Im Jahr 2021 „nahmen Cyberkriminelle mit ihren Social-Engineering-Bemühungen weiterhin Menschen anstatt der IT-Infrastruktur ins Visier“, erklärte Cybersicherheitsstrategin Adenike Cosgrove VentureBeat. Jedoch waren diese Hacker nicht nur aktiver, sondern auch erfolgreicher darin, ihre Fische zu ködern.

Eine Hackergruppe mit dem Namen DarkSide machte in besonderem Maße auf sich aufmerksam: Es gelang ihr, vom CEO der Colonial Pipeline, Joseph Blount, 4,4 Millionen US-Dollar zu erpressen, nachdem sie Erpressersoftware in das IT-Netzwerk der Firma eingeschleust hatte. Laut dem Wall Street Journal transportiert die 5500 Meilen lange Pipeline Benzin, Diesel, Kerosin und andere raffinierte Produkte von der amerikanischen Golfküste nach Linden, New Jersey, und stellt so rund 45% des Treibstoffes für die amerikanische Ostküste bereit. Somit blieb dem Unternehmen keine wirkliche Wahl: Entweder würde es das Lösegeld zahlen müssen oder eine unerlässliche nationale Infrastruktur würde für einen unbestimmten Zeitraum stillgelegt werden.

Der Schaden war zu diesem Zeitpunkt jedoch bereits entstanden: Die Attacke, die wahrscheinlich durch ein ungeschütztes VPN-Konto verursacht worden war, hatte zu einer weitreichenden Benzinknappheit an der Ostküste geführt. Die Benzinpreise an der Zapfsäule schnellten in die Höhe und Kunden tätigten Panikkäufe in großen Mengen – selbst in Bundesstaaten, die gar nicht betroffen waren. Unter dem Strich schätzte Blount die durch den Angriff entstandenen Gesamtkosten auf mehrere zehn Millionen Dollar, da für einige Systeme Restaurierungsarbeiten über mehrere Monate hinweg nötig waren, um den Betrieb wieder aufnehmen zu können.

Ist es möglich, dass ein einzelnes unrechtmäßig erworbenes Passwort ein derartiges Chaos in einem Unternehmen, geschweige denn der amerikanischen Energieinfrastruktur ausgelöst hatte?

Absolut – da sind sich die Experten einig. Arun Vishwanath, Forscher im Bereich des „menschlichen Problems“ in Cybersicherheit, schreibt für CNN: „Erpressersoftwareangriffe erfolgen, weil es für Angreifer so einfach ist, in ein Computernetzwerk einzudringen. Sie tun dies mithilfe von sogenanntem Spear-Phishing, das Nutzer dazu verleitet, auf einen böswilligen Hyperlink oder E-Mail-Anhang zu klicken.“ Laut Verizons aktuellem Data Breach Investigations Report beinhalten 61% aller Datenschutzverletzungen den Missbrauch von Anmeldedaten. Einige Unternehmen wehren jährlich 3,3 Milliarden böswillige Anmeldeversuche ab.

In diesem Artikel werden wir einen genaueren Blick auf Spear-Phishing-Attacken werfen, eine der gängigsten – und gefährlichsten – Arten von Phishing-Attacken, und Ihnen zeigen, wie Sie sich gegen sie wappnen können.

Eine Einführung in die Klassifikation von Phishing

Was also ist Phishing?

Ein Phishing-Betrug beginnt normalerweise mit einer Spear-Phishing-E-Mail, die vorgibt, eine gewöhnliche Nachricht von einem legitimen Unternehmen zu sein, dass Sie darum bittet, Ihre persönlichen Informationen zu aktualisieren oder zu verifizieren, entweder in einer Antwort oder über die Webseite der Firma, erklären FBI-Experten. Auf den ersten Blick wird die Webadresse vertraut und die Nachricht authentisch genug erscheinen, um Sie zu überzeugen, der Aufforderung nachzukommen. Sobald Sie jedoch auf den Link geklickt haben, werden Sie auf einer gefälschten Webseite landen, deren einziger Zweck es ist, Ihre sensiblen Informationen zu stehlen – sprich Passwörter, Kreditkartennummern etc.

