Spear-Phishing ist eine Art von Phishing-Angriff, der auf eine bestimmte Person oder eine Gruppe von Personen innerhalb eines Unternehmens abzielt. Diese werden dazu verleitet, vertrauliche Informationen preiszugeben, Malware herunterzuladen oder unwissentlich Zahlungen an den Angreifer zu leisten.
Wie alle Phishing-Scams kann auch Spear-Phishing per E-Mail, SMS oder Telefonanruf durchgeführt werden. Der Unterschied besteht darin, dass Spear-Phishing-Betrüger nicht Tausende oder Millionen potenzieller Opfer mit pauschalen „Massen-Phishing”-Taktiken anvisieren, sondern bestimmte Personen oder Personengruppen, z. B. die regionalen Vertriebsleiter eines Unternehmens, mit personalisierten Scams, die auf umfangreichen Recherchen beruhen.
Gemäß dem Bericht Cost of a Data Breach 2023 von IBM war Phishing im Jahr 2022 die zweithäufigste Ursache von Datenschutzverletzungen. McKinsey stellt fest, dass sich die Zahl der Spear-Phishing-Angriffe seit Beginn der Pandemie fast versiebenfacht hat. Cyberkriminelle nutzten die zunehmende Zahl von Remote-Mitarbeitern aus, die aufgrund von Sicherheitsvorkehrungen und der Gewohnheit, mit Kollegen und Vorgesetzten hauptsächlich über E-Mail und Chat zu kommunizieren, möglicherweise anfälliger für Phishing-Betrug sind.
Außerdem wurde im IBM Bericht festgestellt, dass Phishing-Angriffe zwar mit 4,91 Mio. USD die höchsten durchschnittlichen Kosten pro Sicherheitsverstoß erzeugen, die Kosten von Spear-Phishing-Angriffen jedoch selbst diesen Betrag erheblich übersteigen können. Bei einem aufsehenerregenden Angriff haben Spear-Phisher beispielsweise mehr als 100 Millionen US-Dollar von Facebook und Google gestohlen, indem sie sich als legitime Anbieter ausgaben und Mitarbeiter zur Zahlung betrügerischer Rechnungen verleiteten.
Mit dem neuesten Bericht über die Kosten einer Datenschutzverletzung erhalten Sie Erkenntnisse, um das Risiko einer Datenschutzverletzung besser zu managen.
Registrieren Sie sich für den X-Force Threat Intelligence Index
Bei einem klassischen Massen-Phishing-Angriff erstellen Hacker betrügerische Nachrichten, die scheinbar von bekannten Unternehmen, Organisationen oder sogar Prominenten stammen. Diese Phishing-Nachrichten werden dann unwiderruflich an so viele Menschen wie möglich gesendet und hoffen, dass wenigstens eine Handvoll von ihnen versucht wird, wertvolle Informationen wie Sozialversicherungsnummern, Kreditkartennummern oder Kontokennwörter preiszugeben.
Spear-Phishing-Angriffe hingegen sind gezielte Angriffe auf bestimmte Personen, die Zugang zu bestimmten Ressourcen haben.
Ziel festlegen
Die meisten Spear-Phishing-Angriffe zielen darauf ab, große Geldsummen von Unternehmen zu stehlen, indem Personen dazu verleitet werden, eine Zahlung oder Überweisung an einen betrügerischen Anbieter oder ein betrügerisches Bankkonto vorzunehmen oder Kreditkartennummern, Kontonummern oder andere vertrauliche oder sensible Daten preiszugeben.
Spear-Phishing-Angriffe können jedoch auch andere schädliche Ziele verfolgen:
Verbreitung von Ransomware oder anderer Malware, zum Beispiel kann der Bedrohungsakteur schädliche E-Mail-Anhänge wie Microsoft Excel-Dateien versenden, die beim Öffnen Malware installieren.
Diebstahl von Zugangsdaten – Benutzernamen, Kennwörter und andere Daten werden durch Hacker entwendet und für einen großen Angriff genutzt. Der Hacker könnte der Zielperson beispielsweise einen schädlichen Link zu einer betrügerischen Website zum Aktualisieren des Kennworts senden.
Diebstahl personenbezogener Daten oder sensibler Informationen – z. B. personenbezogene Daten von Kunden oder Mitarbeitern, Unternehmensfinanzen oder Geschäftsgeheimnissen.
Auswahl eines oder mehrerer Ziele
Als Nächstes identifiziert der Spear-Phisher ein geeignetes Ziel. Eine Person oder eine Gruppe von Personen mit direktem Zugang zu den von den Hackern gewünschten Ressourcen oder die diesen Zugang indirekt durch das Herunterladen von Malware ermöglichen können.
