Beginnen Sie mit dem Bau

Was ist „Spear Phishing“?

Während einige Phishing-Scams an Millionen von Menschen geschickt werden, in der Hoffnung, dass jemand anbeißt, konzentriert sich ein Spear-Phishing-Angriff auf ein einzelnes Ziel und kann sehr überzeugend sein.

Was ist „Spear Phishing“?

Phishing ist ein weit gefasster Begriff für Angriffe, die darauf abzielen, ein Opfer zur Weitergabe sensibler Informationen zu verleiten. Spear-Phishing ist ein Phishing-Angriff, der auf ein bestimmtes Ziel abzielt, also auf eine Person, eine Organisation oder ein Unternehmen.

Spear-Phishing-Angriffe sind besonders effektiv, weil der Angreifer mit Informationen über das Opfer (häufig öffentlich zugängliche Informationen aus dem Internet) eine überzeugende Betrugstaktik entwickelt.

Unterschied zwischen Spear-Phishing und „Bulk“-Phishing (Massen-Phishing)

Die Mehrheit der Phishing-Angriffe ist nicht direkt gezielt. Normalerweise werden Phishing-Nachrichten in großen Mengen an so viele Menschen wie möglich verschickt, und die Angreifer hoffen, dass ein kleiner Prozentsatz auf den Trick hereinfällt. Dies ist die günstigste und schnellste Methode, um Phishing-Angriffe auszuführen. Angreifer können einen gewissen Grad an Automatisierung und Personalisierung vornehmen, insbesondere mithilfe von KI, aber eine zusätzliche Anpassung für eine einzelne Person oder Organisation ist nicht Teil einer typischen Bulk-Phishing-Kampagne.

Die Recherche und Personalisierung, die in das Spear-Phishing einfließen, erfordern mehr Aufwand (und oft mehr Geld) als ein gewöhnlicher Phishing-Angriff. Aus diesem Grund sind Spear-Phishing-Angriffe vergleichsweise seltener. Die Erfolgsquote ist jedoch sehr hoch. Und wenn sie erfolgreich sind, verursachen sie bei ihren Zielen viel mehr Schaden.

Welche Social-Engineering-Taktiken werden beim Spear-Phishing verwendet?

Spear-Phisher verwenden Taktiken, die vielen Arten von Social-Engineering-Angriffen gemeinsam sind, um ihre Opfer zu manipulieren. Diese umfassen:

  • Einführung eines Zeitlimits, damit das Opfer das Gefühl hat, schnell handeln zu müssen, ohne sich die Zeit zu nehmen, die Anfrage gründlich zu überdenken
  • Verwendung emotionaler Appelle, wie z. B. das Einfügen von Informationen über negative Konsequenzen, falls der Empfänger der gefälschten Aufforderung nicht nachkommt
  • Eine überzeugende Geschichte erstellen, auch bekannt als „Pretexting“
  • Integration direkt relevanter Details: die namentliche Ansprache des Empfängers, das Senden der E-Mail von jemandem am Arbeitsplatz des Empfängers, einschließlich echter Details über das Leben des Empfängers und so weiter

Welche anderen Taktiken verwenden Spear-Phishing-Angriffe?

Über die Personalisierung hinaus gibt es mehrere Schritte, die Angreifer häufig unternehmen, um ihre Spear-Phishing-Angriffe effektiver zu machen.

  • Domain- und E-Mail-Spoofing: Angreifer können E-Mail-Adressen und Website-URLs imitieren, um ihre Betrügereien überzeugender zu gestalten.
  • Kontoübernahme: Anstatt die E-Mail-Adresse des Absenders zu fälschen, kann ein Angreifer zunächst Zugriff auf das E-Mail-Konto einer vertrauenswürdigen Partei erlangen und die Spear-Phishing-E-Mail von dort aus versenden.
  • Generative KI: Angreifer können große Sprachmodelle (LLMs) verwenden, um ihre Nachrichten zu erstellen oder Korrektur zu lesen oder um ihre Ziele zu recherchieren.

Wie sehen Spear-Phishing-Angriffe aus?

Eine gängige Spear-Phishing-Taktik besteht darin, dass sich der Angreifer als eine Autoritätsperson ausgibt. Menschen reagieren mit größerer Wahrscheinlichkeit auf eine Autoritätsperson.

