Was ist Spear Phishing?
Spear Phishing ist ein gezielter Phishing-Angriff, bei dem Einzelpersonen, Organisationen oder Unternehmen per E-Mail oder sonstiger elektronischer Nachricht zur Preisgabe persönlicher Informationen bewegt werden. Was Spear Phishing besonders gefährlich macht, ist, dass die Nachrichten speziell beschaffen sind, um möglichst authentisch zu wirken, sodass der Eindruck entsteht, sie stammen von einem vertrauenswürdigen Absender.
Wie funktioniert Spear Phishing?
Ein Spear-Phishing-Angriff beginnt damit, dass der Täter sich ein bestimmtes Ziel aussucht und dessen persönliche Daten wie z. B. den Arbeitgeber, Freunde, die Heimatstadt und zuletzt getätigte Online-Einkäufe recherchiert. Mit diesen gesammelten Informationen kann sich der Angreifer als vertrauenswürdiger Absender tarnen und eine realistisch aussehende Nachricht verfassen, die nur zum Schein vom Arbeitgeber, einem Freund oder einem bekannten Unternehmen stammt.
Warum ist Spear Phishing so effektiv?
Spear Phishing ist so wirksam, weil die Opfer ganz gezielt mit sehr glaubwürdig wirkenden Nachrichten angesprochen werden. Selbst die besten Cybersicherheits-Protokolle können keine E-Mails von bekannten Kontakten abwehren. Man sollte meinen, dass es ganz einfach ist, einen Spear-Phishing-Angriff zu enttarnen, aber täuschen Sie sich nicht: Solche Nachrichten können sehr überzeugend sein.
Was die Wirksamkeit von Spear Phishing angeht, spielen Social-Engineering-Taktiken eine überragende Rolle. Bei erfolgreichen Angriffen machen die Nachrichten einen so überzeugenden Eindruck, dass das Opfer leicht auf den Trick hereinfällt. So können zum Beispiel die verwendeten Designelemente sehr authentisch wirken, und die Absenderadressen können echte E-Mail-Adressen sein – nämlich dann, wenn sich der Täter eigens für den Spear-Phishing-Angriff mittels Identitätsdiebstahl die E-Mail-Adresse eines weiteren Opfers angeeignet hat.
Beim Spear Phishing ist es häufig so, dass eine scheinbar ganz normale Nachricht vom E-Mail-Konto des Mitarbeiters oder gar des Firmenchefs eines namhaften Unternehmens versendet wird. Manchmal ist eine solche harmlos wirkende Mail auch als Benachrichtigung einer bekannten App wie Microsoft Teams oder Google getarnt. In beiden Fällen wird das potenzielle Opfer direkt angesprochen und enthält die Nachricht persönliche Informationen.
Ab hier funktioniert das Ganze dann wie ein ganz gewöhnlicher Phishing-Angriff. Die Nachricht enthält einen schädlichen Link oder Anhang sowie drängende Formulierungen wie „Bitte umgehend prüfen“ oder „Ihr Konto wird gelöscht, wenn Sie nicht unverzüglich handeln“. Diese Dringlichkeit führt dazu, dass sich die Opfer nur auf das Anliegen konzentrieren und ihnen entgeht, dass etwas nicht mit rechten Dingen zugehen könnte.
Wie viele Einzelpersonen oder Unternehmen täglich Opfer eines Spear-Phishing-Angriffs werden, ist nicht bekannt. Einem Bericht zufolge waren im Jahr 2019 88 % aller befragten Unternehmen einem Spear-Phishing-Angriff ausgesetzt, die meisten sogar mehr als 10 Mal.
Beispiele für Spear-Phishing-Angriffe
Von Spear Phishing sind große und kleine Unternehmen gleichermaßen betroffen, und auch bekannte Einzelpersonen werden häufig zum Ziel. Vor Spear Phishing ist niemand gefeit – auch nicht Twitter-Mitarbeiter oder Jeff Bezos.
Facebook und Google
Einer der größten Spear-Phishing-Angriffe hatte zwei der weltweit größten Tech-Unternehmen zum Ziel: Facebook und Google. Der Angreifer gab sich als Mitarbeiter von Quanta aus, einem taiwanesischen Lieferanten sowohl von Facebook als auch von Google, und verschickte gefälschte Rechnungen, die von den Finanzabteilungen schließlich auch bezahlt wurden.
So konnte er 100 Millionen USD erbeuten, bevor der Schwindel aufflog. Dank ihrer gewaltigen Ressourcen konnten die Tech-Giganten den Angreifer ausfindig machen und strafrechtlich verfolgen lassen, sodass sie fast die Hälfte der gestohlenen Gelder zurückerhielten.
Ubiquiti Networks
Im Jahr 2015 wurde Ubiquiti Networks, Hersteller von Netzwerkkomponenten, bei einem Spear-Phishing-Angriff um 46,7 Millionen USD betrogen. Die Angreifer, die es auf die Finanzabteilung abgesehen hatten, gaben sich als Mitarbeiter aus und stellten betrügerische Forderungen. Das Unternehmen konnte zwar einen Teil der gestohlenen Summe wiedererlangen, das meiste war allerdings verloren.