Falls Sie auf der Suche nach einer genauen Definition für Phishing-Attacken sind, hat das Gabler Wirtschaftslexikon eine Antwort für Sie parat: „Phishing bedeutet, dass Daten von Internetnutzern bspw. über gefälschte Internetadressen, E-Mails oder SMS abgefangen werden. Die Absicht ist, persönliche Daten zu missbrauchen und Inhaber von Bankkonten zu schädigen. Der Begriff Phishing ist angelehnt an fishing (engl. für Angeln, Fischen) in Verbindung mit dem P aus Passwort, bildlich gesprochen das Angeln nach Passwörtern mit Ködern. Begriffstypisch ist dabei die Nachahmung des Designs einer vertrauenswürdigen Website.“ Oder anders ausgedrückt: Phishing überlistet Nutzer und verleitet sie dazu, einen Fehler zu begehen, wie das Klicken auf einen Link, der Schadsoftware herunterlädt oder eine gefälschte Login-Seite öffnet.

Was die Klassifizierung angeht, fällt Phishing in die Kategorie von Social-Engineering-Angriffen. Diese Attacken nutzen Technologien, um menschliche Schwächen auszunutzen, wie Eitelkeit, Angst oder Habgier am einen und Neugier, Großzügigkeit und Mitleid am anderen Ende des Spektrums. Es ist wenig verwunderlich, dass diese Attacken sich oftmals aktuelle Ereignisse zunutze machen, warnt das BSI: neue Gesetze wie das Inkrafttreten der DSGVO, Naturkatastrophen wie das Jahrhunderthochwasser, Epidemien und Gesundheitsrisiken wie die COVID-19-Pandemie, wirtschaftliche Anliegen wie Steuerbetrug, wichtige politische Wahlen oder Feiertage.

Was ist Spear-Phishing? Eine Definition und wie es sich vom standardmäßigen Phishing unterscheidet

Phishing-Attacken heißen so, weil Hacker mithilfe von gefälschten E-Mail-Adressen, Webseiten oder gar Telefonnummern als Köder nach willkürlichen Opfern fischen. Wenn man das Wort „willkürlich“ aus dieser Gleichung entfernt, sprechen wir von Spear-Phishing. Anders ausgedrückt: Beim Spear-Phishing (engl. für Speerfischen) machen Betrüger eine bestimmte Einzelperson oder Organisation zu ihrer Zielscheibe – Qualität statt Quantität. Sie können sich das wie das Verwenden eines Speers zum Fangen eines einzelnen hochwertigen Fisches vorstellen, anstatt des Auswerfens eines Netzes über einen willkürlichen Schwarm Fische, in der Hoffnung, dass einige von ihnen im Netz landen.

Was diese Art von Phishing-Attacken so effektiv macht, ist, dass Spear-Phishing-Betrüger keine Zeit und Mühen scheuen, wenn es darum geht, ihre Hausaufgaben zu machen: Sie sind bekannt dafür, Nachrichteninhalte zu erstellen, die für die Empfänger extrem relevant sind, und diese wie legitime Anfragen von vertrauenswürdigen Quellen, wie Familie, Freunde, Mitarbeiter oder Partnerunternehmen, aussehen zu lassen. Sie erreichen dies gewöhnlich, indem sie Informationen zu den persönlichen und beruflichen Beziehungen des anvisierten Opfers aus sozialen Netzwerken, den Nachrichten und Datenpannen beziehen.

Je nach Art und Größe des Fisches, den die Angreifer fangen wollen, lassen sich Spear-Phishing-Attacken in weitere Kategorien unterteilen: Whaling-Angriffe und Business Email Compromise (BEC). Whaling-Angreifer sind auf der Jagd nach großen Fischen, wie einem CEO oder Vorstandsmitglied. Im Gegensatz dazu geben Betrüger, die Business Email Compromise einsetzen, sich selbst als großer Fisch aus, um Unternehmen übers Ohr zu hauen, indem sie Einzelpersonen mit Zugriff auf sensible Informationen, wie Mitarbeiter der Kreditorenabteilung, dazu bringen, ihnen Geld zu überweisen.

