Was ist Spear-Phishing und wie kann man sich davor schützen?

Was ist Spear-Phishing?

Spear-Phishing ist eine Social-Engineering-Technik und gilt als besonders gefährlich, weil sie aufgrund ihres personalisierten Charakters selbst technisch versierte Personen treffen kann. Sie hat bereits verschiedene Unternehmen und Organisationen in den USA Millionen von Dollar gekostet.

Wie funktioniert ein Spear-Phishing-Angriff

Bei Phishing-Angriffen werden so viele Kontakte wie möglich angesprochen, wogegen Spear-Phishing ein gezielter Angriff auf ein bestimmtes Ziel oder auf die Extraktion bestimmter Daten ist. Beim Spear-Phishing geht es in der Regel um ein einziges oder einige wenige Ziele, es erfordert sorgfältige Nachforschungen des Angreifers über potenzielle Opfer. Der Täter hat meist eine spezifische Agenda, die sich auf die Opfer bezieht. Während gewöhnliches Phishing also eher auf Quantität setzt, setzt Spear-Phishing eher auf Qualität und ist zielgerichtet. Aus diesem Grund ist Spear-Phishing einer der effektivsten Angriffe.

Hauptziel für Spear-Phishing-Angriffe

Spear-Phishing zielt auf bestimmte Personen ab, so viel haben wir bereits gelernt. Aber das ist nur der erste Schritt des Angriffs. Denn das eigentliche Ziel der Angreifer ist es, die IT-Infrastruktur des Unternehmens zu infiltrieren. Eine Suche auf der Webseite des Unternehmens reicht aus, um entsprechende persönliche Daten sowie Kontaktdaten von Mitarbeitern im Unternehmen herauszufinden und den Angriff vorzubereiten.

Die Angreifer informieren sich in der Regel im Voraus über die Zielperson. Vorname, Nachname, Geburtsdatum, Wohnort, Straße, Hobbys sowie Informationen über Familienmitglieder, Freunde und Geschäftspartner lassen sich leicht im Internet recherchieren. Zu diesem Zweck gibt es unzählige öffentlich zugängliche Datenbanken. Meistens sorgen die Nutzer selbst dafür, dass ihre Profilinformationen für Dritte frei einsehbar sind. Das gilt vor allem für die sozialen Medien.

Der Angreifer erfährt auch Informationen wie die Vorlieben und Gewohnheiten der Zielperson, indem er zum Beispiel sieht, welche Online-Einkäufe sie zu welcher Zeit auf eBay oder Amazon getätigt hat. Selbst das Verfolgen von Bewegungsmustern ist für Cyberkriminelle keine große Herausforderung mehr. Mit GPS helfen viele Nutzer sogenannter Tracking-Dienste einem Angreifer sogar dabei, genau herauszufinden, wo sich der Nutzer befindet und wann und wie lange er sich aufhält.

Beispiele für Spear-Phishing-Angriffe

Im Folgenden zeigen wir dir, wie Spear-Phishing-Angriffe aussehen können.

• Cyberkriminelle könnten es auf den Geschäftsführer eines Unternehmens abgesehen haben, um Daten zu stehlen und Überweisungsbetrug zu begehen, oder auf eine Person, die für die Sicherheit des Unternehmens verantwortlich ist, um an wichtige Logins zu gelangen. Angriffe auf solche hochrangigen Personen werden auch als Whaling bezeichnet;
• Cyberkriminelle recherchieren online sorgfältig über das Unternehmen, um herauszufinden, welche Personen sie ins Visier nehmen können. LinkedIn ist in solchen Fällen besonders nützlich;
• Cyberkriminelle personalisieren ihre Nachrichten, anstatt generische Nachrichten zu verschicken;
• Sie imitieren den Tonfall und die Kommunikationsethik und -gewohnheiten des Unternehmens, um realer zu wirken. Sie können im Vorfeld eine Reihe falscher Anfragen stellen, um das Kommunikationsverhalten des Unternehmens herauszufinden. Zum Beispiel können sie am Zahltag des Unternehmens Geld anfordern, wenn sie wissen, wann solche Anfragen gestellt werden;
• Sie schauen sich die E-Mails an, die das Unternehmen verwendet, und erstellen ähnlich aussehende E-Mails über Apps, die temporäre E-Mail-Dienste anbieten.

