Spear-Phishing-Angriffe

Verhindern und Erkennen von Spear-Phishing-Angriffen

Spear-Phishing-Definition

Spear-Phishing ist eine häufige Art von Cyber-Attacke, bei der die Angreifer einen bestimmten Empfänger oder eine bestimmte Gruppe gezielt mit detaillierten E-Mail-Nachrichten angreifen. Dies erfordert, dass der Angreifer sein Angriffsziel recherchiert, um wichtige Details zu finden, die seinen Nachrichten einen Hauch von Plausibilität verleihen können - alles in der Hoffnung, ein wertvolles Ziel zu täuschen und es dazu zu verleiten, auf eine schädliche Payload zu klicken oder sie herunterzuladen oder eine unerwünschte Aktion wie eine Geldüberweisung zu veranlassen.

Was ist der Unterschied zwischen Spear-Phishing und einem Standard-Phishing-Angriff?

Spear-Phishing-Angriffe können jeweils nur auf eine Organisation oder sogar auf bestimmte Teams innerhalb einer Organisation abzielen. Wenn Spear-Phishing-Angriffe noch präziser werden, haben sie es oft auf die größtmöglichen Ziele abgesehen, z. B. auf Führungskräfte der C-Ebene oder leitende Angestellte; diese Art von hyper-spezifischen Phishing-Angriffen wird umgangssprachlich als Whaling bezeichnet.

Standard-Phishing-Angriffe hingegen zielen darauf ab, so viele Ziele wie möglich zu erreichen, wobei davon ausgegangen wird, dass einige Benutzer wahrscheinlich auf den Trick hereinfallen werden. Diese Arten von Angriffen sind weitaus verbreiteter, da der potenzielle Angreifer weniger Aufwand betreiben muss, um ein Ziel zu kompromittieren, als wenn er versucht, eine hochrangige Führungskraft oder bestimmte Organisationen zu phishen.

Wenn Kriminelle eine Phishing-E-Mail versenden, werfen sie ein möglichst breites Netz aus, in der Hoffnung, einen Fang zu machen. Dazu versenden sie Spam-E-Mails und versuchen, ahnungslose Benutzer dazu zu bringen, auf einen schädlichen Link oder einen Anhang zu klicken, wobei sie oft vorgeben, von einer legitimen Quelle zu stammen, in der Hoffnung, vertrauliche Informationen oder wichtige Anmeldedaten zu erhalten.

Phishing-Angriffe sind schon so lange im Umlauf, weil sie einerseits billig in der Anwendung und andererseits wirksam genug sind, um lukrativ zu sein. Aber da die E-Mail-Sicherheit immer ausgefeilter wird, sind gängige Phishing-Taktiken immer leichter zu erkennen, und selbst die Phishing-E-Mails, die ihr eigentliches Ziel erreichen, sind nicht mehr wirksam genug, um wachsame Benutzer zu täuschen.

Infolgedessen wenden Angreifer neue Taktiken an, um ihre Phishing-E-Mails glaubwürdiger zu gestalten. Die ursprünglichen Phishing-Methoden, die ein weites Netz auswerfen, weichen immer mehr Methoden, die sich darauf konzentrieren, ihre potenziellen Opfer mit tatsächlichen Details von ihrer Legitimität zu überzeugen. Spear-Phishing ist nur ein Begriff für diesen Angriffsstil.

Wer ist das Ziel von Spear-Phishing?

Unternehmen sind besonders anfällig für Spear-Phishing-Angriffe, da so viele Unternehmensdaten in der Regel frei im Internet verfügbar sind, so dass Angreifer sie ausspähen können, ohne dass sie Verdacht erregen. Offizielle Websites von Unternehmen können eine Goldgrube für organisationsspezifische technische Details und Fachausdrücke, wichtige Mitarbeiter, Kunden, Veranstaltungen oder sogar die Namen interner Software-Tools sein. Soziale Netzwerke wie Facebook, Twitter und LinkedIn bieten oft nicht nur die persönlichen Details darüber, wo jemand arbeitet oder in der Vergangenheit gearbeitet hat, sondern mit einer oberflächlichen Suche können Angreifer leicht die Unternehmenshierarchie aufdecken.

In einer Spear-Phishing-E-Mail können diese kleinen Details, die online frei verfügbar sind, einem Angreifer dabei helfen, seine E-Mail mit Namen, Orten oder Begriffen zu versehen, die genug Aussagekraft haben, um einen ansonsten versierten E-Mail-Empfänger zum Klicken auf einen schädlichen Link zu bewegen. Dieser Link kann sie auf eine Website weiterleiten, die vertrauliche, nur intern verwendete Anmeldeinformationen abfängt und es dem Angreifer so ermöglicht, sich frei im Unternehmensnetzwerk zu bewegen und geistiges Eigentum oder Kundendaten zu stehlen.

