Die Top 5 Spear-Phishing-Beispiele und ihre psychologischen Trigger
Was ist Phishing?
Phishing zählt zu den beliebtesten Techniken des Social Engineering. Hierbei verschicken Angreifer täuschend echte E-Mails oder Nachrichten, indem sie sich als vertrauenswürdige Organisationen wie Banken oder bekannte Websites ausgeben. Diese täuschenden Nachrichten enthalten oft dringende Anfragen, verlockende Links oder gefälschte Login-Seiten, die absolut authentisch wirken. Unwissende Opfer können dadurch unwissentlich ihre Informationen preisgeben, was zu Identitätsdiebstahl, finanziellen Verlusten oder unbefugtem Zugriff auf Konten führen kann. Verwenden Sie daher immer sichere, einzigartige Passwörter für Online-Konten und seien auf der Hut bei unerwarteten E-Mails und Datenweitergaben.
Selbst wenn eine Organisation eine Phishing-E-Mail entdeckt, genügt ein einziger Fehler einer Person, um den Angriff erfolgreich zu machen. Deshalb ist es von entscheidender Bedeutung, die Mitarbeiter durch Sicherheitsschulungen über die Gefahren aufzuklären.
Was ist Spear Phishing?
Spear Phishing-Angriffe zielen gezielt auf eine Person oder eine kleine Gruppe von Personen ab, wie zum Beispiel Mitarbeiter eines spezifischen Unternehmens. Diese ausgeklügelten Angriffe sind äußerst selektiv und gut durchdacht. Die Angreifer investieren oft viel Zeit in umfangreiche Recherchen über ihre Opfer, um den Angriff möglichst überzeugend zu gestalten.
Cyberkriminelle nutzen Spear Phishing oft als Eintrittspunkt in eine Organisation, da sie damit die begrenzten Sicherheitsmaßnahmen umgehen können, einschließlich Spam-Filter und ausgefeilte Sicherheitstechnologien. Ihr Ziel könnte die Übernahme von Konten oder die Kompromittierung von E-Mails sein, um Hintertüren einzurichten oder Privilegien zu eskalieren und so dauerhaft im kompromittierten System oder Netzwerk zu verbleiben.
Dadurch können sie sich innerhalb des Netzwerks bewegen und weitere bösartige Aktivitäten wie Datenexfiltration, laterale Bewegung oder das Ausführen zusätzlicher Angriffe initiieren, die schwerwiegende finanzielle und rufschädigende Folgen für die betroffene Organisation mit sich bringen können.
Whaling-Angriffe (CEO-Betrug)
Whaling ist mit Spear Phishing identisch, abgesehen von der Größe des Fisches, und wird auch als CEO-Betrug bezeichnet. Es handelt sich um hochgradig gezielte Angriffe, bei denen bösartige E-Mails oder Telefonanrufe verwendet werden, um sich als legitime Absender auszugeben. Durch das Versenden von Malware, zum Beispiel mit gefälschten Rechnungen, versuchen die Täter vertrauliche Informationen zu sammeln, E-Mail-Konten zu übernehmen oder Anmeldeinformationen zu stehlen. Sobald sie die Kontrolle über die E-Mail-Konten von Führungskräften erlangt haben, verfolgen die Angreifer verschiedene Ziele, darunter:
- Finanzieller Gewinn: Whaling-Angriffe haben als Hauptmotiv oft finanziellen Gewinn. Indem sie sich auf CEOs mit hoher Budgetverantwortung konzentrieren, können böswillige Angreifer Geld auf ihre eigenen Konten umleiten oder Finanztransaktionen zum eigenen Vorteil manipulieren;
- Datendiebstahl oder Spionage: Whaling-Angriffe können auch aus anderen Gründen als reinem Profit durchgeführt werden. Cyberkriminelle könnten versuchen, an private Daten, Geschäftsgeheimnisse oder geistiges Eigentum zu gelangen. Die gestohlenen Informationen können für Industriespionage, unfairen Wettbewerb oder den Schwarzmarktverkauf verwendet werden;
- Störung und Rufschädigung: Whaling-Angriffe haben das Potenzial, die Geschäftsabläufe einer Organisation zu stören und ihren Ruf ernsthaft zu beeinträchtigen. Angreifer können falsche Informationen verbreiten, interne Kommunikation sabotieren oder eine chaotische Umgebung schaffen, was den regulären Geschäftsbetrieb erheblich beeinträchtigen kann.
