Unkategorisiert

Was sind Spear Phishing Angriffe und wie lassen sie sich verhindern?

Veröffentlicht am

Phishing sollte Ihnen bereits ein Begriff sein. Dabei handelt es sich um das Fischen nach sensiblen Informationen. Also unter anderem Passwörter, Nutzernamen, E-Mail-Adressen, Konto- oder Kreditkartendaten. Einfach alles, was irgendwie zu bekommen ist und einen potenziellen Wert für den Angreifenden besitzt.

Meist geschieht dies mittels Fake-Mails, die falsche Links enthalten, zu Websites, die dann ebenfalls nur nachgebaut und somit gefälscht sind, genau wie der Inhalt der jeweiligen E-Mails. Dort wird dann um ein Login zur Bestätigung gebeten oder aber Sie sollen Ihre Bankinformationen eingeben, um diese zu verifizieren. Neuerdings wird Phishing aber immer raffinierter und sogar Deepfake basierte Videoanrufe gab es schon, die falsche Identitäten vortäuschten.

Doch was genau ist eigentlich Spear Phishing? Die Unterkategorie vom Phishing stellt eine besonders dreiste, harte und direkte Methode des Phishings dar. Worum es sich dabei genau handelt, wie solche Spear Phishing Angriffe ablaufen und was Sie unternehmen können, um sich davor zu schützen, klärt unser heutiger Beitrag dazu. Es wird spannend.

Was ist Spear Phishing?

Ein Spear-Phishing-Angriff ist alles, nur keine gewöhnliche Phishing-Attacke. Bei einer Phishing-Attacke werden tausende, nein oft sogar hunderttausende Menschen per Zufall angelockt, um an ihre persönlichen Daten zu gelangen. Entsprechende E-Mails oder Websites sind daher besonders weitläufig und offen formuliert, damit sich im Grunde genommen jeder sofort angesprochen fühlt und darauf hereinfallen kann.

Beim sogenannten Spear Phishing ist das vollkommen anders. Hier werden gezielt bestimmte Nutzer oder Nutzergruppen angegriffen. Das kann einzelne Personen betreffen, ebenso aber ganze Abteilungen in den jeweiligen Unternehmen. Es geht also um eine zielgerichtete Attacke, die gegen eine bestimmte Anzahl an Menschen gerichtet ist. Damit ist das Spear Phishing deutlich individueller und personalisierter als eine gewöhnliche Phishing-Attacke.

Beispielsweise indem die E-Mails allesamt personalisiert verschickt werden, weil die jeweiligen Namen bereits vorab bekannt sind. Oder weil in bestimmte Rollen geschlüpft wird, sodass etwa die Buchhaltung nach einer Bestätigung für eine Überweisung fragt. Manchmal geht es auch ganz einfach um Informationen, die in den Bereich Industrie- und Wirtschaftsspionage fallen. Vieles ist hier denkbar, denn wer sich die Mühe für einen Spear-Phishing-Angriff macht, hat meist größere Ziele.

Personalisiertes Phishing

Das personalisierte Phishing, wie es in Form von Spear Phishing stattfindet, nimmt dabei häufig sogar extrem umfangreiche Züge an. Besonders wenn einzelne Personen in den Fokus geraten, ist es schwer bis unmöglich, die Phishing-Attacke überhaupt als eine solche wahrzunehmen. Zu raffiniert ist das Spear Phishing oft. Daher hat es auch bei Personen Erfolg, die normalerweise jede Spam-Mail sofort erkennen und grundsätzlich alle wichtigen Sicherheitsvorkehrungen treffen.

Spear Phishing nimmt teilweise sogar absurde Züge an. Durch die sozialen Medien kommt es immer wieder vor, dass hier ganz bewusst bestimmte Mitarbeiter verfolgt oder sogar über das Nachrichtensystem der jeweiligen Plattform angeschrieben werden. Das potenzielle Opfer ist also nicht nur bekannt, sondern es werden auch fleißig weitere Informationen gesammelt. Je persönlicher diese sind, desto hilfreicher werden sie später für das Spear Phishing.

Auch sind häufig bekannte oder zumindest logische E-Mail-Adressen und Accounts im Einsatz. Somit werden dem Opfer der Phishing-Attacke in vielen Fällen vertraute Identitäten vorgetäuscht, weshalb dieses reagiert und vorab gar keine Täuschung vermutet. Das geht dann tatsächlich so weit, dass Accounts von Familienangehörigen genutzt werden. Oder aber es ist eine freundschaftliche Ebene zwischen Opfer und Angreifer entstanden, bei der es jedoch von Anfang an einseitig nur um Informationen ging. Gerade durch das schnelle Kennenlernen via Facebook, Instagram und anderen Netzwerken, ist Spear Phishing einfacher als je zuvor geworden.

Typische Spear Phishing Angriffe

Ein typischer Phishing-Angriff verschickt massenweise Mails, die zum Klick verleiten sollen. Doch da diese nicht individualisiert werden können, da sie möglichst alle Menschen ansprechen müssen, fallen auch nur sehr wenige Personen auf derartig plumpe Versuche herein. Speziell in Unternehmen, in denen bereits ein Sicherheitskonzept vorliegt, das Phishing allseits bekannt ist und die Mitarbeiter grundsätzlich aufgeklärt erscheinen, hat selbiges daher nur sehr selten überhaupt Erfolg.