Wie kann man Spear-Phishing vermeiden?

Im Folgenden zeigen wir dirm, wie du als einzelne Person Spear-Phishing vermeiden kann und wie Unternehmen mit dieser Art von Angriffen umgehen kann.

Für einzelne Nutzer

• Öffne keine Anhänge oder Links und gib keine Informationen an Personen oder Organisationen weiter, die du nicht kennst oder die dir verdächtig vorkommen. Recherchiere gegebenenfalls, wenn dir etwas verdächtig vorkommt.
• Wenn du eine verdächtige Nachricht von einer Person erhältst, die du kennst oder die dir vertrauenswürdig erscheint, frage immer über die offiziellen Kanäle bei der Person oder Organisation direkt nach, ob sie die Nachricht geteilt haben.
• Gib die E-Mail-Adressen deines Unternehmens nicht öffentlich bekannt. Verwende stattdessen ein Online-Kontaktformular, um mit deinen Kunden zu kommunizieren.
• Informiere dich über die verschiedenen Spear-Phishing-Methoden und kläre deine Mitarbeiter auf.
• Verwende die aktuellste Sicherheitssoftware. Wir empfehlen, den Bedrohungsschutz von NordVPN zu nutzen. Er hilft dir, mit Schadsoftware verseuchte Dateien zu erkennen, verhindert, dass du auf bösartigen Webseiten landest, und blockiert Tracker und aufdringliche Werbung auf der Stelle.
• Überprüfe immer die E-Mail-Adresse des Absenders, um zu sehen, ob alles zusammenpasst. Wenn du auch nur den kleinsten Unterschied zu einer seriösen Adresse feststellst (z.B. Tippfehler), ist das ein eindeutiges Warnsignal.
• Beschränke die Menge an Informationen, die du in den sozialen Medien veröffentlichst. Teile keine internen Daten, die die Aktivitäten deines Unternehmens, deine Kommunikationsgewohnheiten oder die Daten deines Teams offenlegen. Gib nur die wichtigsten und nötigen Informationen weiter.
• Verwende eine Zwei-Faktor-Authentifizierung und sichere Passwörter.

Für Unternehmen

• Firmen sollten regelmäßige Mitarbeiterschulungen anbieten, um ihre Teams für Spear-Phishing-Angriffe zu sensibilisieren. Wichtig ist, dass alle Mitarbeiter die genannten Punkte im vorangegangenen Abschnitt kennen und sich daran halten.
• Mitarbeiter sollten die Möglichkeit haben, ihre beruflichen Konten mit einer Zwei- oder Multi-Faktor-Authentifizierung schützen zu können. Selbst wenn sich ein Hacker Zugang zu deinen Anmeldedaten verschafft, kann er sich keinen Zugang zu dem Konto verschaffen, wenn noch eine andere Form der Authentifizierung aktiviert wird.
• Um die Folgen dieser Angriffe zu begrenzen, ist es außerdem wichtig, für die Passwort-Sicherheit zu sorgen. Ein Passwortmanager erstellt starke, komplexe Passwörter, die am besten jeweils nur für ein Konto gleichzeitig verwendet werden.
• Spam-Filter einrichten. Einige E-Mail-Anwendungen bieten eine solche Funktion, wenn nicht, sollte sie für die Mitarbeiter eingerichtet werden. Spam-Filter filtern verdächtige E-Mails heraus, um das Risiko von Spear-Phishing-Angriffen zu verringern.
• Mitarbeiter sollten regelmäßig daran erinnert werden, mindestens einmal pro Woche alle Anwendungen zu beenden und ihre Computer herunterzufahren. Dadurch wird sichergestellt, dass ihre Computer und andere Geräte auf die neuesten Firmware-Versionen aktualisiert werden, die in der Regel Sicherheits-Patches enthalten, die neu entdeckte Sicherheitslücken schließen. Wenn das Unternehmen über Server vor Ort verfügt, muss das IT-Team die Software der Infrastruktur regelmäßig aktualisieren, um Daten und andere Güter zu schützen.
• Ein VPN ist auch für Firmen unerlässlich, vor allem, wenn Mitarbeiter auch von zu Hause aus arbeiten. VPNs können einen sicheren Zugang zum Unternehmensnetzwerk gewährleisten und bieten häufig auch andere Sicherheitsfunktionen, die Spear-Phishing-Versuche verhindern können.