Spear-Phishing ist eine gezielte Form des Phishings, bei der An­grei­fen­de in­di­vi­du­ell zu­ge­schnit­te­ne E-Mails oder Nach­rich­ten an bestimmte Personen oder Or­ga­ni­sa­tio­nen senden, um ver­trau­li­che In­for­ma­tio­nen zu stehlen oder Schad­soft­ware ein­zu­schleu­sen. Im Gegensatz zum all­ge­mei­nen Phishing basiert Spear-Phishing auf per­sön­li­chen In­for­ma­tio­nen über das Opfer, um besonders glaub­wür­dig zu wirken.

Was ist Spear-Phishing?

Das Prinzip von Phishing ist simpel: Be­trü­ge­rin­nen und Betrüger erstellen ge­fälsch­te Phishing-Mails, Websites und teilweise sogar Kurz­nach­rich­ten, die au­then­tisch aussehen und An­mel­de­infor­ma­tio­nen von Nutzenden verlangen. Auf diese Weise kommen Kri­mi­nel­le an Zu­gangs­da­ten für On­line­shop­ping, Social Media, Cloud-Speicher und Co.

Beim Spear-Phishing handelt es sich um eine besondere Variante des Phishings. Statt ein möglichst breites Publikum mit bei­spiels­wei­se Spam-Mails an­zu­spre­chen, wählen die Be­trü­gen­den ihre Ziel­grup­pe ge­nau­es­tens aus. Mit konkreten In­for­ma­tio­nen zur aus­ge­wähl­ten Gruppe können sie sehr glaub­haf­te Nach­rich­ten und Websites erstellen. Der Aufwand ist höher, die Er­folgs­ra­te aber ebenfalls.

Sichere E-Mail Adresse für digitale Pri­vat­sphä­re
  • Pro­fes­sio­nel­ler Daten- und Si­cher­heits­schutz
  • E-Mail-Ver­schlüs­se­lung mit SSL/TLS
  • Top-Vi­ren­schutz dank Firewalls und Spam­fil­ter
  • Tägliche Backups, tägliche Ab­si­che­rung

Wie funk­tio­niert Spear-Phishing?

Spear-Phishing sucht sich seine Opfer ganz genau aus und schneidet den Be­trugs­ver­such exakt auf die aus­ge­wähl­ten Personen zu. Im Fokus dieser Angriffe stehen deshalb vor allem Un­ter­neh­men und Or­ga­ni­sa­tio­nen. Die Akteure, die diese Phishing-Variante einsetzen, un­ter­schei­den sich oftmals auch von den üblichen Be­trü­gen­den. Statt einfach ir­gend­wel­che In­for­ma­tio­nen zu sammeln und diese im Darknet dem Meist­bie­ten­den zu verkaufen, gehen sie gezielt gegen das spezielle Opfer vor, um dem be­tref­fen­den Un­ter­neh­men oder der Or­ga­ni­sa­ti­on zu schaden. Neben dem Abgreifen von Bankdaten sind deshalb auch In­dus­trie­spio­na­ge und Cy­ber­an­grif­fe auf mi­li­tä­ri­sche Ziele oder die In­fra­struk­tur einer Region mögliche An­griffs­sze­na­ri­en.

Im Vorfeld spio­nie­ren Betrüger und Be­trü­ge­rin­nen die Ziel­grup­pe aus und sammeln In­for­ma­tio­nen, die später ihre Glaub­wür­dig­keit un­ter­stüt­zen. Dann setzen sie eine E-Mail auf, die möglichst konkret auf die Or­ga­ni­sa­ti­on zu­ge­schnit­ten ist. Als Absender bzw. Ab­sen­de­rin wird meist eine ver­meint­li­che Au­to­ri­täts­per­son oder ein fiktiver Ge­schäfts­part­ner gewählt. Besonders er­folg­reich dürfte Spear-Phishing deshalb auch in großen, in­ter­na­tio­na­len Konzernen sein, in denen nicht alle Mit­ar­bei­ten­den über die komplette Struktur Bescheid wissen. Man bringt das Opfer so dazu, sensible Daten preis­zu­ge­ben oder Schad­soft­ware her­un­ter­zu­la­den.

