Spear-Phishing: Gezielte Angriffe auf Ihre Daten

Über tausendfach versendete Phishing-Mails ergaunern Kriminelle immer wieder Zugangsdaten und Passwörter. Die Chance, dass viele Nutzer auf die gefälschten Nachrichten hereinfallen, ist mittlerweile jedoch relativ gering. Eine neuere Variante der Betrugsmasche – Spear-Phishing – geht sehr viel gezielter vor und ist darum auch deutlich erfolgreicher.

Das Prinzip von Phishing ist relativ simpel: Betrüger erstellen gefälschte E-Mails, Websites und teilweise sogar Kurznachrichten, die authentisch aussehen und Anmeldeinformationen von Nutzern verlangen. Auf diese Weise kommen Kriminelle an Zugangsdaten für Onlineshopping, Social Media oder Cloud-Speicher. Im schlimmsten Fall werden sogar Bank- und Kreditkarteninformationen abgezogen. Noch perfider: Die Betrüger wissen genau, dass viele Nutzer die Passwortsicherheit nicht allzu ernst nehmen und ein und dasselbe Passwort für die unterschiedlichsten Dienste einsetzen. So lassen sich mit einer simplen Phishing-Website zahlreiche sensible Daten stehlen. Auf dem digitalen Schwarzmarkt sind diese Informationen viel Geld wert.

Überdies können Betrüger mit dieser Technik Viren und andere Schadsoftware auf die Computer der Opfer kopieren und die Geräte damit unter ihre Kontrolle bringen. Das Opfer weiß davon oft gar nichts und geht davon aus, eine harmlose E-Mail geöffnet oder eine sichere Website besucht zu haben.

Wer aufpasst und URLs und Absender genau überprüft, fällt auf die Masche nicht herein: Die schadhafte Website befindet sich eben nicht auf dem Server, den der Nutzer eigentlich vermutet – und das kann man mit etwas Vorsicht auch erkennen. Doch es gibt immer wieder Menschen, die nicht richtig aufpassen. Der Gewinn entsteht für die Kriminellen durch die Masse: Spam-Mails kosten für den Versender nahezu nichts.

Spear-Phishing funktioniert viel gezielter, sucht sich seine Opfer ganz genau aus und schneidet den Betrugsversuch exakt auf die ausgewählten Personen zu. Im Fokus dieser Angriffe stehen deshalb vor allem Unternehmen und Organisationen. Die Akteure, die diese Phishing-Variante einsetzen, unterscheiden sich oftmals auch von den üblichen Betrügern. Statt einfach irgendwelche Informationen zu sammeln und diese im Darknet dem Meistbietenden zu verkaufen, gehen sie gezielt gegen das spezielle Opfer vor, um dem betreffenden Unternehmen oder der Organisation zu schaden. Neben dem Abgreifen von Bankdaten sind deshalb auch Industriespionage und Cyberangriffe auf militärische Ziele oder die Infrastruktur einer Region Angriffsszenarien.

Im Vorfeld spionieren Betrüger die Zielgruppe aus und sammeln Informationen, die später ihre Glaubwürdigkeit unterstützen. Dann setzten sie eine E-Mail auf, die möglichst konkret auf die Organisation zugeschnitten ist. Als Absender wird meist eine vermeintliche Autoritätsperson oder ein fiktiver Geschäftspartner gewählt. Besonders erfolgreich dürfte Spear-Phishing deshalb auch in großen, internationalen Konzernen sein, wo nicht jeder Mitarbeiter über die komplette Struktur Bescheid weiß. Man bringt das Opfer so dazu, sensible Daten preiszugeben oder Schadsoftware herunterzuladen.

Nehmen wir an, ein Betrüger hat sich als Opfer einen internationalen Konzern ausgesucht. Zunächst wird er versuchen, möglichst viele Informationen herauszufinden: Wie ist das Unternehmen aufgebaut? Wie funktioniert die Kommunikation untereinander? In welchen Bereichen ist das Unternehmen aktiv? Auch ein E-Mail-Verteiler ist wichtig, um die benötigten Adressen zu erhalten. Der Angreifer schickt die E-Mail allerdings nicht an den ganzen Konzern: zu hoch wäre die Gefahr, dass der Betrugsversuch schnell entdeckt und das ganze Unternehmen vor der Aktion gewarnt wird.

Stattdessen schickt der Betrüger nur ausgewählten Personen die E-Mail und spricht diese darin auch konkret an. Über soziale Netzwerke hat der Angreifer detaillierte Informationen über die Mitarbeiter gesammelt. Für das Opfer wirkt die Nachricht deshalb besonders glaubwürdig. Als Autor der E-Mail wählt der Angreifer einen angeblichen hochrangigen Mitarbeiter aus einer anderen Filiale. Absendername und -adresse lassen sich sehr leicht fälschen, und so fällt es auf den ersten Blick gar nicht auf, dass eigentlich jemand anderes hinter der Nachricht steckt.