Wenn ein Angreifer beispielsweise weiß, wie die internen E-Mail-Adressen eines Unternehmens aufgebaut sind, die Namen der Kundenbetreuer (die sich über LinkedIn leicht selbst identifizieren lassen), den Namen eines wichtigen Kunden (im Unternehmensblog) und den Namen des Vertriebsleiters (auf der Unternehmenswebsite) kennt, könnte er eine überzeugende E-Mail an das gesamte Kundenbetreuerteam verfassen, die angeblich vom Vertriebsleiter stammt und ein dringendes Problem mit einem der größten Kunden betrifft. In der E-Mail könnte stehen, dass die Empfänger das Memo im Intranet ihres Unternehmens unter einem bestimmten Link überprüfen sollen – ein Link, der sehr wohl wie das Intranet-Portal aussieht, aber in Wirklichkeit eine schädliche Scheinversion ist, die eingerichtet wurde, um Benutzernamen und Kennwörter auszuspionieren. Finanzabteilungen werden während der Steuererklärungszeit oft mit Spear-Phishing-Attacken angegriffen, die vorgeben, von Firmenchefs oder Finanzvorständen zu stammen, die dringend Steuerdokumente überprüfen müssen.

Wie Sie Spear-Phishing-Angriffe verhindern und erkennen

Alle gängigen Weisheiten zur Bekämpfung von Phishing gelten auch für Spear-Phishing und sind eine gute Grundlage für die Verteidigung gegen diese Art von Angriffen. Niemals auf Links in E-Mails zu klicken, ist eine eiserne Regel, um einen Großteil des Schadens zu verhindern, den Phishing-Angriffe anrichten können. Da Spear-Phishing jedoch eine ausgefeiltere Version eines einfachen Phishing-Angriffs ist, müssen Unternehmen sicherstellen, dass ihre Richtlinien auf diese fortschrittlicheren Methoden Bezug nehmen und umfassendere Lösungen implementieren, mit denen die Mitarbeiter entsprechend geschult werden, um sich zu schützen.

Weitere Tipps, wie Unternehmen Spear-Phishing-Angriffe verhindern können, sind:

  • Erinnern Sie Ihre Mitarbeiter daran, bei E-Mails mit unaufgeforderten Anhängen und Links stets vorsichtig zu sein, und senden Sie Erinnerungen an Spear-Phishing-Gefahren, insbesondere rund um wichtige Termine (z. B. nach großen Ankündigungen) oder zu bestimmten Jahreszeiten (z. B. zur Steuererklärung).
  • Setzen Sie Lösungen für Bedrohungsanalysen ein, die Open-Source- und kommerzielle Bedrohungsanalysen nutzen, um aktiv genutzte Phishing- und Spear-Phishing-Links in Echtzeit zu verfolgen und zu blockieren.
    • Hier ist ein Beispiel für InsightIDR in Aktion: https://www.youtube.com/watch?v=DNUDYfhv5bE
  • Implementieren Sie Schulungsprogramme zur Förderung des Phishing-Bewusstseins, um das ganze Jahr über gute Sicherheitspraktiken gegen Spear-Phishing in den Köpfen der Mitarbeiter zu verankern.
  • Ermöglichen Sie es Ihren Mitarbeitern, verdächtige Phishing-Nachrichten zu melden, damit Ihr Team Spear-Phishing-Kampagnen, die gegen Ihr Unternehmen gerichtet sind, stoppen kann.

Ein solides Schulungsprogramm für Phishing-Bewusstsein geht über das Training im Unterrichtsraum hinaus. Die besten Schulungsprogramme setzen auch wiederkehrende simulierte Phishing-„Tests“ ein, bei denen überzeugende (aber harmlose) Spear-Phishing-E-Mails an die Mitarbeiter Ihres Unternehmens geschickt werden. Fällt ein Mitarbeiter auf den Phishing-Versuch herein, lernt er aus erster Hand, wie effektiv diese Kampagnen sein können und worauf er in Zukunft achten sollte – und das alles, während die Unternehmensdaten in einer kontrollierten Umgebung sicher sind. Im Kampf gegen Spear-Phishing stehen die Mitarbeiter an vorderster Front. Deshalb kann jedes Unternehmen von Phishing-Awareness-Schulungen profitieren, die sich auf folgende Punkte konzentrieren Phishing-Schutz um ihre Mitarbeiter auf dem Laufenden zu halten und vor diesem sich ständig weiterentwickelnden Angriff zu schützen.