Das Geduldsspiel – oder wie Spear-Phishing funktioniert

Das Endziel von Spear-Phishing-Betrügern besteht darin, Zugriff auf vertrauliche oder sensible Informationen zu gewinnen, um diese für ihre Zwecke zu missbrauchen. Und was ist ihr Motto? Je größer das Opfer, desto größer der Gewinn. Im Jahr 2015 musste der amerikanische Spielwarenhersteller Mattel dies auf die harte Tour lernen, nachdem ein ausgiebig geplanter Whaling-Angriff ein klaffendes Loch in seiner Geldbörse hinterließ.

Laut dem InfoSec Institute hatten die Cyberkriminellen, die hinter diesem klassischen Beispiel für eine Spear-Phishing-Attacke steckten, geduldig in den gigantischen Computernetzwerken des Spielzeugfabrikanten ausgeharrt, um dessen interne Verfahren und Protokolle, betriebliche Hierarchie, Lieferanten und sogar die Persönlichkeiten von Mitarbeitern zu studieren, bevor sie zuschlugen. So gelang es ihnen nicht nur, in diesem Zeitraum höchst sensible Informationen zu erbeuten, sondern auch, den perfekten Augenblick für den Angriff auszuwählen.

Dieser kam, als mit der Ernennung eines neuen CEO, Christopher Sinclair, ein perfekter Sturm aufzog. Da alle Mitglieder der Führungsriege darum bemüht waren, ihren neuen Chef zu beeindrucken, und Pläne für eine umfangreiche Expansion in China öffentlich bekannt wurden, erweckte eine E-Mail von Sinclair, in der er eine hochrangige Führungskraft um die gemeinschaftliche Genehmigung einer Zahlung an einen lokalen Zulieferer bat, kein Misstrauen. Insgesamt wurden 3 Millionen US-Dollar an die Wenzhou-Bank in China überwiesen und niemals zurückerhalten.

Ihr Kommunikationssystem bietet keine Hintertüren für Hacker?

„Wenn jemand sein LinkedIn-Profil aktualisiert und angibt, dass er oder sie Kaufman Rossin beigetreten sind, wird die Person innerhalb weniger Stunden oder gar Minuten eine E-Mail von unserem CEO erhalten – nicht von seiner Kaufman-Rossin-E-Mail-Adresse, sondern von gmail.com oder dergleichen. Darin wird die Person um den Kauf von Geschenkgutscheinen oder Ähnlichem gebeten“, sagt Jorge Rey, CISO für Kaufman Rossin, im Gespräch mit CSO Online. Bei dem tatsächlichen Sender handelt es sich selbstverständlich nicht um den CEO, sondern um einen Hacker, der versucht, neue und unbedarfte Mitarbeiter auszutricksen – wahrscheinlich mit Unterstützung von Bots, die LinkedIn fortwährend nach neuen Möglichkeiten für Angriffe durchscannen.

Wie können Sie sich gegen Spear-Phishing-Angriffe verteidigen?

Um diese Frage zu beantworten, müssen wir zur Definition von Phishing zurückkehren. Wie wir bereits festgestellt haben, verwenden Phishing-Attacken Technologien, um unsere menschlichsten Züge auszunutzen. Daher hilft es als Schutz vor Spear-Phishing, sowohl die technologischen als auch die menschlichen Aspekte von Cybersicherheit zu berücksichtigen.

In seinem Op-ed-Artikel rät Vishwanath: „Der einzige Weg, um Spear-Phishing – und somit auch Ransomware – zu stoppen, besteht darin, das anzugehen, was wir bisher ignoriert oder als bloßes Lippenbekenntnis abgelegt haben: der Nutzer. Wir benötigen mehr als nur Kampagnen für Medienkompetenz. Denn inzwischen ist sich jeder Nutzer über Phishing im Klaren. Außerdem unterrichtet der Großteil unserer aktuellen Schulungen die Nutzer über bereits erfolgte Angriffe und nicht über die Angriffe, die zukünftig eintreten können – denn niemand, nicht einmal IT-Facharbeiter, wissen, wie diese aussehen werden.“

Aus genau diesem Grund gehen wir bei Tresorit darüber hinaus, unsere Kunden einfach nur mit immer fortschrittlicheren technologischen Tools auszurüsten. Unser Ziel ist es, Lösungen zu schaffen, die es Unternehmen ermöglichen, eine Unternehmenskultur zu erzeugen, die Hackern, Phishing-Betrügern und dergleichen das Leben schwer macht. Wenn beispielsweise Firmenverfahren und protokolle bei der Zusammenarbeit die Verwendung sicherer Links für den Datentausch vorschreiben, werden Mitarbeiter darin geschult, das Vorhandensein von E-Mail-Anhängen automatisch zu hinterfragen.