In der E-Mail bringt der Angreifer einen Button unter, der das Opfer bei einem Klick auf eine ebenfalls gefälschte Website weiterleitet. Das eigentliche Ziel wird dabei verschleiert. Sobald der Nutzer die Website aufgerufen hat, kann im Hintergrund Schadsoftware geladen werden. Wenn sich diese auf dem PC des Opfers breitmacht, kann der Betrüger u. U. das komplette Unternehmensnetzwerk ausspionieren.

Das Opfer denkt zu diesem Zeitpunkt noch, es hätte eine normale Website besucht und dort vielleicht an einer Umfrage teilgenommen. So kann sich der Virus unbemerkt im Netzwerk des Konzerns ausbreiten und der Angreifer bekommt vollen Zugriff oder kann unternehmenskritische Prozesse stören.

Am besten können sich Nutzer durch eine gesunde Portion Skepsis vor Spear-Phishing schützen. Wer nicht auf unbekannte Links klickt oder unerwartete Dateianhänge öffnet, kann eigentlich nicht Opfer werden. Das Problem allerdings ist, dass solche Angriffe (im Gegensatz zu üblichen Phishing-Mails) sehr gut gemacht sind. Während man bei der üblichen Spam-Mail schon an der Orthografie und so manch unsinniger Behauptung den dubiosen Charakter erkennt, sind Spear-Phishing-Nachrichten sehr viel besser ausgearbeitet. Sie wirken seriös und echt.

Außerdem arbeiten solche Attacken mit Schwächen von Menschen, in erster Linie mit Neugierde und Angst. Wer denkt, er würde etwas Wichtiges verpassen oder übersehen, läuft eher Gefahr, seine Skepsis abzulegen und auf die Masche hereinzufallen. Deshalb versprechen Spear-Phishing-Nachrichten oftmals Informationen, die die eigene Karriere voranbringen könnten, oder treten so autoritär auf, als hätte man bei Missachtung schwere Konsequenzen zu fürchten.

Spear-Phishing kann nur funktionieren, wenn der Angreifer genug Informationen über das Opfer findet. Die erste Anlaufstelle dafür sind Social-Media-Accounts. Dort sollte man also nicht zu viel von sich preisgeben, schon gar nicht Informationen, die mit der Arbeit zu tun haben. Über Social Engineering versuchen Betrüger weitere Informationen zu bekommen. Auch hier gilt es Vorsicht zu bewahren: Unbekannten sollte man niemals sensible Daten weitergeben, egal wie vertrauenswürdig der Kontakt erscheint.

Man kann aber auch direkt an der Nachricht den illegitimen Charakter erkennen. Besonders bei E-Mails lohnt sich ein genauerer Blick auf den Absender. Zwar werden der Name und die vorgebliche Absenderadresse gefälscht sein, im Sendeprotokoll der E-Mail befindet sich allerdings die eigentliche Adresse. Viele moderne E-Mail-Clients wie Outlook lassen die Quelle zugunsten eines Anzeigenamens verschwinden; man kann sich aber (mal mehr, mal weniger einfach) den Header einer E-Mail anzeigen lassen. Erkennt man dort, dass die Quelle nicht mit den Angaben des angeblichen Absenders übereinstimmt, besteht ein hohes Betrugsrisiko.

Eine weitere Sicherheitsvorkehrung im E-Mail-Verkehr ist es, auf HTML zu verzichten und Bilder nicht automatisch nachladen zu lassen. Auf diese Weise wird verhindert, dass schädliche Programme schon beim Öffnen der Nachricht auf den Rechner des Opfers gelangen können.

Anhänge von unbekannten Absendern sollten ohnehin nicht geöffnet werden. Hier muss man zunächst die Identität des Absenders überprüfen. Auch wenn der Absender seriös wirkt, sollte man nie Anhänge von Absendern öffnen, mit denen man noch nicht zuvor kommuniziert hat. Auch wenn der Absender bekannt zu sein scheint: Öffnen Sie keine Dateianhänge, sie Sie nicht von diesem Absender erwarten. Der Rechner des bekannten Absenders könnte bereits von einem Schadprogramm infiziert sein. Fragen Sie im Zweifel persönlich beim Absender nach.

Aufpassen sollte man auch bei den Internetadressen, die sich hinter Links befinden. Man kann sie schon sehen, bevor man auf den Hyperlink klickt. Durch URL-Spoofing versuchen Angreifer, ihre Domain wie eine rechtmäßige Adresse aussehen zu lassen. Mit etwas Aufmerksamkeit kann man diesen Trick schnell enttarnen. Adressen, die gekürzt und damit verschleiert wurden, sollten vorher wieder in die Ausgangsform gebracht oder komplett ignoriert werden.