Während einige Phishing-Scams an Millionen von Menschen geschickt werden, in der Hoffnung, dass jemand anbeißt, konzentriert sich ein Spear-Phishing-Angriff auf ein einzelnes Ziel und kann sehr überzeugend sein.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Phishing-Angriff
Was ist eine interne Bedrohung?
Zero Trust-Sicherheit
Was ist IAM?
Zwei-Faktor-Authentifizierung
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Phishing ist ein weit gefasster Begriff für Angriffe, die darauf abzielen, ein Opfer zur Weitergabe sensibler Informationen zu verleiten. Spear-Phishing ist ein Phishing-Angriff, der auf ein bestimmtes Ziel abzielt, also auf eine Person, eine Organisation oder ein Unternehmen.
Spear-Phishing-Angriffe sind besonders effektiv, weil der Angreifer mit Informationen über das Opfer (häufig öffentlich zugängliche Informationen aus dem Internet) eine überzeugende Betrugstaktik entwickelt.
Eine gängige Spear-Phishing-Taktik besteht darin, dass sich der Angreifer als eine Autoritätsperson ausgibt. Menschen reagieren mit größerer Wahrscheinlichkeit auf eine Autoritätsperson.
Hier ist ein Beispiel:
Joe ist der Assistent einer Geschäftsführerin namens Mary. Eines Tages, als Mary gerade im Ausland im Urlaub ist, erhält Joe eine dringende E-Mail von ihr. In der E-Mail steht, dass ihr Gepäck und ihr Handy gestohlen worden sind. Sie sagt, sie habe weder Geld noch einen Reisepass und bittet ihn, ihr so schnell wie möglich ihre PayPal-Anmeldedaten zu schicken, damit sie ein Hotel und einen Flug nach Hause buchen kann. Joe sieht vielleicht diese aufwühlende Nachricht seiner Arbeitgeberin und schickt ihr sofort die gewünschten Informationen.
Diese Art von „Ich bin in Schwierigkeiten und brauche Geld“-Anfrage von einem Vorgesetzten ist ein gängiges Spear-Phishing-Skript. Der Angreifer könnte Marys E-Mail fälschen und die E-Mail an Dutzende verschiedener Kombinationen von Joes Namen und Initialen senden, in der Hoffnung, die richtige zu finden. Von den Urlaubsplänen erfährt der Angreifer beispielsweise auf Twitter. Kombiniert der Angreifer all diese Werkzeuge, entsteht ein sehr überzeugender Betrug.
Ein bemerkenswertes reales Beispiel ereignete sich 2016, als sich ein Angreifer als CEO von Snapchat ausgab und einen Angestellten dazu bringen konnte, vertrauliche Gehaltsinformationen weiterzugeben.
Spear-Phishing-Angriffe können auch Informationen aus Datenschutzverletzungen ausnutzen. Ein weiteres Beispiel:
Steve kauft einen Computer bei einem großen Online-Händler, aber einige Wochen später erleidet der Händler eine Datenschutzverletzung. Obwohl sensible Daten wie Kreditkartennummern und Passwörter mit einem Hash-Verfahren geschützt wurden, sind die E-Mail-Adressen und die Bestellhistorie der Kunden geleakt worden.
Einige Tage später bekommt Steve eine E-Mail vom Hersteller seines neuen Computers. Darin wird ihm mitgeteilt, dass sein Modell zurückgerufen wird. Er erhält einen Link, über den er eine Rückerstattung erhalten kann. Der Link führt Steve zu einer gefälschten Version der Herstellerwebsite und enthält ein Formular, in das Steve seine Kreditkartennummer für die Rückerstattung eingeben soll. Mit einigen recht harmlosen Daten konnte der Angreifer Steves Vertrauen gewinnen und ihn dazu bringen, seine Finanzdaten herauszugeben.
Whaling ist ein Spear-Phishing-Angriff, der auf ein sehr prominentes Opfer abzielt, in der Regel eine Führungskraft in einem Unternehmen oder einen Prominenten. Whaling-Angriffe sind in der Regel ausgeklügelter und in vielen Fällen führen die Angreifer zunächst Spear-Phishing-Angriffe auf kleinere Ziele, wie z. B. Mitarbeiter des „Wals“, durch, um Zugang zu ihrem eigentlichen Opfer zu erhalten.
Zum Beispiel:
Während ihres Urlaubs erhält Mary, die Geschäftsführerin, eine E-Mail oder einen Anruf von einem ihr bekannten Mitarbeiter ihres IT-Teams; ein Cyberangriff sei im Gange und das Team brauche Zugang zu ihrem Arbeitscomputer und ihren Konten, um die Unternehmensdaten schützen zu können. Ein Angreifer könnte durchaus Marys IT-Team kompromittiert haben, um Marys Vertrauen zu gewinnen, in der Hoffnung, dass sie ihre Zugangsdaten herausgibt.
Da es sich beim Spear-Phishing um Social Engineering handelt, gibt es keine unfehlbare Methode, um sich gegen diese Art von Angriffen zu schützen. Sie können jedoch eine Reihe von Vorsichtsmaßnahmen ergreifen, um Spear-Phishing-Versuche zu verhindern und zu bekämpfen. Dazu gehören: