Erkennen und Verhindern von Spear-Phishing-Angriffen

Spear-Phishing ist eine ernsthafte Bedrohung für Unternehmen weltweit, aber dieses sehr gezielte Phishing kann schwer zu verhindern sein.

Ein Bericht des Sicherheitsunternehmens Ivanti verdeutlicht die Erfolgsquote von Spear-Phishing: Fast drei Viertel (73 %) der Unternehmen gaben gegenüber Ivanti an, dass IT-Mitarbeiter Ziel von Spear-Phishing sind, und fast die Hälfte der Versuche (47 %) sind erfolgreich.

Was ist Spear Phishing?

Spear-Phishing ist eine sehr gezielte Form des Phishings. Bei einer Phishing-Kampagne wird in der Regel eine Massen-E-Mail an viele Personen verschickt. Spear-Phishing-Kampagnen hingegen konzentrieren sich auf eine oder einige wenige Personen, die in der Regel für eine bestimmte Organisation arbeiten oder mit ihr verbunden sind.

Spear-Phishing kommt oft per E-Mail, kann aber auch über das Telefon (Vishing) oder über mobile Nachrichten (SMShing) erfolgen.

Spear-Phishing nutzt fortschrittliche Social-Engineering-Taktiken, um eine effektive Spear-Phishing-Kampagne zu erstellen, die auf gesammelten Informationen über ein Ziel basiert. Die Informationen, die für die Perfektionierung einer Spear-Phishing-E-Mail erforderlich sind, werden auf beliebige Weise gesammelt, z. B. durch Beiträge in sozialen Medien, Unternehmenswebsites, gehackte Online-Konten usw.

Es ist sogar schon vorgekommen, dass Cyberkriminelle per E-Mail oder Telefon eine Beziehung zu ihrer Zielperson aufgebaut haben, um das Vertrauen des Mitarbeiters zu gewinnen und ihn zu ermutigen, persönliche oder Unternehmensdaten preiszugeben. Sobald die Cyberkriminellen genügend Informationen über ein Ziel haben, erstellen sie eine personalisierte E-Mail, die legitim aussieht.

Das Ziel eines Spear-Phishing-Versuchs ist in der Regel, Anmeldedaten zu stehlen. Diese Anmeldedaten können dann verwendet werden, um Zugang zu einem Unternehmensnetzwerk zu erhalten. Das Ergebnis des Social Engineering eines Mitarbeiters ist eine Malware-Infektion, einschließlich Ransomware, und Datendiebstahl,  Business Email Compromise (BEC) und andere Formen von Cyberangriffen.

Die Verwendung der Multi-Faktor-Authentifizierung (MFA) kann zwar dazu beitragen, das Risiko eines Angriffs zu verringern, ist aber keine Garantie: Eine kürzlich durchgeführte Phishing-Kampagne, die auf Office 365-Benutzer abzielte, war in der Lage, jede von Mitarbeitern verwendete MFA zu umgehen.

Wie Cyberkriminelle Spear-Phishing-Angriffe einsetzen

Cyberkriminelle nutzen Spear-Phishing, um einen Angriff auf ein bestimmtes Unternehmen zu richten. Diese Kampagnen können direkt (auf einen Mitarbeiter) oder indirekt, d.h. auf einen Lieferanten in der Lieferkette abzielen, um ein Unternehmen anzugreifen, das in der Lieferkette weiter oben steht.

Häufig sind Spear-Phishing-Angriffe Teil eines Angriffszyklus, bei dem Daten, einschließlich Passwörter, gestohlen werden. Dies führt zu einer Malware-Infektion, weiterem Diebstahl von Zugangsdaten und gestohlenen Daten. Der Prozess beginnt mit einer E-Mail, Vishing oder SMShing. Speer-Phishing beinhaltet oft eine strategische Planung auf höchster Ebene, die mehrere choreografierte Schritte erfordern kann, um das Ziel des Hackers zu erreichen.

Beispiele für Spear-Phishing-Angriffe

Speer-Vishing: a Der Speer-Phishing-Angriff auf Twitter im Jahr 2020 machte Schlagzeilen, als es Hackern gelang, Tweets von mehreren hochrangigen Konten zu versenden, darunter Joe Biden, Barack Obama, Bill Gates und Elon Musk. Im Mittelpunkt des Twitter-Angriffs stand ein Phishing-Anruf (Vishing) an die anvisierten Mitarbeiter, bis einer von ihnen den Angreifern die Anmeldedaten für die internen Tools gab. Diese Zugangsdaten wurden dann verwendet, um die Privilegien auf eine höhere Ebene zu heben.

Spear-Phishing-E-Mail: Eine Spear-Phishing-E-Mail gab sich als US Department of Labor (DoL ) aus, um mehrere Organisationen anzugreifen. Das Ziel der gefälschten E-Mail war es, die Anmeldedaten für Office 365 zu stehlen. Die E-Mail basierte auf geschickt getarnten Domänen, um den Anschein zu erwecken, dass die E-Mail vom Arbeitsministerium stammte.