Twitter
Im Jahr 2020 wurden im Zuge eines Spear-Phishing-Betrugs die Konten berühmter Twitter-Nutzer wie Jeff Bezos, Elon Musk und Kanye West gehackt. Die Hacker hatten sich als IT-Kräfte ausgegeben und die Twitter-Mitarbeiter dazu gebracht, ihnen die Sicherheitsanmeldedaten für ein unternehmensinternes Tool auszuhändigen, mit dem sie bei mehr als 45 Benutzerkonten die Passwörter und die Methode der Zwei-Faktor-Authentifizierung zurücksetzen konnten.
Über die geknackten Konten haben die Hacker dann Nachrichten abgesetzt, die den Followern versprachen, dass sie beim Senden von Bitcoins an ein bestimmtes Konto die doppelte Menge zurückerhalten würden. Da diese Tweets von den verifizierten Twitter-Konten prominenter Persönlichkeiten ausgingen, wurden einige Benutzer so erfolgreich um einige Bitcoins ärmer gemacht.
Epsilon
Im Jahr 2011 wurde der australische Internetdienstanbieter Epsilon Opfer eines Spear-Phishing-Angriffs. Die gefälschten E-Mails waren an für E-Mails zuständige Mitarbeiter gerichtet und führten dazu, dass die Angreifer auf mehrere Hundert E-Mail-Adressen von Kunden zugreifen und die Sicherheitssysteme des Unternehmens kompromittieren konnten. Es folgten mehrere weitere Spear-Phishing-Angriffe. Zu den Opfern gehörten Dutzende Kunden von Epsilon.
Betrug im Zusammenhang mit der Zusammenarbeitsfunktion von Google Drive
Im Jahr 2020 kam es zu einem Spear-Phishing-ähnlichen Betrug bei Google, wobei dieses Mal einzelne Benutzer und nicht das Unternehmen an sich betroffen waren. Hierbei wurde die Zusammenarbeitsfunktion von Google Drive ausgenutzt: Google-Benutzer erhielten eine E-Mail, die sie darüber informierte, dass jemand anders mit ihnen zusammen an einem Projekt arbeiten möchte. Auch das Wired-Magazin war Ziel des Angriffs. Hier enthielt die Google-Benachrichtigung einen Link zu einem betrügerischen russischen E-Mail-Konto.
Was ist der Unterschied zwischen Phishing und Spear Phishing?
Während bei einem Phishing-Angriff ein weites Netz ausgeworfen und versucht wird, viele Opfer auf einmal zu ködern, zielt Spear Phishing auf ganz bestimmte Personen oder Unternehmen ab. Bei beiden Angriffsformen werden Nachrichten von scheinbar seriösen Quellen verschickt, sodass die Opfer davon überzeugt sind, es mit echten und vertrauenswürdigen Absendern zu tun zu haben.
Phishing-E-Mails enthalten vage und weniger spezifische Botschaften. Weil mit ihnen möglichst viele Menschen angesprochen werden sollen, müssen die Nachrichten allgemeiner gehalten sein. Damit ein Phishing-Angriff Erfolg hat, reicht es schon aus, wenn nur ein geringer Teil der potenziellen Opfer darauf hereinfällt.
Spear-Phishing-Angriffe hingegen zielen bei identischem Prinzip nur auf bestimmte Personen oder Gruppen ab. Die Angreifer holen sich Informationen zu ihren Opfern ein und verwenden alle Sorgfalt darauf, möglichst individuelle Nachrichten zu verfassen. Sowohl Phishing- als auch Spear-Phishing-Nachrichten stammen häufig von scheinbar authentischen Absenderadressen, wobei der Wortlaut einer Spear-Phishing-Nachricht in der Regel noch persönlicher und zielgerichteter ist.
Andere Arten von Phishing
Es gibt auch noch andere Arten von Phishing, die leicht von der klassischen Betrugsmasche abweichen.
-
Beim Angler-Phishing werden die Opfer über Social-Media-Beiträge, Direktnachrichten und sonstige Benachrichtigungen geködert.
-
Beim Whaling gibt sich der Betrüger als Geschäftsführer eines Unternehmens aus, wodurch die Seriosität und die Dringlichkeit der Nachricht untermauert wird.
-
Barrel-Phishing, auch als Double-Barrel Phishing bekannt, ist ein aus zwei Phasen bestehender Angriff, mit dem auf bestimmte Einzelpersonen abgezielt wird. Als Erstes wird mit einer harmlosen Nachricht das Vertrauen des Opfers gewonnen. Anschließend folgt eine weitere E-Mail, die einen schädlichen Link oder Anhang enthält, und es kommt zum eigentlichen Angriff.
-
Beim Vishing oder auch „Voice Phishing“ erfolgt der Betrugsversuch über das Telefon statt per E-Mail. Der Betrüger gibt sich als Mitarbeiter einer Behörde aus, z. B. des Finanzamts, und bedrängt das Opfer zur Herausgabe vertraulicher Daten wie der Sozialversicherungsnummer.
