Spear-Phis­hing

Lese­dau­er 3 Minu­ten

Spear-Phis­hing ist im Prin­zip die per­fi­de Ver­fei­ne­rung einer Phis­hing-Mail und die­se hat bekannt­lich schon genug nega­ti­ve Fol­gen sowie einen even­tu­ell immensen Scha­den für ein Unter­neh­men. Daher ist die Auf­klä­rung hier­zu auch im Rah­men von Schu­lun­gen zum Daten­schutz ein sinn­vol­ler Bestand­teil und Mit­ar­bei­ter ler­nen dabei die­se zu erken­nen. Denn die bis­he­ri­gen ein­deu­ti­gen Merk­ma­le wie eine unper­sön­li­chen Anre­de, Recht­schreib­feh­ler und die Auf­for­de­rung zur schnel­len Hand­lung sind beim Spear-Phi­sing nicht zu fin­den. Im Gegen­teil, die Angrif­fe beinhal­ten Infor­ma­tio­nen, wel­che sich expli­zit auf ein­zel­ne Beschäf­tig­te oder klei­ne­re Grup­pen von Mit­ar­bei­tern beziehen.

Geziel­te Angriffe

Die­se genau­er abge­stimm­te Art des Inhal­tes ist der größ­te Unter­schied zwi­schen dei­ner Phis­hing-Mail und dem Spear-Phis­hing, da die Inhal­te der ver­sand­ten E‑Mail genau auf die Emp­fän­ger ange­passt sind. Dazu neh­men sich Cyber­kri­mi­nel­le viel Zeit und die­ses sogar teil­wei­se über meh­re­re Mona­te, um die poten­zi­el­len Opfer aus­zu­spio­nie­ren und die indi­vi­du­el­len Gewohn­hei­ten und Prä­fe­ren­zen ken­nen­zu­ler­nen. Angriffs­ziel sind dabei meis­tens hoch­ran­gi­ge Beschäf­tig­te, wel­che über erwei­ter­te Zugriffs­rech­te verfügen. 

Infor­ma­tio­nen über die­ses Beschäf­tig­ten sind meis­ten über die sozia­len Medi­en und ande­ren öffent­li­chen Quel­len (z. B. die vom Opfer erstell­ten Bewer­tun­gen ande­rer Unter­neh­men) ver­füg­bar und las­sen sich so leicht sam­meln. Anhand der erwor­be­nen Infor­ma­tio­nen sind Nach­rich­ten dann so for­mu­liert, dass die Inhal­te auf den ers­ten Blick authen­tisch wir­ken. Doch Spear-Phis­hing beschränkt sich nicht allein auf E‑Mails son­der Phis­hing-Nach­rich­ten las­sen sich auch über ande­re Kom­mu­ni­ka­ti­ons­we­ge wie zum Bei­spiel sozia­le Medi­en versenden.

Maß­ge­schnei­der­ter Nachricht

In einer solch maß­ge­schnei­dert for­mu­lier­ten Nach­richt geben sich die Betrü­ger dann als Online-Händ­ler, Ver­tre­ter eines Finanz­in­sti­tuts, Geschäfts­part­ner, Bekann­te, Vor­ge­setz­te oder Kol­le­gen aus. Zudem machen sie auf per­sön­li­che Infor­ma­tio­nen oder aktu­el­le Ent­wick­lun­gen im Unter­neh­men auf­merk­sam, um das Ver­trau­en des Emp­fän­gers zu gewin­nen. Zusätz­lich zu den vor­be­zeich­ne­ten Mit­teln beinhal­ten die­se psy­cho­lo­gi­sche Tricks, damit der Adres­sat wich­ti­ge Daten preisgibt.

Dazu gehört der Respekt vor Auto­ri­tä­ten. Hier wird der Beschäf­tig­te zu einem Han­deln wie der Vor­nah­me einer Zah­lung auf­ge­for­dert. Dazu wird die E‑Mail übli­cher­wei­se im Namen eines Vor­ge­setz­ten oder eines Vor­stands­mit­glieds ver­sandt. Aber es wird auch an die Hilfs­be­reit­schaft appel­liert, hier erhält das Opfer eine Nach­richt von einem angeb­li­chen Bekann­ten eines Kol­le­gen, der um Hil­fe bei der Lösung eines Pro­blems bit­tet und bei­gefügt ist dabei ein Anhang oder ein Link, der eine Schad­soft­ware ent­hält, die den Rech­ner und das Sys­tem unbe­merkt infi­ziert. Aber auch Zeit­druck wird als Ein­falls­tor genutzt. Beschäf­tig­te sol­len dann bei einem zeit­kri­ti­schen Pro­jekt dem angeb­li­chen Pro­jekt­lei­ter Infor­ma­tio­nen über­sen­den, die bei­gefüg­te Datei beinhal­tet eine Schadsoftware.

Künst­li­che Intel­li­genz (KI) erleich­tert den Hackern zudem die Phis­hing-Angrif­fe, da die Betrü­ger mit ihrer Hil­fe schnel­ler an die im Netz ver­öf­fent­lich­ten Infor­ma­tio­nen über mög­li­che Emp­fän­ger gelan­gen. Zudem kön­nen Tools wie ChatGPT das Ver­hal­tens­mus­ter einer Per­son ver­ste­hen und glaub­wür­dig wir­ken­de Nach­rich­ten verfassen.

Spear-Phis­hing-Angrif­fe verhindern

Soft­ware-Updates und Audits sowie Pene­tra­ti­ons­tests sind ein wesent­li­cher Bestand­teil gegen Angrif­fe durch Spear-Phi­sing. Aber auch hier ist und bleibt der Mensch die größ­te Schwach­stel­le. Daher ist es unab­ding­bar, die Beschäf­tig­ten zu schu­len und dadurch auch für die­ses The­ma im Arbeits­all­tag zu sen­si­bi­li­sie­ren. Zudem sol­len mög­lichst kei­ne poten­zi­ell sen­si­blen Infor­ma­tio­nen über inter­ne Pro­zes­se, die inter­ne Unter­neh­mens­struk­tur oder Ver­ant­wort­lich­kei­ten öffent­lich zugäng­lich sein. Der Ein­satz einer Zwei-Fak­tor-Authen­ti­fi­zie­rung kann hilf­reich sein, unbe­rech­tig­te Zugrif­fe zu ver­hin­dern, ins­be­son­de­re wenn im Rah­men von erfolg­rei­chen Phis­hing-Angrif­fen Anmel­de­da­ten erbeu­tet sind.

Eine regel­mä­ßi­ge Über­prü­fung der Wirk­sam­keit imple­men­tier­ten Maß­nah­men zur Infor­ma­ti­ons­si­cher­heit und die Sen­si­bi­li­sie­rung der Mit­ar­bei­ter sind ein wirk­sa­mes Mit­tel um den mög­li­chen Scha­den im Fal­le von erfolg­rei­chen Phis­hing-Angrif­fen zu verringern.

Also las­sen Sie sich gut beraten.