Häufig richten sich Spear-Phishing-Versuche an Mitarbeiter auf mittlerer oder unterer Ebene oder neue Mitarbeiter mit erweiterten Netzwerk- oder Systemzugriffsrechten, die die Unternehmensrichtlinien und -verfahren möglicherweise nicht streng befolgen. Zu den typischen Opfern gehören Finanzmanager, die für Zahlungen autorisiert sind, IT-Administratoren mit Administratorzugriff auf das Netzwerk und HR-Manager mit Zugriff auf die personenbezogenen Daten der Mitarbeiter. (Andere Arten von Spear-Phishing-Angriffen richten sich ausschließlich an Mitarbeiter auf Führungsebene; siehe „Spear-Phishing, Whaling und BEC“ unten.)
Zielperson recherchieren
Der Angreifer sucht bei der Zielperson nach Informationen, die er nutzen kann, um sich als eine der Zielperson nahestehende Person auszugeben. Dabei kann es sich um eine Person oder ein Unternehmen handeln, dem die Zielperson vertraut, oder eine Person, der gegenüber die Zielperson rechenschaftspflichtig ist.
Da in sozialen Medien und anderswo online viele Informationen veröffentlicht werden und damit frei zugänglich sind, finden Cyberkriminelle diese Informationen ohne viel Aufwand. Laut einem Bericht von Omdia können Hacker nach etwa 100 Minuten allgemeiner Google-Suche eine überzeugende Spear-Phishing-E-Mail erstellen. Manche Hacker können in geschäftliche E-Mail-Konten oder Messaging-Apps eindringen und noch mehr Zeit damit verbringen, Unterhaltungen zu beobachten, um detailliertere Informationen zu sammeln.
Nachricht erstellen und aussenden
Auf der Grundlage dieser Untersuchungen können Spear-Phishing-Betrüger gezielte Phishing-Nachrichten erstellen, die glaubwürdig erscheinen und von einer vertrauenswürdigen Quelle oder Person stammen.
Stellen Sie sich beispielsweise vor, „Tom“ ist ein Kreditorenbuchhalter bei ABC Industries. Durch einen einfachen Blick auf Jacks öffentliches LinkedIn-Profil könnte ein Angreifer Jacks Berufsbezeichnung, Verantwortlichkeiten, die E-Mail-Adresse des Unternehmens, den Namen der Abteilung, den Namen und Titel des Chefs sowie die Namen und Titel der Geschäftspartner finden. Anhand dieser Daten senden sie ihm dann eine glaubwürdige E-Mail von seinem Chef oder Abteilungsleiter:
Hallo Tom,
da Sie die Rechnungen von XYZ Systems bearbeiten, habe ich folgende Bitte an Sie: XYZ Systems hat mich soeben informiert, dass sie ihren Zahlungsprozess aktualisieren und alle zukünftigen Zahlungen auf ein neues Bankkonto eingehen müssen. Hier ist die aktuelle Rechnung mit den neuen Kontodaten. Wäre es möglich, die Zahlung noch heute zu senden?
Die E-Mail enthält in der Regel visuelle Hinweise, die die Identität des Absenders auf einen Blick verstärken, z. B. eine gefälschte E-Mail-Adresse, die den Anzeigenamen des Absenders anzeigt, aber die betrügerische E-Mail-Adresse versteckt, ccs, um ähnlich gefälschte Coworker-E-Mails oder eine E-Mail-Signatur mit dem Firmenlogo von ABC Industries. Einige Betrüger sind in der Lage, sich in das tatsächliche E-Mail-Konto des angeblichen Absenders zu hacken und die Nachricht von dort aus zu versenden, um die Authentizität zu erhöhen.
Eine andere Taktik besteht darin, E-Mail- mit SMS-Phishing (SMS-Phishing oder Smishing genannt) oder Voice-Phishing (Vishing) zu kombinieren. Anstatt beispielsweise eine Rechnung anzuhängen, könnte Tom in der E-Mail aufgefordert werden, die Kreditorenbuchhaltung von XYZ Systems unter einer Telefonnummer anzurufen, die von einem Betrüger besetzt ist.
Bei Spear-Phishing-Angriffen werden häufig Social-Engineering-Techniken eingesetzt. Es gibt Taktiken, die psychologischen Druck oder Motivation nutzen, um Menschen zu manipulieren, damit sie etwas tun, was sie normalerweise nicht tun würden.