Spear-Phishing an einem Beispiel erklärt

Nehmen wir an, ein Hacker oder eine Hackerin hat sich als Opfer einen in­ter­na­tio­na­len Konzern aus­ge­sucht. Zunächst wird er versuchen, möglichst viele In­for­ma­tio­nen her­aus­zu­fin­den: Wie ist das Un­ter­neh­men aufgebaut? Wie funk­tio­niert die Kom­mu­ni­ka­ti­on un­ter­ein­an­der? In welchen Bereichen ist das Un­ter­neh­men aktiv? Auch ein E-Mail-Verteiler ist wichtig, um die be­nö­tig­ten Adressen zu erhalten. Der bzw. die An­grei­fen­de schickt die E-Mail al­ler­dings nicht an den ganzen Konzern: zu hoch wäre die Gefahr, dass der Be­trugs­ver­such schnell entdeckt und das ganze Un­ter­neh­men vor der Aktion gewarnt wird.

Statt­des­sen erhalten nur aus­ge­wähl­te Personen die E-Mail und werden darin auch konkret an­ge­spro­chen. Über soziale Netzwerke wurden im Vorfeld de­tail­lier­te In­for­ma­tio­nen über die Mit­ar­bei­ten­den gesammelt. Für das Opfer wirkt die Nachricht deshalb besonders glaub­wür­dig. Als Autor bzw. Autorin der E-Mail fungieren an­geb­li­che hoch­ran­gi­ge Mit­ar­bei­ten­de aus einer anderen Filiale. Ab­sen­der­na­me und -adresse lassen sich sehr leicht fälschen, und so fällt es auf den ersten Blick gar nicht auf, dass ei­gent­lich jemand anderes hinter der Nachricht steckt.

In der E-Mail bringt die an­grei­fen­de Person einen Button unter, der das Opfer bei einem Klick auf eine ebenfalls ge­fälsch­te Website wei­ter­lei­tet. Das ei­gent­li­che Ziel wird dabei ver­schlei­ert. Sobald der User die Website auf­ge­ru­fen hat, kann im Hin­ter­grund Schad­soft­ware geladen werden. Wenn sich diese auf dem PC des Opfers breit­macht, kann der Hacker bzw. die Hackerin u. U. das komplette Un­ter­neh­mens­netz­werk aus­spio­nie­ren.

Das Opfer denkt zu diesem Zeitpunkt noch, es hätte eine normale Website besucht und dort viel­leicht an einer Umfrage teil­ge­nom­men. So kann sich der Virus unbemerkt im Netzwerk des Konzerns aus­brei­ten und der die an­grei­fen­de Person bekommt vollen Zugriff oder kann un­ter­neh­mens­kri­ti­sche Prozesse stören.

Pro­fes­sio­nel­les E-Mail-Hosting ganz nach Ihrem Bedarf
  • Per­so­na­li­sier­te E-Mail-Adresse
  • Zugriff auf E-Mails immer und überall
  • Höchste Si­cher­heits­stan­dards

Wie kann man sich vor Spear-Phishing schützen?

Tipp 1: Skeptisch bleiben

Am besten können sich Nutzende durch eine gesunde Portion Skepsis vor Spear-Phishing schützen. Wer nicht auf un­be­kann­te Links klickt oder un­er­war­te­te Da­tei­an­hän­ge öffnet, kann ei­gent­lich nicht Opfer werden. Das Problem al­ler­dings ist, dass solche Angriffe (im Gegensatz zu üblichen Phishing-Mails) sehr gut gemacht sind. Während man bei der üblichen Spam-Mail schon an der Or­tho­gra­fie und so manch un­sin­ni­ger Be­haup­tung den dubiosen Charakter erkennt, sind Spear-Phishing-Nach­rich­ten sehr viel besser aus­ge­ar­bei­tet. Sie wirken seriös und echt.

Tipp 2: Kühlen Kopf bewahren

Spear-Fishing-Attacken arbeiten mit den Schwächen von Menschen, in erster Linie mit Neugierde und Angst. Wer denkt, er würde etwas Wichtiges verpassen oder übersehen, läuft eher Gefahr, seine Skepsis abzulegen und auf die Masche her­ein­zu­fal­len. Deshalb ver­spre­chen Spear-Phishing-Nach­rich­ten oftmals In­for­ma­tio­nen, die die eigene Karriere vor­an­brin­gen könnten, oder treten so autoritär auf, als hätte man bei Miss­ach­tung schwere Kon­se­quen­zen zu fürchten.

Tipp 3: Sensible Daten schützen

Spear-Phishing kann nur funk­tio­nie­ren, wenn der oder die An­grei­fen­de genug In­for­ma­tio­nen über das Opfer findet. Die erste An­lauf­stel­le dafür sind Social-Media-Accounts. Dort sollte man also nicht zu viel von sich preis­ge­ben, schon gar nicht In­for­ma­tio­nen, die mit der Arbeit zu tun haben. Über Social En­gi­nee­ring versuchen Be­trü­ge­rin­nen und Betrüger weitere In­for­ma­tio­nen zu bekommen. Auch hier gilt es Vorsicht zu bewahren: Un­be­kann­ten sollte man niemals sensible Daten wei­ter­ge­ben, egal wie ver­trau­ens­wür­dig der Kontakt erscheint.