-
Als Smishing werden Phishing-Versuche per SMS oder Textnachrichten bezeichnet.
-
Beim Pharming werden Benutzer auf schädliche Websites geleitet, die mittels DNS-Hijacking eingerichtet wurden. Die Opfer eines Pharming-Angriffs werden auf authentisch wirkende Websites geleitet, die in Wahrheit gefälscht sind.
-
Beim Evil-Twin-Phishing (dt. „böser Zwilling“) richten Hacker ein gefälschtes, unverdächtig erscheinendes WLAN-Netzwerk ein und verleiten ihre Opfer zur Eingabe ihrer Anmeldedaten.
-
Beim Catfishing wird eine fiktive Identität in einem sozialen Netzwerk mit dem Ziel angelegt, das Vertrauen eines Opfers zu gewinnen. Mithilfe der Catfishing-Taktiken wollen die Angreifer in der Regel Geld ergaunern.
So können Sie Phishing-Angriffe verhindern
Am besten schützen Sie sich vor Spear-Phishing-Angriffen, wenn Sie sich mit den grundlegenden Aspekten der Cybersicherheit vertraut machen, z. B. woran Sie eine verdächtige E-Mail erkennen und was Sie tun können, wenn Sie eine erhalten.
Mögliche Merkmale von verdächtigen E-Mails sind Grammatikfehler, die einem Muttersprachler nicht unterlaufen würden, Tippfehler, die von Nachlässigkeit zeugen, die Frage nach vertraulichen Informationen (diese würden seriöse Unternehmen niemals per E-Mail anfordern) und unerwünschte Anhänge. Links oder Anhänge in Spear-Phishing-E-Mails wirken oft unverdächtig und erwecken den Anschein, dass sie von einem bekannten und vertrauenswürdigen Absender stammen.
Verborgene Anzeichen einer Spear-Phishing-E-Mail: (a) außergewöhnlich dringlicher oder unprofessioneller Tonfall in der Betreffzeile; (b) Tippfehler; (c) allgemeine oder fehlende Anrede; (d) geringfügige Grammatikfehler; (e) unübersichtliche Links; (f) ungewöhnliche Textabstände oder Mischung unterschiedlicher Schriftarten.
Für einen besseren Schutz vor Spear-Phishing-Angriffen sollten Sie sich die Absenderadresse ganz genau ansehen. Die Falschschreibung eines Namens oder eine ungewöhnliche Domäne könnte auf einen Betrug hinweisen. Auch der Anhang hat mitunter einen verdächtigen oder unsinnigen Namen. Wenn die Nachricht von einer bekannten Person oder einer offiziellen Stelle stammt, aber ein seltsames oder unübliches Anliegen enthält, wenden Sie sich direkt an die Person und bitten sie um Bestätigung der Echtheit.
Außerdem sollten Sie die grundlegenden Konventionen für E-Mail-Sicherheit und das Surfen im Internet befolgen, indem Sie z. B. nicht auf verdächtige Links klicken, sich starke Passwörter ausdenken, sichere und anonyme Browser verwenden und Ihre Software regelmäßig aktualisieren. Wichtig ist auch eine regelmäßige Datensicherung, sodass nichts verloren geht, sollte Ihr Konto einmal Opfer eines Angriffs werden.
Eine Sicherheitssoftware kann die Anti-Phishing-Funktionen Ihres bevorzugten E-Mail-Clients außerdem auf sinnvolle Weise ergänzen. Mit der besten Antivirus-Software können Sie verhindern, dass Sie Opfer eines Spear-Phishing-Angriffs werden.
Mit AVG Antivirus können Sie sich vor Spear-Phishing-Angriffen schützen
AVG AntiVirus Free nutzt sechs Sicherheitsebenen zum Schutz Ihrer Daten und zur Abwehr potenzieller Angreifer. Zu den weiteren Funktionen gehören der integrierte Web-Schutz, der vor verdächtigen Websites warnt, sowie ein E-Mail-Schutz, der gefährliche E-Mails und verdächtige Links blockiert.
Es gibt aber auch noch andere Angriffe als Phishing, bei denen die Hacker mit verschiedenen Arten von Malware wie Spyware oder Ransomware Geräte beschädigen und Daten entwenden. Vorbeugungs- und Sicherheitsmaßnahmen sind angesichts der zunehmenden Verbreitung von Onlinebedrohungen wichtiger denn je. AVG AntiVirus Free bietet rund um die Uhr Schutz vor allen Varianten, die sich aktuell im Umlauf befinden.
AVG AntiVirus FREE schützt Ihr Gerät und sorgt dafür, dass Sie weder einem Spear-Phishing- noch einem anderen Onlineangriff zum Opfer fallen. Machen Sie aus Ihrem Gerät eine Festung, in der Ihre persönlichen Dokumente und Daten sicher aufgehoben sind. Holen Sie sich noch heute die branchenführenden Sicherheitsfunktionen von AVG – völlig kostenlos.