Spear Phishing: Wenn Cyberkriminalität persönlich wird

Gegen diese Form des Phishings sollten Sie sich unbedingt wappnen: Spear Phishing. Sicherheitsexperten haben eine Zunahme personalisierter Phishing-Angriffe festgestellt. Die zahlreichen Datenlecks und Hacks können auch erfahrenen Nutzern gefährlich werden.

 


Diese E-Mails hat wohl jeder, der einen E-Mail-Account besitzt, schon mal erhalten: Fantasievoll ausgeschmückte Texte mit Versprechen über Erfolge in der eigenen beruflichen Laufbahn oder von einem immens hohen Lottogewinn. Dabei spielen Sie gar kein Lotto? Bisher waren diese E-Mails leicht zu durchschauen: Fettgedruckte Betreffzeilen, Rechtschreibfehler soweit das Auge reicht und fragwürdige Anhänge, die Warnung genug sind. Inzwischen kann man sich aber leider nicht mehr so sicher sein, welche Mail absoluter Humbug ist. Die Zunahme personalisierter Angriffe wächst stetig. Und eine E-Mail, die vermeintlich vom Kollegen stammt und vom nächsten Meeting zu handeln scheint, öffnet man mit hoher Wahrscheinlichkeit.

Unsichere Programme als Angriffsfläche

E-Mails werden getarnt und erwecken den Anschein, als würden sie von Banken, Fluggesellschaften, Paketlieferdiensten oder sogar vom eigenen Arbeitgeber stammen. Für solche Unternehmen gibt man oft freiwillig seine Daten preis – ganz ohne der Befürchtungen, dass sich das negativ auswirken könnte. Gerade über das Programm Office 365 werden viele solcher Angriffe verübt. Die Kombination aus Online-Dienst, Office-Webanwendung und der Office-Software klingt erst mal praktisch, bietet aber offensichtlich eine optimale Angriffsfläche. Die Anzeichen sind sehr subtil: Der Nutzer erhält Hinweise, dass sein Konto gesperrt wurde, was eigentlich keine typische Aktion des Programms ist. Reagiert der Nutzer darauf (und gibt Nutzernamen und Passwort ein), ist er in die Falle getappt. Denn diese Phishing-Attacken zielen eben genau darauf ab, Benutzernamen und Passwörter der Nutzer zu erlangen. Ist dies den Angreifern gelungen, können sie Weiterleitungen einstellen und so das Verhalten der Nutzer ausspionieren. Das erlangte Wissen kann dann für Angriffe wie Ransomware oder andere Advanced Threats genutzt werden.

Vom Phishing zum Whaling: Die großen Fische an der Angel

Oft gaukeln diese personalisierten E-Mails vor, von einem Kollegen oder Vorgesetzten zu stammen. Die Täter recherchieren im Vorfeld und kennen den Namen der Zielperson sowie ihre Position und ihr Arbeitsgebiet im Unternehmen bereits bevor sie angreifen – soziale Netzwerke machen genau das möglich. Auch Informationen über den Familienstand, Wohnort oder andere persönliche Daten sind auf diese Weise problemlos auffindbar. Die Anrede und der Inhalt können so personalisiert werden. Das kann zum Beispiel eine Einladung zum nächsten Meeting oder zu einem Auswärtstermin sein, dessen Thematik optimal zum Arbeitsfeld des Opfers passt. Im Anhang befindet sich dann z. B. ein PDF- oder Office-Dokument, vorgeblich mit Details zum Meeting. Dieses ist mit einem Exploit-Code präpariert, der eine noch nicht allgemein bekannte Sicherheitslücke ausnutzt. Die Folgen sind gravierend und können langfristige Auswirkungen haben.

Weil die Hacker inzwischen so großen Aufwand betreiben, zielen sie beim sogenannten "Whaling" auf die ganz großen Fische ab: Oft sind CEOs, CFOs, HR-Abteilungen und Rechtsanwälte von den Angriffen betroffen.
Hierbei geht es den Hackern aber nicht um die Daten, die für gewöhnlich abgegriffen werden, wie Kreditkartendaten o .Ä., vielmehr geht es um das Abgreifen von Geschäftsgeheimnissen und anderen Unternehmens-Interna, mit denen die Hacker den Firmen schaden können.
Das Interesse gilt also nicht mehr nur Ihren persönlichen Daten oder Ihrer Bankverbindung: Es geht um viel mehr.

