die sie für die Erstellung einer Spear-Phishing-E-Mail benötigen, ist eine entscheidende Spear-Phishing-Technik, da der gesamte Angriffsprozess davon abhängt, dass die Nachrichten für den Empfänger glaubwürdig sind.
Es gibt mehrere Möglichkeiten, wie ein Angreifer dies bewerkstelligen kann. Eine davon besteht darin, ein E-Mail- oder Nachrichtensystem auf andere Weise zu kompromittieren – zum Beispiel durch gewöhnliches Phishing oder durch eine Schwachstelle in der E-Mail-Infrastruktur. Aber das ist nur der erste Schritt in diesem Prozess. „Die E-Mail einer Person innerhalb des Zielunternehmens wird kompromittiert, und der Angreifer sitzt eine Weile im Netzwerk, um interessante Konversationen zu überwachen und zu verfolgen“, erklärt Ori Arbel, CTO von CYREBRO, einem in Tel Aviv ansässigen Anbieter von Sicherheitsplattformen. „Wenn der richtige Zeitpunkt gekommen ist, schicken sie der Zielperson eine E-Mail mit Insider-Informationen in einem glaubwürdigen Kontext, indem sie z. B. vergangene Gespräche erwähnen oder sich auf bestimmte Beträge für eine frühere Geldüberweisung beziehen.“
Wenn sie sich nicht in das Kommunikationssystem einhacken können, könnte ein Angreifer auch auf Open Source Intelligence (OSINT) zurückgreifen und soziale Medien oder die Unternehmenskommunikation durchforsten, um sich ein Bild von seinem Ziel zu machen. Jorge Rey, Leiter der Abteilung für Cybersicherheit und Compliance bei Kaufman Rossin, einem in New York ansässigen Beratungsunternehmen, erläutert einen häufigen Angriffsvektor, den er beobachtet hat.
„Wenn Leute eine Änderung auf LinkedIn vornehmen und angeben, dass sie Kaufman Rossin beigetreten sind, erhalten sie innerhalb weniger Stunden oder sogar Minuten eine E-Mail von unserem CEO – nicht von seiner Kaufman-Rossin-E-Mail, sondern von gmail.com -, in der sie aufgefordert werden, Geschenkkarten und Ähnliches zu kaufen. Natürlich kommt diese E-Mail gar nicht vom CEO, sondern von einem Angreifer, der hofft, einen neuen Mitarbeiter zu überrumpeln.
„All diese Bots überwachen LinkedIn, überwachen alles über Skripte und senden Informationen in der Hoffnung, dass jemand darauf hereinfällt“, erklärt er.
Wenn Angreifer persönliche Informationen aus Ihrer Online-Präsenz gewinnen können, werden sie auch versuchen, diese zu ihrem Vorteil zu nutzen. Cunningham von Nuspire nennt das Beispiel eines sicherheitsbewussten Kunden, der dennoch fast auf Spear Phishing hereingefallen wäre.
„Er erhielt eine E-Mail, die angeblich von seiner Versicherungsgesellschaft stammte und in der ihm mitgeteilt wurde, dass sein Kfz-Versicherungsanspruch aktualisiert wurde, und klickte auf den Link.
„Wie sich herausstellte, hatte diese Person vor kurzem einen Autounfall gehabt und Bilder des Wracks in den sozialen Medien veröffentlicht, zusammen mit einem Kommentar, dass ihr Versicherungsanbieter (den sie namentlich nannten) sehr schnell auf den Schadensfall reagiert hatte. Dadurch erhielt der Angreifer Informationen über den Versicherungsanbieter des Opfers, die er für die Erstellung des Spear-Phish nutzte.“
Die Anzeichen von Spear-Phishing
Betrüger haben es auf neue Mitarbeiter abgesehen, da diese sich erst noch in einer neuen Unternehmensumgebung zurechtfinden müssen. Das wahrscheinlich wichtigste Anzeichen für eine Spear-Phishing-E-Mail (vorausgesetzt, der Angreifer hat alle Ihre persönlichen Daten korrekt eingegeben) ist, dass Sie darin aufgefordert werden, etwas Ungewöhnliches oder außerhalb der Unternehmenskanäle zu tun. Schließlich ist das die einzige Möglichkeit, Sie von Ihrem Geld (oder dem Ihres Unternehmens) zu trennen. Neuen Mitarbeitern fällt es vielleicht schwer, ungewöhnliche Anfragen zu erkennen, aber soweit es Ihnen möglich ist, sollten Sie auf Ihr Bauchgefühl hören.