Dabei nehmen sie etwa die Identität eines hochrangigen Unternehmensvertreters an, wie in der Spear-Phishing-E-Mail oben. Die Mitarbeitenden sind darauf konditioniert, Autorität zu respektieren, und haben unbewusst Angst davor, den Anweisungen einer Führungskraft nicht Folge zu leisten, selbst wenn diese Anweisungen ungewöhnlich sind. Spear-Phishing-Angriffe basieren auf anderen Social-Engineering-Techniken, darunter:
Pretexting: Erfinden einer realistischen Geschichte oder Situation, die das Ziel erkennt und mit der es sich identifizieren kann, zum Beispiel „Ihr Passwort läuft bald ab …“
Schaffen eines Gefühls der Dringlichkeit: Zum Beispiel, wenn man sich als Anbieter positioniert und behauptet, dass die Zahlung für einen kritischen Service verspätet ist.
An Emotionen oder unterbewusste Motivatoren appellieren: Sie versuchen, bei der Zielperson Angst, Schuldgefühle oder Gier auszulösen, verweisen auf eine Sache oder ein Ereignis, das der Zielperson am Herzen liegt, oder sind einfach nur hilfreich. Zum Beispiel:„Hier ist ein Link zu einer Website, die die Computerteile verkauft, die Sie schon lange suchen.”
Die meisten Spear-Phishing-Kampagnen kombinieren mehrere Social-Engineering-Taktiken. Zum Beispiel eine Notiz des direkten Managers des Zielunternehmens, in der es heißt: „Ich steige gleich in ein Flugzeug und mein Akku ist leer, bitte helfen Sie mir und überweisen Sie schnell an die XYZ Corp, damit wir keine Verspätungsgebühren zahlen müssen“.
Zwar handelt es sich bei jedem Phishing-Angriff, der auf eine bestimmte Person oder Gruppe abzielt, um einen Spear-Phishing-Angriff. Es gibt jedoch einige Subtypen, die hervorzuheben sind.
Whaling (manchmal Wale-Phishing genannt) ist Spear-Phishing, das die Opfer mit dem höchsten Profil und dem höchsten Wert anvisiert. Dabei handelt es sich oft um Vorstandsmitglieder oder Führungskräfte, aber auch um nicht-unternehmerische Zielpersonen wie Prominente und Politiker. Whaler haben Beute, die nur diese Ziele bieten können, also große Geldsummen oder Zugang zu äußerst wertvollen oder streng vertraulichen Informationen. Es überrascht nicht, dass Whaling-Angriffe in der Regel detailliertere Untersuchungen erfordern als andere Spear-Phishing-Angriffe.
Business Email Compromise (BEC) ist eine Form des Spear-Phishing, die speziell auf den Diebstahl von Informationen oder Geld von Unternehmen abzielt. Zwei häufige Formen von BEC sind:
CEO-Betrug: Der Betrüger nimmt die Identität einer Führungskraft an, indem er E-Mails in dessen Namen aussendet oder sich direkt in das E-Mail-Konto hackt. Er sendet dann eine Nachricht an einen oder mehrere Mitarbeiter auf niedrigerer Ebene und weist sie an, Geld auf ein betrügerisches Konto zu überweisen oder einen Kauf bei einem betrügerischen Anbieter zu tätigen.
Kompromittierung eines E-Mail-Kontos (EAC): Der Betrüger verschafft sich Zugriff auf das E-Mail-Konto eines Mitarbeiters der unteren Ebene. Zum Beispiel ein Manager im Finanzwesen, im Vertrieb oder in der Forschung und Entwicklung. Er nutzt sie, um betrügerische Rechnungen an Lieferanten zu schicken, andere Mitarbeiter anzuweisen, betrügerische Zahlungen oder Einzahlungen vorzunehmen oder Zugang zu vertraulichen Daten zu verlangen.
Erfolgreiche BEC-Angriffe gehören zu den kostenintensivsten Fällen von Cyberkriminalität. In einem der bekanntesten Beispiele für BEC überzeugten Hacker, die sich als Geschäftsführer ausgaben, die Finanzabteilung seines Unternehmens, 42 Millionen Euro auf ein betrügerisches Bankkonto zu überweisen.
Phishing-Angriffe gehören zu den am schwersten zu bekämpfenden Cyberangriffen, weil sie nicht immer durch traditionelle (signaturbasierte) Cybersicherheitstools identifiziert werden können. Oft muss der Angreifer nur menschliche Schutzmechanismen überwinden.