Arten von Spear Phishing-Angriffsvektoren
SMS-Phishing-Angriffe (Smishing)
SMS-Phishing-Angriffe (Smishing) sind eine Form von Phishing-Angriffen durch sorgfältig gestaltete Textnachrichten mit gezieltem Ansatz, die dem Empfänger vorgaukeln, einen Preis gewonnen zu haben, oder der Angreifer könnte eine Textnachricht senden, die vorgibt, von der Finanzabteilung zu stammen und verlangt, dass die Person sensible Informationen über eine bösartige Website bereitstellt (Login-Seite oder Link anklicken).
Voice-Phishing (Vishing)
Voice-Phishing (Vishing) ist ein Ansatz, der Telefonanrufe einbezieht, bei denen der Angreifer vorgibt, von einer vertrauenswürdigen Quelle anzurufen, um das beabsichtigte Opfer zu täuschen und persönliche Details aus ihrem Privatleben preiszugeben oder Social Engineering-Techniken einzusetzen, um eine Überweisung durchzuführen. Ein Beispiel für Vishing wäre ein Angreifer, der von einer gefälschten Telefonnummer aus anruft und sich als bestimmte Person aus Ihrem Unternehmen ausgibt und dringend um Informationen über Geschäftsgeheimnisse bittet. Ein anderes Beispiel ist, dass sie um Hilfe bei der Zurücksetzung ihrer Anmeldeinformationen bitten, was auch als Credential Phishing bezeichnet wird.
Malware-Phishing-Angriffe
Malware-Phishing-Angriffe erfolgen durch Phishing-E-Mails oder Textnachrichten, die bösartige Links enthalten, die zu gefälschten Websites oder z.B. kostenlosen Testversionen einer bekannten Antivirensoftware führen. Die eingesetzte Malware variiert je nach Zielsetzung des Angreifers. Beispiele hierfür sind die Installation eines Remote Access Trojans (RAT), eines Keyloggers, der Tasteneingaben aufzeichnet, das Ausnutzen von Sicherheitslücken durch zusätzliche Malware oder sogar die Aufzeichnung von Audio und Video.
Wie kann man Spear Phishing-Angriffe verhindern und seine Organisation schützen?
Hornetsecuritys Advanced Threat Protection ist eine Cybersicherheitslösung, die fortschrittliche Technologien und Techniken verwendet, um sich gegen gezielte Angriffe durch Spear Phishing zu schützen. Sie bietet eine Vielzahl von Funktionen wie:
- Sandbox Engine – Sollte das per E-Mail versendete Dokument als Malware erkannt werden, wird die betreffende E-Mail unverzüglich in Quarantäne verschoben;
- URL-Scanning – Das Dokument, das an eine E-Mail angehängt ist, wird in seiner ursprünglichen Form belassen und es werden nur die Ziele der darin enthaltenen Links überprüft;
- Einfrieren – E-Mails, die nicht sofort eindeutig klassifiziert werden können, werden für kurze Zeit zurückgehalten. Die E-Mails werden dann einer weiteren Überprüfung mit aktualisierten Signaturen unterzogen;
- Entschlüsselung bösartiger Dokumente – Verschlüsselte E-Mail-Anhänge werden unter Verwendung geeigneter Textmodule innerhalb einer E-Mail entschlüsselt. Das entschlüsselte Dokument wird dann einer gründlichen Virenprüfung unterzogen;
- Secure Links – Schützt Benutzer vor bösartigen Links in E-Mails. Ersetzt den Original-Link durch eine neu geschriebene Version, die über das sichere Webgateway von Hornetsecurity läuft.
Da E-Mail einer der am häufigsten verwendeten Angriffsvektoren für Spear Phishing ist, ist es vorteilhaft, die E-Mail-Kommunikation in Ihrer Organisation mit SPF, DKIM und DMARC zu stärken.
- SPF (Sender Policy Framework) – Ist für die Überprüfung der IP-Adressen des sendenden Servers verantwortlich;
- DKIM (DomainKeys Identified Mail) – Fügt eine digitale Signatur hinzu, um die Echtheit der E-Mail zu überprüfen;
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) – kombiniert beides, um E-Mail-Sicherheitsrichtlinien durchzusetzen und gleichzeitig Berichtsmechanismen bereitzustellen.
