Über Phishing haben wir an dieser Stelle auch schon geschrieben. Beim generischen Phishing wird eine grosse Anzahl E-Mails verschickt, also ein grosses Fischernetz ausgeworfen. Die Masse der Empfänger garantiert dabei einige Treffer. Lukrativer, aber auch aufwändiger, sind Angriffe mit dem "Speer". Bei Spear-Phishing gehen Cyber-Kriminelle sehr zielgerichtet auf einzelne Personen zu und geben vor, diese zu kennen.
Die E-Mails für eine Spear-Phishing-Kampagne sind sehr persönlich aufgesetzt und scheinen von einer vertrauenswürdigen Quelle zu stammen. Sie sind mit zuvor durch Social Engineering recherchierten Informationen angereichert und auf bestimmte Personen oder Organisationen zugeschnitten. Der Absender kann ein bekanntes Unternehmen oder eine Internet-Plattform mit hoher Mitgliederzahl sein, wie beispielsweise PayPal. Meistens tarnen sich die Absender allerdings als Mitarbeitende des eigenen Unternehmens und geben vor, ein Vorgesetzter des Empfängers zu sein. Geradeso erschleichen sich die Kriminellen das Vertrauen der Betroffenen und erhöhen die Erfolgsquote gegenüber dem "normalen" Phishing.
Die Geschichte eines möglichen Spear-Phishing-Angriffes könnte sich folgendermassen abspielen. Ein Lieferant nimmt an einer Ausschreibung eines potenziellen Kunden teil. Dafür wird in vielen Fällen eine öffentliche Plattform genutzt, auf welcher ersichtlich ist, wer ausschreibt, wer teilnimmt und schlussendlich auch, wer die Ausschreibung gewinnt. Diese Informationen sind öffentlich einsehbar. Die beiden Unternehmen werden mit Verweis auf die Ausschreibung gezielt gephisht. Ein Mitarbeiter des Lieferanten reagiert am ersten Tag nach den Ferien auf das Phishingmail und schickt ein vertrauliches Dokument per E-Mail, welches so in die Hände der Angreifer gelangt. Diese nutzen das Dokument als Beglaubigung, um dem Kunden eine Rechnung zu stellen. Geht die Geschichte gut aus, bemerkt der Kunde den Angriff und kann eine Zahlung verhindern.
Zur Abwehr von Spear-Phishing ist es wichtig die Mitarbeitenden zu Schulen und auf die Thematik zu sensibilisieren. Generell sollten die Anwender im Umgang mit E-Mails ein gesundes Misstrauen haben. Links und Anhänge sowie die Absender einer E-Mail sollten geprüft werden. Zudem dürfen Links oder Anhänge in verdächtigen E-Mails nie angeklickt werden. Gegebenenfalls sollte der vermeintliche Absender telefonisch kontaktiert werden. Ausserdem sollten keine sensiblen Daten in sozialen Netzen preisgeben werden. Gerade nach den Ferien, wenn das Mail-Postfach am Überquellen ist, sollte der Abarbeitung der E-Mails eine besondere Aufmerksamkeit geschenkt werden.
Nutzen Sie das Know-how der first frame networkers, um eine neutrale und praxisnahe Beurteilung der Informationssicherheit in Ihrem Unternehmen zu erhalten oder ein Awareness-Training für Ihre Mitarbeitenden zu organisieren. Mehr Informationen finden Sie hier: www.firstframe.net/informationssicherheit