Hier ist ein Beispiel:

Joe ist der Assistent einer Geschäftsführerin namens Mary. Eines Tages, als Mary gerade im Ausland im Urlaub ist, erhält Joe eine dringende E-Mail von ihr. In der E-Mail steht, dass ihr Gepäck und ihr Handy gestohlen worden sind. Sie sagt, sie habe weder Geld noch einen Reisepass und bittet ihn, ihr so schnell wie möglich ihre PayPal-Anmeldedaten zu schicken, damit sie ein Hotel und einen Flug nach Hause buchen kann. Joe sieht vielleicht diese aufwühlende Nachricht seiner Arbeitgeberin und schickt ihr sofort die gewünschten Informationen.

Diese Art von „Ich bin in Schwierigkeiten und brauche Geld“-Anfrage von einem Vorgesetzten ist ein gängiges Spear-Phishing-Skript. Der Angreifer könnte Marys E-Mail fälschen und die E-Mail an Dutzende verschiedener Kombinationen von Joes Namen und Initialen senden, in der Hoffnung, die richtige zu finden. Von den Urlaubsplänen erfährt der Angreifer beispielsweise auf Twitter. Kombiniert der Angreifer all diese Werkzeuge, entsteht ein sehr überzeugender Betrug.

Ein bemerkenswertes reales Beispiel ereignete sich 2016, als sich ein Angreifer als CEO von Snapchat ausgab und einen Angestellten dazu bringen konnte, vertrauliche Gehaltsinformationen weiterzugeben.

Spear-Phishing-Angriffe können auch Informationen aus Datenschutzverletzungen ausnutzen. Ein weiteres Beispiel:

Steve kauft einen Computer bei einem großen Online-Händler, aber einige Wochen später erleidet der Händler eine Datenschutzverletzung. Obwohl sensible Daten wie Kreditkartennummern und Passwörter mit einem Hash-Verfahren geschützt wurden, sind die E-Mail-Adressen und die Bestellhistorie der Kunden geleakt worden.

Einige Tage später bekommt Steve eine E-Mail vom Hersteller seines neuen Computers. Darin wird ihm mitgeteilt, dass sein Modell zurückgerufen wird. Er erhält einen Link, über den er eine Rückerstattung erhalten kann. Der Link führt Steve zu einer gefälschten Version der Herstellerwebsite und enthält ein Formular, in das Steve seine Kreditkartennummer für die Rückerstattung eingeben soll. Mit einigen recht harmlosen Daten konnte der Angreifer Steves Vertrauen gewinnen und ihn dazu bringen, seine Finanzdaten herauszugeben.

Was ist der Unterschied zwischen Spear-Phishing und Whaling?

Whaling ist ein Spear-Phishing-Angriff, der auf ein sehr prominentes Opfer abzielt, in der Regel auf einen leitenden Angestellten eines Unternehmens oder eine prominente Person. Whaling-Angriffe sind in der Regel ausgeklügelter, und in vielen Fällen führen die Angreifer zunächst Spear-Phishing-Angriffe auf kleinere Ziele, wie z. B. Mitarbeitende des „Wals“, durch, um Zugang zu ihrem eigentlichen Opfer zu erhalten.

Zum Beispiel:

Während ihres Urlaubs erhält Mary, die Geschäftsführerin, eine E-Mail oder einen Anruf von einem ihr bekannten Mitarbeiter ihres IT-Teams; ein Cyberangriff sei im Gange und das Team brauche Zugang zu ihrem Arbeitscomputer und ihren Konten, um die Unternehmensdaten schützen zu können. Ein Angreifer könnte durchaus Marys IT-Team kompromittiert haben, um Marys Vertrauen zu gewinnen, in der Hoffnung, dass sie ihre Zugangsdaten herausgibt.

Wie man sich vor Spear-Phishing und Whaling schützt

Da es sich beim Spear-Phishing um Social Engineering handelt, gibt es keine unfehlbare Methode, um sich gegen diese Art von Angriffen zu schützen. Sie können jedoch eine Reihe von Vorsichtsmaßnahmen ergreifen, um Spear-Phishing-Versuche zu verhindern und zu bekämpfen. Dazu gehören:

  • Geben Sie niemals finanzielle Informationen, Passwörter oder andere sensible Daten per Telefon, Chat oder E-Mail weiter.
  • Klicken Sie nicht auf Links in E-Mails, selbst wenn sie von einer vertrauenswürdigen Quelle zu stammen scheinen. Kopieren Sie die URL und fügen Sie sie ein oder tippen Sie sie von Hand ein, um sich vor Cross-Site-Scripting-Angriffen zu schützen.
  • Aktivieren Sie die Zwei-Faktor-Authentisierung für alle wichtigen Konten, sodass gestohlene Anmeldedaten allein nicht ausreichen.
  • Aktivieren Sie Zero Trust Sicherheitsrichtlinien, um sicherzustellen, dass ein Eindringling keinen offenen Zugriff auf ein Netzwerk erhält.