Blog
Informativ, aktuell und spannend - der Oneconsult Cybersecurity Blog.
Was ist Spear-Phishing? – Definition und Prävention

In der digitalen Welt sind wir tag täglich verschiedenen Bedrohungen ausgesetzt. Einer der raffiniertesten und effektivsten Angriffe ist Spear Phishing. Im Gegensatz zu regulären Phishing-Angriffen, bei denen Cyber-Kriminelle Massen-E-Mails verschicken, in der Hoffnung, einige wenige Nutzer zu täuschen, zielt Spear Phishing auf bestimmte Individuen oder Organisationen ab.

Durch detaillierte Recherche kreieren Angreifer überzeugende Täuschungsmanöver, die oft nur schwer zu durchschauen sind. Dieser Artikel führt Sie in die Welt des Spear Phishings ein, erläutert die Mechanismen, die hinter solchen Angriffen stecken, und zeigt, wie sowohl technische als auch menschliche Präventionsmassnahmen zum Schutz vor diesen Bedrohungen beitragen können.

Spear Phishing

Was ist Spear Phishing?

Wer kennt das nicht? Eine E-Mail taucht unerwartet im Posteingang auf: „Sehr geehrte Kundin, sehr geehrter Kunde, bitte aktualisieren Sie Ihre Bankdaten, um zukünftige Zahlungen zu gewährleisten.“ Oder vielleicht: „Im Rahmen Ihrer Steuererklärung haben wir Unregelmässigkeiten festgestellt. Bitte klicken Sie auf den folgenden Link…“ Solche Nachrichten sind oft gefälscht und gehören zur Kategorie des Phishings. In vielen Fällen sind diese Versuche relativ leicht zu durchschauen, so handelt es sich vielleicht um eine Bank, bei welcher man gar nicht Kunde ist, oder es ist das Steueramt eines Landes, in dem man nie gewohnt hat.

Vorstellen kann man sich das Ganze wie beim echten Fischen: Ein Betrüger wirft einen Köder (in diesem Fall die irreführende Nachricht) ins Wasser, in der Hoffnung, dass ein Fisch (also wir, die Endbenutzer) anbeisst. In einem ähnlichen Szenario werfen sie ein Netz aus, in der Hoffnung, so viele Fische wie möglich auf einmal zu fangen. Diese Massen-E-Mails sind oft allgemein gehalten, da sie an Tausende von Menschen gesendet werden.

Doch es gibt eine raffiniertere Form des Phishings, das sogenannte Spear Phishing. Hierbei kann man sich das Szenario so vorstellen, als würde ein Fischer gezielt nach einem bestimmten (vielleicht besonders grossen oder wertvollen) Fisch Ausschau halten und mit einem gezielten Speerwurf versuchen, genau diesen einen Fisch zu fangen. Im digitalen Ozean ist dieses gezielte „Angeln“ noch viel gefährlicher, da es oft individuell und spezifisch gestaltet wird.

Spear Phishing ist, kurz gesagt, ein gezielter Phishing-Angriff auf eine bestimmte Person oder Organisation. Anstatt wahllos Tausende von E-Mails an potenzielle Opfer zu senden, haben die Angreifer hier oft eine genaue Vorstellung davon, wen sie ins Visier nehmen wollen.

Das Prinzip des Spear Phishings

Ein zentrales Werkzeug, das von Spear Phishern verwendet wird, ist das sogenannte OSINT – Open Source Intelligence. Hierbei handelt es sich um die Sammlung von Informationen aus öffentlich zugänglichen Quellen. Das kann so simpel sein wie das Stöbern auf Social-Media-Plattformen wie Facebook oder LinkedIn, das Durchsuchen von Firmenwebseiten oder das Lesen von Blogs.

Mit OSINT erhalten Angreifer oft genau die Information, die sie brauchen, um ihre Angriffe zu personalisieren. Hier ein paar Spear-Phishing-Beispiele:

  • Familienbindung und Geburtstage: Ein Angreifer könnte zum Beispiel die Familienmitglieder eines Opfers und deren Geburtstage auf Facebook herausfinden. Mit diesen Informationen kann eine falsche Persona erstellt und eine gefälschte Geburtstagseinladung verschickt werden, um das Opfer zu täuschen.
  • Teilnahme an Konferenzen: LinkedIn ist voll von wertvollen Informationen für Spear Phisher. Ein Beispiel: Ein Opfer postet über die Teilnahme an einer Konferenz. Der Angreifer sucht nach einem prominenten Redner auf dieser Konferenz, erstellt eine gefälschte E-Mail von dieser Person und schreibt dem Opfer, vielleicht mit einem „zusätzlichen Handout“ oder einer Präsentation im Anhang oft mit schädlicher Software.
  • Engagement in Non-Profit-Projekten: Angenommen, jemand engagiert sich in einem privaten Projekt für eine Non-Profit-Organisation und postet darüber. Ein Angreifer könnte diese Information nutzen, sich als Interessent oder Sponsor ausgeben und versuchen, auf diese Weise vertrauliche Informationen oder sogar Geld zu erlangen.