E-Mail-Bedrohungen abwenden: menschliche und technologische Lösungen

In unseren vorherigen Beiträgen zu Clone-Phishing und Phishing-Links haben wir einige einfache Daumenregeln mit Ihnen geteilt, mit denen Sie vermeiden können, Phishing-Attacken zum Opfer zu fallen. Lassen Sie uns die wichtigsten Punkte noch einmal wiederholen. Seien Sie stets auf der Hut, wenn Sie Folgendes entdecken:

1. Der Name oder die E-Mail-Adresse des Senders stimmen nicht: Bewegen Sie Ihren Mauszeiger über das Absender-Feld der Nachricht, um zu sehen, ob der Name oder die E-Mail-Adresse des Senders auf irgendeine Weise geändert wurde.
2. Nicht übereinstimmende URLs: Selbst wenn der Sender und der Inhalt der E-Mail seriös erscheinen, sollten Sie Ihren Mauszeiger über alle Links bewegen, zu deren Klicken Sie aufgefordert wurden, um zu sehen, ob diese wirklich dorthin führen, wohin sie Sie zu führen vorgeben.
3. Bitte um sensible Informationen via E-Mail: Legitime Unternehmen werden Sie niemals darum bitten, sensible Daten über einen Link zu teilen – und schon gar nicht als Antwort auf ihre ursprüngliche Nachricht.
4. Ungewöhnlicher Umgangston: Die Identität eines Senders lässt sich sehr viel einfacher fälschen als dessen Persönlichkeit. Richten Sie Ihr Augenmerk auf Grußformeln, Umgangston und Schreibfehler, die für den angeblichen Sender ungewöhnlich sind.
5. Handlungsdruck: Phishing-Betrüger verwenden oftmals Betreffzeilen wie „Aufforderung“, „Follow-up“, „Dringend“ oder „Sind Sie an Ihrem Arbeitsplatz?“, um Opfer zum Handeln zu bewegen, ohne vorher nachzudenken.
6. Anhänge, wo keine Anhänge sein sollten: Falls Sie ein Tool für die Zusammenarbeit wie Tresorit oder Microsoft Teams nutzen, sind Anhänge in internen E-Mails mit Vorsicht zu genießen.

Sollten Sie dennoch ein Dokument mit jemandem geteilt haben, mit dem Sie es nicht hätten teilen sollen, gestatten Tresorits sichere Links es Ihnen, den Zugriff auf die fälschlicherweise gesendeten Dateien zu sperren. Zusätzlich können Analysen genutzt werden, um abzuschätzen, wie viel von dem Inhalt des Dokuments vom Empfänger gelesen wurde. Wenn Sie traditionelle Anhänge verwenden, befinden sich die Daten außerhalb Ihrer Kontrolle, sobald die E-Mail gesendet wurde.

Darüber hinaus beinhalten Tresorits Lösungen für einen sicheren Arbeitsplatz nun ein E-Mail-Encryption-Tool, das Ende-zu-Ende-Verschlüsselung für elektronische Nachrichten und Anhänge verfügbar macht. Dazu muss lediglich der Sender über ein Tresorit-Konto verfügen. Das Tool sorgt dafür, dass gesendete und als Antwort erhaltene E-Mails und Anhänge denselben Schutz durch Ende-zu-Ende-Verschlüsselung haben, der auch für Tresorits Cloudspeicher- und Datentausch-App genutzt wird. So können diese von niemandem – mit Ausnahme des Senders und befugten Empfängers – gelesen werden.

Haben wir Ihr Interesse geweckt? Hier können Sie mehr über unser neuestes E-Mail-Encryption-Feature erfahren und es testen oder unsere Lösungen für einen sicheren Workspace erkunden.