Beim Spear Phishing hingegen wird eventuell eine schon bekannte E-Mail verwendet. Oder wie im letzten Absatz erwähnt, wird eine Freundschaft aufgebaut, bei der kein Verdacht besteht, dass es sich um Phishing handeln könnte. Meist werden dann E-Mails verschickt, die eine direkte Ansprache mit Namen verwenden und einen Anhang oder einen Link zu einem Download enthalten. Diese Datei soll nur ganz kurz angesehen oder durchgesehen werden.

In der Regel handelt es sich dann um einen Trojaner, der installiert wird. Also Ransomware oder Spyware, die weitere Ziele auf dem System des Opfers verfolgt. Da die Ziele bei einem derart personalisierten Angriff bereits feststehen, sind diese oft entsprechend ausgeklügelt.

Ziele vom Spear Phishing

Phishing-Attacken gibt es schon so lange wie das Internet, doch Spear Phishing hat sich primär etabliert, seit in den sozialen Netzwerken allerlei private Informationen geteilt werden. Heutzutage ist es entsprechend einfach, mehr über ein potenzielles Opfer herauszufinden. Es ist nur wenig Mühe notwendig, um sich aus vielen öffentlich einsehbaren Profilen eine Idee von der Person dahinter zu bilden. Spear Phishing gibt sich noch weitaus mehr Mühe, was gleichzeitig bedeutet, dass es sich für den Angreifer entsprechend lohnen muss.

Cyberkriminelle haben es hier oft auf bestimmte Datensätze abgesehen oder möchten sich einen grundsätzlichen Zugang zum IT-System des jeweiligen Unternehmens verschaffen. Ransomware wäre ein verständliches Beispiel, aber auch Spyware, die bestimmte Kommunikationen abhört und eine Industrie- und Wirtschaftsspionage ermöglicht. Sensible Informationen oder Strategien sind schließlich immer auch für andere interessant.

Welche Daten oder Informationen genau mittels Spear Phishing erlangt werden sollen, bleibt zunächst einmal offen. Es sind hier meist sehr individuelle Attacken, bei denen die Angreifer schon vorab wissen, was genau sie eigentlich wollen. Und das kann, bei einem derart personalisierten Angriff, im Grunde wirklich alles sein.

Gibt es einen Schutz vor Spear Phishing?

Die kurze Antwort ist ein klares »Nein«. Spear Phishing ist derart individuell und persönlich ausgerichtet, dass die Opfer es unmöglich ohne Weiteres erkennen können. Auch für die IT-Sicherheitsbeauftragten ist es nicht einfach, solche Attacken frühzeitig zu erkennen und im Keim zu ersticken.

Der wichtigste Faktor ist hier aber der Mensch. Jeder Mitarbeiter, bleibt immer auch ein Mensch mit Privatleben und genau das teilt er heutzutage häufig in den sozialen Medien. Angreifer machen sich dies zunutze, finden Hobbys heraus oder geben sich als Familienangehörige aus. Besonders dreiste Fälle, bauen regelrechte Beziehungen mit jemandem auf, um so das Vertrauen zu erlangen und im weiteren Verlauf dann den Zugriff auf Accounts und Systeme zu erhalten.

Was wirklich hilft, ist immer, seine Mitarbeiter über solche Vorkommnisse aufzuklären. Sensible Daten dürfen niemals via Mail geteilt oder müssen dann zumindest stets mit einem Anruf bestätigt werden. Auch auf die Gefahr von sozialen Medien und den dortigen Anfragen muss gewarnt werden. Nicht nur einmal, sondern regelmäßig. Nur wenn das Thema bei jedem einzelnen Mitarbeiter immer wieder im Kopf ist, wird er derartige Nachfragen auch immer noch einmal gesondert prüfen. Ist es im Unternehmen aber nie ein Thema, ist das Spear Phishing entsprechend schnell erfolgreich.

Lässt sich Spear Phishing verhindern?

Es ist schwer bis unmöglich, einen Spear-Phishing-Angriff zeitnah zu erkennen. Diese extrem stark personalisierte Form von Phishing ist somit weder für den Laien, noch für den Profi ohne Weiteres zu verhindern. Genau das macht Spear Phishing aber auch ineffektiv für die meisten Angreifer. Es lohnt sich oft nicht, solch einen Aufwand zu betreiben.

Spear Phishing stellt eine Herausforderung auf beiden Seiten dar. Denn auch der Angreifer benötigt viel Zeit, um sich in das Opfer hineinzufühlen oder an die entsprechenden Informationen zu gelangen. All das ist aufwendig und vor allem auch ziemlich risikoreich. Schließlich könnte das Opfer doch noch Verdacht schöpfen und dem Angreifer anschließend eine Falle stellen. Außerdem kann es nicht automatisiert werden, was beim Phishing aber fast immer erwünscht ist.

All das bedeutet, dass Spear Phishing häufig nur dort stattfindet, wo wirklich viel zu holen ist. In großen Firmen also oder in Unternehmen, die über potenziell wertvolle Firmengeheimnisse verfügen. Hier sollten die Mitarbeiter daher unbedingt geschult werden, um auf solche Attacken nicht hereinzufallen. Gleichzeitig sollten sich kleine Unternehmen aber auch nicht automatisch sicher fühlen.

Noch Fragen? Gerne unterstützen wir Sie und Ihr Unternehmen bei der Aufklärung oder Prävention derartiger Attacken. Sprechen Sie uns einfach und unverbindlich an.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.