„In einem Unternehmen, für das ich gearbeitet habe, wurde eine E-Mail von einem unbekannten Absender, der sich als CEO ausgab, an mehrere Mitarbeiter geschickt“, sagt Wojciech Syrkiewicz-Trepiak, Sicherheitsingenieur bei spacelift.io, einem Anbieter von Infrastructure-as-Code-Managementplattformen mit Sitz in Redwood City, Kalifornien. „Sie haben alle Sicherheitsmechanismen durchlaufen, da sie eine echte E-Mail-Adresse verwendet haben. Die Domäne der E-Mail-Adresse war jedoch Gmail (nicht die Unternehmensdomäne), und sie baten uns um dringende Aufgaben, d. h. sie umgingen alle Unternehmensrichtlinien und setzten den Empfänger unter Druck, einen Fehler zu machen.“
Die Dringlichkeit ist hier ein weiteres Warnsignal. Ja, in einem beruflichen Umfeld erhalten wir oft legitime Aufforderungen, schnell zu handeln; aber wenn jemand versucht, Sie zur Eile zu drängen, ist das ein Zeichen dafür, dass er Ihnen keine Gelegenheit zum Nachdenken geben will. „Meine persönliche Erfahrung ist die Spear-Phishing-Kampagne zum Betrug mit Geschenkkarten“, sagt Massimo Marini, Senior Analyst für Sicherheit und Compliance bei der in Virginia ansässigen Beratungsfirma Kuma LLC. „Bei diesem Betrug wird die Zielperson aufgefordert, unter der angeblichen Anweisung ihres Vorgesetzten Geschenkkarten zu kaufen. Die Zielperson kauft die Geschenkkarten und gibt dann per E-Mail den Code an den Angreifer weiter. Ich habe dies bei einer Assistentin der Geschäftsführung erlebt, die sich von ihrem ‚Chef‘ gedrängt fühlte, schnell die Karten für ein geheimes Geschenk zu kaufen. Diese Aktion wurde in letzter Minute gestoppt, als sie zufällig mit ihrem eigentlichen Chef sprach, der natürlich nichts davon wusste.“
Spear-Phishing-Beispiele
Wenn Sie wissen möchten, wie Spear-Phishing-E-Mails aussehen könnten, haben wir ein paar Beispiele aus der Praxis für Sie. Das erste stammt von William Mendez, Managing Director of Operations beim New Yorker Beratungsunternehmen CyZen. „Dies ist eine E-Mail, die auf eine Buchhaltungsfirma abzielt“, sagt er. „Die Angreifer verweisen auf eine Technologie namens ‚CCH‘, die von solchen Firmen häufig verwendet wird.“
„Diese E-Mail ist auf die Steuersaison abgestimmt (normalerweise die geschäftigste Zeit des Jahres für Buchhaltungsfirmen), was impliziert, dass die Benutzer beschäftigt sind und den erhaltenen E-Mails keine besondere Aufmerksamkeit schenken werden“, erklärt er. „Die E-Mail nutzt auch Angst, indem sie angibt, dass der Zugang des Opfers gekündigt wird, wenn es nicht irgendeine Maßnahme ergreift. In diesem Fall besteht die Aktion darin, auf einen Link zu klicken, der den Benutzer höchstwahrscheinlich auf eine Website führt, auf der der Angreifer Benutzernamen und Kennwörter oder andere sensible Informationen sammeln kann.“
Tyler Moffitt, ein leitender Sicherheitsanalyst bei der in Ontario ansässigen Beratungsfirma OpenText Security Solutions, stellt ein weiteres Beispiel vor, das wie eine Twitter-Sicherheitswarnung aussieht.