Außerdem gab die E-Mail vor, von einem hochrangigen Mitarbeiter des DoL zu stammen, der die Empfängerorganisation aufforderte, ein Angebot für ein Regierungsprojekt abzugeben. Wenn der Mitarbeiter auf den „Angebots-Button“ klickte, wurde er auf eine Phishing-Website weitergeleitet, auf der dann die Office 365-Anmeldedaten gestohlen wurden.

Wie Sie eine Spear-Phishing-E-Mail erkennen

Diese E-Mails sind bekanntermaßen schwer zu erkennen, einfach weil so viel Arbeit in ihre Erstellung geflossen ist. Es gibt jedoch einige Punkte, auf die Sie achten sollten, damit Ihre Mitarbeiter verräterische Anzeichen erkennen können.

1. Spear-Phishing-E-Mails nutzen häufig Autoritätspositionen aus, z. B. beim IT-Support, um einen Mitarbeiter zu einer Handlung zu zwingen, z. B. zur Eingabe eines Passworts auf einer gefälschten Webseite. Überprüfen Sie die E-Mail-Adresse des Absenders. Sie kann wie die echte aussehen, jedoch mit einigen subtilen Unterschieden.
2. Stimmt das Format der E-Mail mit dem überein, was Sie gewohnt sind? Wenn die E-Mail z. B. angeblich vom IT-Support stammt, entspricht die Art und Weise, wie sie geschrieben und formatiert ist, früheren E-Mails vom IT-Support?
3. Verlangt die E-Mail die Eingabe von zu vielen Daten oder Informationen, die unnötig erscheinen? Werden Sie beispielsweise aufgefordert, sich bei einer Cloud-Anwendung des Unternehmens anzumelden, nachdem Sie ohne zwingenden Grund auf einen Link in einer E-Mail geklickt haben – wirkt das einfach nur verdächtig?

Eine weitere Low-Tech-Maßnahme, mit der Sie einen Spear-Phishing-Vorfall verhindern können, ist die Überprüfung des vermeintlichen Absenders der E-Mail: Rufen Sie ihn an, um zu überprüfen, ob die E-Mail wirklich von ihm stammt.

Schützen Sie sich vor einer Attacke

Mehrschichtiger Schutz ist der beste Weg, um der Bedrohung durch Spear-Phishing zu begegnen. Hier sind die sechs besten Möglichkeiten, wie Sie sich und Ihr Unternehmen vor einem Angriff schützen können:

Teilen Sie nicht zu viel in den sozialen Medien

Cyberkriminelle sammeln die Informationen, die sie für die Erstellung glaubwürdiger E-Mails benötigen, aus vielen Quellen, einschließlich sozialer Medien. Führen Sie also eine Richtlinie ein, die Sie über die Gefahren einer übermäßigen Weitergabe von Daten in sozialen Medien aufklärt.

Klicken Sie nicht auf verdächtige Links in Phishing-E-Mails

Dies sollte das Mantra aller Arbeitsplätze werden. Selbst wenn ein Angestellter nach dem Klicken auf einen bösartigen Link keine Anmeldedaten eingibt, wird der Hacker wahrscheinlich wissen, wer geklickt hat, und er wird weiterhin immer raffiniertere Phishing-E-Mails an diese Organisation senden.

Verwenden Sie eine zuverlässige Authentifizierung

Es ist zwar nicht ausfallsicher, aber eine robuste Authentifizierung hilft bei einem mehrschichtigen Ansatz gegen Phishing. Erstellen Sie starke, eindeutige Kennwörter und fügen Sie MFA hinzu, wo dies unterstützt wird.

Teilen Sie niemals sensible Informationen online

Es versteht sich von selbst, dass die Weitergabe von sensiblen persönlichen oder Unternehmensdaten nicht öffentlich und online erfolgen sollte, da sie gesammelt und verwendet werden, um Mitarbeiter oder damit verbundene Zulieferer zu phishen.

Seien Sie vorsichtig und wachsam

Schulen Sie alle Mitarbeiter und Angestellten über die Taktiken der Cyberkriminellen. Sorgen Sie dafür, dass diese Schulungen regelmäßig durchgeführt werden, und verwenden Sie eine simulierte Phishing-Plattform, um simulierte Phishing-Nachrichten an die am meisten gefährdeten Mitarbeiter zu versenden.

Ermutigen Sie Mitarbeiter, Vorfälle zu melden

Sobald Sie Ihre Mitarbeiter darin geschult haben, wie sie die verräterischen Anzeichen von Phishing erkennen können, sollten Sie sie ermutigen, Vorfälle zu melden. Dies trägt dazu bei, die Widerstandsfähigkeit gegen Cyberangriffe zu erhöhen, die Einhaltung gesetzlicher Vorschriften zu gewährleisten und die notwendigen Informationen bereitzustellen, um schnell handeln zu können, bevor ein Vorfall zu einem ausgewachsenen Cyberangriff wird.