Es ist wichtig zu betonen, dass Spear Phishing nicht nur über E-Mails erfolgt. Angreifer nutzen auch Telefonanrufe, Messaging-Apps und sogar direkte soziale Interaktionen.

10 Methoden zur Vorbeugung von Spear Phishing

Die Flut von digitalen Bedrohungen wächst stetig, und Spear Phishing stellt dabei eine besonders kritische Herausforderung dar. Doch auch hier gibt es Mittel und Wege, um sich zu schützen. Zunächst gibt es verschiedene technische Lösungen:

  • 1. E-Mail-Authentifizierungsverfahren

Moderne E-Mail-Systeme nutzen Technologien wie DKIM, SPF und DMARC, um gefälschte E-Mails, einschliesslich Spear-Phishing-Versuche, zu identifizieren und abzuwehren. Diese Mechanismen tragen dazu bei, die illegale Verwendung fremder Domänen zum Versenden von E-Mails zu unterbinden.

  • DKIM (DomainKeys Identified Mail): Mit einem digitalen Signaturschlüssel wird die Authentizität und Integrität der E-Mail bestätigt. Dies hilft den Empfängern zu überprüfen, dass die E-Mail tatsächlich von der angegebenen Domäne stammt und während der Übertragung nicht verändert wurde. Unternehmen setzen DKIM ein, um ihre E-Mail-Reputation zu schützen und zu gewährleisten, dass ihre E-Mails als legitim erkannt werden.
  • SPF (Sender Policy Framework): Legt fest, welche Mailserver autorisiert sind, E-Mails im Namen einer Domäne zu versenden. Dieses Verfahren hilft, gefälschte Absenderadressen zu identifizieren, und bietet eine Grundlage, um den Ursprung von E-Mails zu verifizieren. Die Empfänger müssen ihre E-Mail-Server entsprechend konfigurieren, um SPF-Überprüfungen durchzuführen.
  • DMARC: Integriert DKIM und SPF, um eine konsistente Handhabung von nicht authentifizierten E-Mails zu ermöglichen. Durch DMARC können Unternehmen Richtlinien festlegen, wie mit E-Mails umgegangen werden soll, die die DKIM- und/oder SPF-Prüfungen nicht bestehen. Zusätzlich ermöglicht DMARC den Versand von Berichten über die Authentifizierungsergebnisse, wodurch Unternehmen Einsicht in den Missbrauch ihrer eigenen Domäne erhalten.

Die genannten Technologien sind wirksam, um den Missbrauch legitimer Domänen zu verhindern. Sie setzen voraus, dass sowohl sendende als auch empfangende Mailserver korrekt konfiguriert sind. Beim Eingang von E-Mails hängt die Wirksamkeit dieser Mechanismen davon ab, ob der Absender die DNS-Einträge richtig gesetzt hat. Allerdings schützen sie nicht vor Angriffen, bei denen Angreifer eigene oder täuschend ähnliche Domänen verwenden und die entsprechenden Authentifizierungsmechanismen konfigurieren.

  • 2. E-Mail-Banner-Warnung: Neben der automatischen Filterung sollte man die Benutzer auch möglichst deutlich darauf hinweisen, wenn es sich um externe E-Mails handelt. Durch das Hinzufügen von Warnbannern im Body oder im Betreff externer E-Mails, werden die Empfänger darauf hingewiesen, dass die E-Mail von ausserhalb der Organisation kommt.
  • 3. Anti-Phishing-Lösungen: Diverse Software-Angebote bieten spezielle Schutzmechanismen gegen Phishing, indem sie beispielsweise Webseiten in Echtzeit analysieren oder den Datenverkehr überwachen. Beispiele hierfür sind Netcraft Anti-Phishing Toolbar oder RSA FraudAction Phishing Protection.
  • 4. Proxy/Firewall-Filter: Durch die Einrichtung von Proxy- und Firewall-Filtern, einschliesslich DNS-Filterung, können bekannte Phishing-Websites und andere schädliche Domains blockiert werden. Diese Filter können auch den Zugriff auf nicht autorisierte externe E-Mail-Server unterbinden, wodurch das Risiko von Phishing-Angriffen weiter reduziert wird.
  • 5. Endpoint Protection: Moderne Endpoint-Protection-Lösungen bieten integrierte Phishing-Erkennung und -Abwehr. Diese Technologie kann verdächtige Links und Anhänge in E-Mails identifizieren und blockieren, sowie die Nutzer warnen, bevor sie auf möglicherweise schädliche Inhalte zugreifen.