Neue Medien: Segen und Fluch

Doch die Angreifer nutzen nicht mehr nur E-Mails als Angriffsfläche: Die Nachrichten werden mittlerweile auch per SMS, Skype und andere Kanäle versendet. Auch künstliche Intelligenz wird genutzt, um zum Beispiel Daten aus Social-Media-Feeds zu nutzen. Selbst wenn den meisten Menschen zum Thema KI nur Filme wie "Terminator" einfallen, liegt die Künstliche Intelligenz unserem Alltag schon längst nicht mehr fern. Diese Programme können für personalisierte Phishing-Attacken verwendet werden. Die Nutzer sozialer Medien gehen noch immer sehr naiv mit der Sicherheit in den Netzwerken um: Während die standardisierten Spam-Mails, die nicht personalisiert sind, inzwischen kaum noch eine Gefahr darzustellen scheinen, haben verlinkte Posts bei Twitter meist Erfolg. Nutzer sollten also die Augen offenhalten und nicht gleich jeden vermeintlich interessanten Link anklicken. 

Diese Sicherheitsmaßnahmen sollten Sie im Schutz gegen Spear Phishing beachten

Der beste Schutz bleibt nach wie vor die Warnung und Schulung der eigenen Mitarbeiter und das aufmerksame Handeln im Netz. 

  1. Schulung der Mitarbeiter
    Durch Schulungen können Mitarbeiter für die Gefahren verschiedener Phishing-Formen sensibilisiert werden. Dabei sollten sie vor allem über die verschiedenen Angriffsformen wie Spoofing, Social Engineering, das Kompromittieren geschäftlicher E-Mails und Insider-Identitätsdiebstahl informiert werden. Zu Trainingszwecken können auch simulierte Angriffe inszeniert werden.

  2. Multi-Faktor-Authentifizierung
    Die Multi-Faktor-Authentifizierung bietet durch die Abfrage auf verschiedenen Geräten bzw. von verschiedenen Programmen einen zusätzlichen Schutz. So kann sichergestellt werden, dass nur über die Eingabe von Benutzernamen und Passwort nicht alles verloren ist. Die Authentifizierung kann z. B. per SMS-Codes, über mobile Anrufe oder andere persönliche Informationsebenen durchgeführt werden.

  3. Nutzung von KI-Sicherheitstools
    Obwohl die Künstliche Intelligenz inzwischen auch für die Phishing-Angriffe genutzt wird, bietet sie auch eine große Hoffnung, dem Ganzen ein Ende zu bereiten. Eine KI-Engine kann durch das Erlernen und Analysieren spezieller Kommunikationsmuster von Unternehmen Inkonsistenzen und Quarantäne-Angriffe in Echtzeit erfassen. Dadurch, dass die KI innerhalb des Unternehmens entsteht, kann sie sich weiterentwickeln und fortlaufend besser werden.

InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken des Buttons „Abonnieren” willige ich ein,
dass meine E-Mail-Adresse elektronisch erhoben und gespeichert wird.



Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft per E-Mail datenschutz@internetx.com widerrufen.

„Reden“ ist manchmal gar nicht so leicht. Gerade, wenn es um etwas vermeintlich wichtiges geht, wie die Gehaltsverhandlung mit dem Chef oder um einen...

Seit Jahren boomt das Online-Shopping in Deutschland! Welche Rolle hierbei die Preise spielen und wie Kryptowährungen den Markt beeinflussen, erfahren...

Domains sind mittlerweile so sehr in unseren Alltag eingebettet, dass wir über deren Verwendung meist gar nicht mehr nachdenken. Wie...

Das Domain Name System (kurz: DNS) feiert heute 35-jähriges Jubiläum. In vielen IT-basierten Netzwerken ist es noch immer der wichtigste Dienst: Es...