Spear-Phishing-Angriffe stellen eine besondere Herausforderung dar, da sie zielgerichtet sind und personalisierte Inhalte sie für die durchschnittliche Person noch überzeugender machen. Es gibt jedoch Maßnahmen, mit denen die Auswirkungen von Spear-Phishing abgewehrt werden können, wenn nicht gar komplett verhindert werden können:
Schulung zum Sicherheitsbewusstsein. Da Spear-Phishing menschliche Verhaltensweisen ausnutzt, ist die Schulung der Mitarbeiter eine wichtige Strategie zur Abwehr solcher Angriffe. Schulungen zum Sicherheitsbewusstsein können Folgendes umfassen:
Vermittlung von Techniken zur Erkennung verdächtiger E-Mails an Mitarbeiter. Zum Beispiel die Überprüfung der Namen von E-Mail-Absendern auf betrügerische Domain-Namen.
Tipps zur Vermeidung der Übergabe von Informationen auf Social Networking-Sites.
Gute Arbeitsgewohnheiten. Öffnen Sie zum Beispiel niemals unaufgeforderte Anhänge, bestätigen Sie ungewöhnliche Zahlungsaufforderungen über einen zweiten Kanal, rufen Sie Lieferanten an, um Rechnungen zu bestätigen, navigieren Sie direkt zu Websites, anstatt auf Links in E-Mails zu klicken.
Spear-Phishing-Simulationen, bei denen Mitarbeiter das Gelernte anwenden können
Multi-Faktor-Authentifizierung und adaptive Authentifizierung. Die Implementierung einer mehrstufigen Authentifizierung (die neben dem Benutzernamen und dem Kennwort weitere Anmeldedaten erfordert) und/oder einer adaptiven Authentifizierung (die weitere Anmeldedaten erfordert, wenn sich Benutzer von verschiedenen Geräten oder Standorten aus anmelden) kann verhindern, dass Hacker Zugriff auf das E-Mail-Konto eines Benutzers erhalten, selbst wenn es ihnen gelingt, dessen E-Mail-Kennwort zu stehlen.
Sicherheitssoftware. Es gibt kein Sicherheitstool, das Spear-Phishing zur Gänze verhindern kann. Vielmehr können mehrere Tools eine Rolle dabei spielen, Spear-Phishing-Angriffe abzuwehren oder den von ihnen verursachten Schaden gering zu halten:
Bestimmte E-Mail-Sicherheitstools wie Spamfilter und sichere E-Mail-Gateways können zur Erkennung und Umlenkung von Spear-Phishing-E‑Mails beitragen.
Mit Antivirensoftware lassen sich bekannte, durch Spear-Phishing verursachte Malware- oder Ransomware-Ausbrüche neutralisieren.
- Secure Web-Gateways und andere Webfilter-Tools können die in Spear-Phishing-E-Mails verlinkten schädlichen Websites blockieren.
- System- und Software-Patches können technische Schwachstellen schließen, die häufig von Spear-Phishern genutzt werden.
Sicherheitslösungen für Unternehmen können Sicherheitsteams und Security Operations Center (SOC) dabei unterstützen, bösartigen Datenverkehr und Netzwerkaktivitäten im Zusammenhang mit Spear-Phishing-Angriffen zu erkennen und abzufangen. Zu diesen Lösungen zählen unter anderem Security Orchestration, Automation and Response (SOAR), Security Incident and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR).
Fangen Sie komplexe Bedrohungen ab, die andere übersehen. QRadar SIEM nutzt Analysen und künstliche Intelligenz, um Bedrohungsdaten sowie Netzwerk- und Benutzerverhaltensanomalien zu überwachen und um zu bestimmen, welche Sicherheitsbedrohungen Ihre sofortige Aufmerksamkeit und Abhilfemaßnahmen erfordern.
IBM Trusteer Rapport hilft Finanzinstituten, Malware-Infektionen und Phishing-Attacken zu erkennen und zu verhindern, indem es deren Privat- und Geschäftskunden schützt.
Mit dieser ausgeklügelten und zugleich benutzerfreundlichen EDR-Lösung (Endpoint Detection and Response) können Sie Endpunkte vor Cyberangriffen schützen, Unregelmäßigkeiten erkennen und nahezu in Echtzeit korrigieren.
Bleiben Sie über Phishing-Neuigkeiten, Trends und Präventionstechniken auf dem Laufenden bei Security Intelligence, dem Vordenker-Blog von IBM® Security.
Ransomware ist Malware, die Geräte und Daten von Opfern sperrt, bis ein Lösegeld bezahlt wird.
Die 17. Ausgabe dieses Berichts präsentiert neueste Erkenntnisse über die immer größer werdende Sicherheitsbedrohungslandschaft und bietet Empfehlungen, um Zeit zu sparen und Verluste zu begrenzen.