Diese Nachricht versucht den klassischen Trick, Sie glauben zu lassen, dass Sie Ihr Konto sichern, und Sie mit einem Trick dazu zu bringen, Ihr Passwort preiszugeben. „Die Person hier, wurde gezielt angegriffen, wahrscheinlich wegen ihrer Berichterstattung über die Ereignisse in der Ukraine und in Russland“, erklärt Moffitt. (Die Nachricht informiert den Nutzer darüber, dass auf sein Konto in Russland zugegriffen wurde und er sein Passwort über den Link zurücksetzen soll. Dieser Link führt zu einem gefälschten Passwort-Reset, bei dem lediglich die aktuellen Anmeldedaten abgefragt werden, um dann das Konto zu stehlen.“
Wenn Sie eine solche Nachricht erhalten, sollten Sie sehr vorsichtig sein und sicherstellen, dass es sich bei der Webseite, auf der Sie landen, um die echte Domain handelt, zu der Sie zu gehen glauben. In diesem Fall wird versucht, das Opfer zu „twitter-supported.com“ zu schicken, was keine echte Domain ist, die Twitter verwendet.
Wie man Spear-Phishing verhindern kann
Es wäre schön, wenn es technische Maßnahmen gäbe, mit denen Sie Spear-Phishing-Angriffe vollständig verhindern könnten. Es gibt aber einige, die helfen können. „Wenn es um Cybersicherheit geht, gilt für Ihre Online-Aktivitäten das gleiche Prinzip wie für den Schutz Ihrer Brieftasche“, sagt Nick Santora, Gründer des in Atlanta, Georgia, ansässigen Anbieters von Sicherheitsschulungen Curricula. „Deshalb müssen wir jedem erklären, warum es wichtig ist, Dinge zu tun wie die Zwei-Faktor- oder Multi-Faktor-Authentifizierung (2FA/MFA) zu aktivieren, starke Passwörter zu verwenden, die für jedes Konto einzigartig sind, und einen Passwort-Manager zu benutzen, um Online-Anmeldedaten zu schützen.“
Rey von Kaufman Rossin ist ebenfalls der Meinung, dass technische Lösungen wichtig sind. Er rät Ihnen, zusätzlich zu den Lösungen Ihres E-Mail-Anbieters eine Lösung eines Drittanbieters zu verwenden, um Spam und schädliche Anhänge herauszufiltern. Die beste Verteidigung gegen Social-Engineering-Angriffe wie Spear-Phishing ist jedoch menschliche Intelligenz, und das erfordert Schulungen, die die Benutzer auf Trab halten.
„Eine Phishing-Simulation macht einen großen Unterschied“, sagt er. „Es ist eine Sache, Ihnen mit einer PowerPoint-Präsentation eine Phishing-E-Mail zu zeigen. Es ist eine andere Sache, etwas per Post zu bekommen, darauf zu klicken und dann zur Schulung geschickt zu werden. Wir haben festgestellt, dass die Menschen dadurch besser in der Lage sind, Angriffe zu erkennen, denn sie hassen das Gefühl, auf einen Link zu klicken und eine Nachricht zu erhalten, in der es heißt: „Sie wurden Opfer eines Phishings“. Das ist viel wirkungsvoller als ein jährliches Compliance-Training. Wir hoffen, dass dieser Artikel deutlich gemacht hat, dass es besser ist, sich im Rahmen einer unangekündigten Simulation zu blamieren, als Opfer eines echten Angriffs zu werden.
Letztendlich ist der beste Weg, Spear-Phishing zu verhindern, einfach nur, dass Sie wachsam bleiben. „Phishing-Betrügereien kommen oft von vertrauenswürdigen Kontakten, deren E-Mail-Konten kompromittiert oder geklont wurden“, sagt der Cybersicherheitsanalyst Eric Florence. „Unser Wunsch, den Menschen zu vertrauen und zu glauben, dass die meisten Menschen anständig sind, wird bei jedem Phishing-Angriff ausgenutzt, und dieser Wunsch muss ausgesetzt werden, zumindest während der Geschäftszeiten.
*Josh Fruhlinger ist Autor und Redakteur und lebt in Los Angeles.
Be the first to comment