Während die technischen Lösungen für simples Phishing sinnvoll sind, wird im Spear Phishing mehr Zeit darauf verwendet, genau diese Schutzmassnahmen zu umgehen. Letztendlich kommt es also vor allem beim Spear Phishing auf den menschlichen Faktor an. Das bedeutet:

  • 6. Kritische Betrachtung: Jede externe Nachricht sollte mit einem gewissen Mass an Skepsis betrachtet werden. Dies gilt besonders bei externen E-Mails. Eine wichtige erste Frage, die Sie sich stellen sollten, ist: Habe ich diese Nachricht erwartet? Macht der gewählte Kanal für die Kontaktaufnahme Sinn? Überprüfen Sie den Absender ebenfalls sorgfältig: Stimmt die E-Mail-Adresse und die Absenderdomäne? Gibt es vielleicht Unstimmigkeiten in den verwendeten Zeichen, zum Beispiel eine 0 (Null) statt ein O (Buchstabe). Werfen Sie auch einen genauen Blick auf den Inhalt der Nachricht: Ist der Tonfall ungewöhnlich? Werden dringende Handlungen oder sensible Daten verlangt?
  • 7. Vorsicht bei Links und Anhängen: Klicken Sie nicht auf URLs und öffnen Sie keine Anhänge, wenn Sie sich über deren Herkunft nicht sicher sind. Beim Überfahren eines Links mit der Maus (Hovern) wird die Ziel-URL häufig angezeigt. Das kann helfen, die Legitimität des Links zu überprüfen und mögliche Phishing-Angriffe zu erkennen. Dennoch ist Vorsicht geboten, da URL Shortener oder andere Tools verwendet werden können, um die wahre Adresse zu verbergen, wodurch es schwieriger wird, die Zielwebsite zu identifizieren.
  • 8. Direkte Kommunikation: Wenn Sie sich immer noch unsicher sind, gehen Sie direkt auf die Person zu – aber nicht über den Kontakt in der fraglichen E-Mail. Nutzen Sie stattdessen offizielle Kontaktwege, die Sie bereits kennen.
  • 9. Begrenzung der öffentlichen Informationen: Seien Sie vorsichtig mit den Informationen, die Sie online teilen. Überlegen Sie sorgfältig, welche persönlichen Daten wie zum Beispiel Adresse, Telefonnummer oder Geburtsdatum Sie öffentlich zugänglich machen.
  • 10. Bildung und Training: Regelmässige Schulungen und Aufklärungskampagnen können das Bewusstsein für solche Angriffe schärfen und Mitarbeiter darin trainieren, potenzielle Bedrohungen besser zu erkennen.

Abschliessend lässt sich sagen: In der Welt des digitalen „Fischens“ ist Vorsicht besser als Nachsicht. Ein geschultes Auge und die richtigen technischen Voraussetzungen können dabei helfen, den digitalen Ozean sicherer zu durchqueren.

Fazit

Spear Phishing ist eine raffinierte und gezielte Methode des Phishing-Angriffs, bei dem spezifische Individuen oder Organisationen ins Visier genommen werden. Die Gefahr dieses Ansatzes liegt in der Personalisierung und der Nutzung öffentlich zugänglicher Informationen, um den Angriff überzeugender zu gestalten. Technische Lösungen wie E-Mail-Filter und spezielle Sicherheitssoftware können zwar einen wertvollen Schutz bieten, doch der menschliche Faktor ist entscheidend.

Die Aufklärung und Schulung von Einzelpersonen und Mitarbeitenden in Organisationen ist ein entscheidender Schutzmechanismus gegen diese Art von Angriffen. Die Entwicklung einer kritischen und vorsichtigen Herangehensweise an digitale Kommunikation, insbesondere an E-Mails, ist unerlässlich. Das kritische Hinterfragen von E-Mail-Inhalten, die Überprüfung von Absenderinformationen und das Vermeiden von Klicks auf unbekannte Links oder Anhänge spielen hierbei eine entscheidende Rolle.

Oneconsult bietet verschiedene Möglichkeiten, ihre Resilienz auf Phishing zu testen. Das Penetration Testing Team hilft Ihnen, Sicherheitslücken in Ihrem Mailsystem zu finden und Massnahmen zu implementieren oder durch kontrollierte Phishing-Kampagnen die Mitarbeitenden zu sensibilisieren. In der Cyber Security Academy können Mitarbeitende zu verschieden Security-Themen geschult werden, wie beispielsweise beim Cyber Security Awareness Referat.

Über Ihre unverbindliche Kontaktaufnahme freuen wir uns:

Publiziert am: 08.11.2023

Teilen

Nie mehr Aktuelles über Cyber-Security-Themen verpassen? Dann abonnieren Sie jetzt unseren Newsletter

Autor

Jonas Friedli ist Penetration Tester bei Oneconsult. Neben seinem Bachelorabschluss in Informatik ist er OSSTMM Professional Security Tester und Burp Suit Certified Professional.

LinkedIn

Nichts verpassen! Melden Sie sich für unseren kostenlosen Newsletter an.

Ihre Sicherheit hat höchste Priorität – unsere Spezialisten unterstützen Sie kompetent.

Erreichbarkeit von Montag bis Freitag 08.00 – 12.00 Uhr und 13.00 – 17.00 Uhr (Ausnahme: Kunden mit SLA – Bitte über die 24/7 IRR-Notfallnummer anrufen).

Privatpersonen wenden sich bitte an Ihren IT-Dienstleister des Vertrauens oder die lokale Polizeidienststelle.

Weitere Informationen zu unseren DFIR-Services finden Sie hier:

QR_CSIRT_2022@2x
CSIRT zu den Kontakten hinzufügen