Tipp 4: Ab­sen­den­de im Sen­de­pro­to­koll prüfen

Man kann aber auch direkt an der Nachricht den il­le­gi­ti­men Charakter erkennen. Besonders bei E-Mails lohnt sich ein genauerer Blick auf die Ab­sen­der­adres­se. Zwar werden der Name und die vor­geb­li­che Adresse gefälscht sein, im Sen­de­pro­to­koll der E-Mail befindet sich al­ler­dings die ei­gent­li­che Adresse. Viele moderne E-Mail-Clients wie Outlook lassen die Quelle zugunsten eines An­zei­ge­na­mens ver­schwin­den; man kann sich aber (mal mehr, mal weniger einfach) den Header einer E-Mail anzeigen lassen. Erkennt man dort, dass die Quelle nicht mit den Angaben des an­geb­li­chen Ab­sen­den­den über­ein­stimmt, besteht ein hohes Be­trugs­ri­si­ko.

Tipp 5: HTML und Bild­down­load meiden

Eine weitere Si­cher­heits­vor­keh­rung im E-Mail-Verkehr ist es, auf HTML zu ver­zich­ten und Bilder nicht au­to­ma­tisch nachladen zu lassen. Auf diese Weise wird ver­hin­dert, dass schäd­li­che Programme schon beim Öffnen der Nachricht auf den Rechner des Opfers gelangen können.

Tipp 6: Un­be­kann­te Anhänge nicht öffnen

Anhänge von un­be­kann­ten Ab­sen­de­rin­nen und Absendern sollten ohnehin nicht geöffnet werden. Hier muss man zunächst die Identität des Ab­sen­den­den über­prü­fen. Auch wenn dieser seriös wirkt, sollte man nie Anhänge von Ab­sen­de­rin­nen oder Absendern öffnen, mit denen man noch nicht zuvor kom­mu­ni­ziert hat. Auch wenn die ab­sen­den­de Person bekannt zu sein scheint: Öffnen Sie keine Da­tei­an­hän­ge, die Sie nicht erwarten. Der Rechner der bekannten Person könnte bereits von einem Schad­pro­gramm infiziert sein. Fragen Sie im Zweifel per­sön­lich nach.

Tipp 7: URLs und Links genau prüfen

Aufpassen sollte man auch bei den In­ter­net­adres­sen, die sich hinter Links befinden. Man kann sie schon sehen, bevor man auf den Hyperlink klickt. Durch URL-Spoofing versuchen An­grei­fen­de, ihre Domain wie eine recht­mä­ßi­ge Adresse aussehen zu lassen. Mit etwas Auf­merk­sam­keit kann man diesen Trick schnell enttarnen. Adressen, die gekürzt und damit ver­schlei­ert wurden, sollten vorher wieder in die Aus­gangs­form gebracht oder komplett ignoriert werden.

Tipp 8: E-Mail-Absender fäl­schungs­si­cher machen

Neben in­di­vi­du­el­len Schutz­maß­nah­men spielt auch die tech­ni­sche Kon­fi­gu­ra­ti­on des Mail­ser­vers eine große Rolle im Kampf gegen Spear-Phishing. Mit SPF-Records, DKIM und besonders DMARC lassen sich Ab­sen­der­adres­sen absichern, sodass E-Mails, die angeblich von einer Domain stammen, technisch ve­ri­fi­ziert werden können. Damit kann ein Un­ter­neh­men ver­hin­dern, dass Cy­ber­kri­mi­nel­le im Namen der eigenen Domain ge­fälsch­te Nach­rich­ten versenden.

Fazit

Die beiden besten Ab­wehr­me­cha­nis­men gegen Spear-Phishing sind gesundes Miss­trau­en sowie offene Kom­mu­ni­ka­ti­on mit Kol­le­gin­nen und Kollegen. Wer auf­fäl­li­ge Nach­rich­ten mit un­be­kann­ten Ab­sen­der­adres­sen im Kol­le­gen­kreis anspricht und an­geb­li­che Ab­sen­den­de zu iden­ti­fi­zie­ren versucht, kann Be­trugs­fäl­le schnell aufdecken.

Zum Hauptmenü