Selbst wenn alle technischen Kontrollen vorhanden sind, haben Angreifer bei Spear-Phishing-Angriffen ein klares Ziel: gezielt einzelne Personen zu täuschen, um ihre bösartigen Absichten zu verwirklichen. Security Awaraness ist wie ein mächtiger Superheldenumhang, der uns zu cyber-schlauen Helden macht! Es schützt uns vor hinterlistigen Betrügereien, vereitelt bösartige Tricks und befähigt uns, Cyber-Schurken zu entlarven. Es ist also von großer Bedeutung, Mitarbeiter durch simuliertes Spear-Phishing-Training zu sensibilisieren, damit sie stets wachsam bleiben und damit das Risiko eines Cyberangriffs drastisch reduzieren.
Spear Phishing-Beispiele und ihre psychologischen Trigger
Autorität
Bedrohungsakteure verwenden Spear Phishing-E-Mails, in denen sie sich als Autoritätspersonen ausgeben, um so das Vertrauen der Opfer zu gewinnen. Indem sie sich beispielsweise als CEO oder Bankvertreter tarnen, nutzen sie diese Autorität, um ihre Opfer dazuzubringen, ohne weitere Nachfragen zu handeln.
Dringlichkeit
Angreifer setzen hierbei geschickt auf die Erzeugung eines Gefühls der Dringlichkeit, um ihr Opfer dazu zu bringen, schnell zu handeln, bevor es Zeit hat, nachzudenken. Oft nutzen sie dabei misstrauische E-Mails, die vorgeben, von einem kompromittierten Konto zu stammen oder drängen auf die Erledigung einer zeitkritischen Aufgabe, die sofortige Aufmerksamkeit verlangt.
Neugierde
Bei dieser Technik setzen Angreifer auf die Macht der Neugierde, um Opfer dazu zu verleiten, auf einen bösartigen Link zu klicken oder einen Anhang herunterzuladen. Beispiele sind eine verlockende Phishing-E-Mail, die ein unwiderstehliches Gratisgeschenk oder ein verlockendes Geheimnis verspricht, dem das Opfer einfach nicht widerstehen kann.
Vertrautheit
Bei Spear Phishing-Angriffen können persönliche Informationen dazu verwendet werden, um das Opfer dazu zu bringen, sich wohl und vertraut mit ihnen zu fühlen. adurch wird es einfacher, das Opfer dazu zu überreden, Maßnahmen zu ergreifen, wie zum Beispiel die Bereitstellung sensibler Informationen.
Angst
Die Phishing-Angriffstechnik ist am effektivsten, wenn Angst im Spiel ist. Die E-Mail behauptet beispielsweise es gehe um eine rechtliche Angelegenheit oder es wird gedroht, eine peinliche Information zu enthüllen. Die Angst vor den angedrohten Konsequenzen lässt die Opfer oft irrational handeln und die Wahrscheinlichkeit, den Forderungen des Angreifers nachzukommen, ist hoch.
Beispiel eines Spear Phishing Angriffs
Conti zählt zu den berüchtigtsten Ransomware-Programmen, das verschiedene Angriffsmethoden nutzt, darunter Spear-Phishing per E-Mail. Dabei werden bösartige Anhänge und Phishing-Links verschickt, die eingebettete Skripte enthalten, um weitere Malware wie TrickBot oder Cobalt Strike herunterzuladen. Diese kommen später im Angriffsverlauf zum Einsatz und unterstützen eine tiefgreifende Netzwerkinfiltration. Am 11. April 2022 wurde von einem Fall berichtet, bei dem hochrangige costa-ricanische Beamte ins Visier genommen wurden und ihre Zugangsdaten durch Malware gestohlen wurden. Bei diesem Angriff wurde Cobalt Strike eingesetzt, wobei mehr als 10 Beacon-Sessions erkannt wurden, die dann in den späteren Phasen des Angriffs verwendet wurden.
Für einen umfassenden Überblick über die Cybersicherheitsrisiken, die aus der Analyse von 25 Milliarden E-Mails gewonnen wurden, lesen Sie unseren kostenlosen Cyber Security Report.
Fazit
In der heutigen, immer mobiler werdenden Arbeitswelt, werden Spear Phishing-Angriffe leider zunehmend bedrohlicher. Die Angreifer verfeinern ständig ihre Methoden, um diese Angriffe zu ihrem Vorteil zu nutzen. Der Schutz vor Spear Phishing ist von entscheidender Bedeutung, um vertrauliche Daten zu sichern, finanzielle Verluste zu vermeiden, den Ruf zu wahren, Datenlecks vorzubeugen und einen reibungslosen Betrieb zu gewährleisten. Um dieser anhaltenden Cyber-Bedrohung entgegenzuwirken, sind proaktive Strategien, fundiertes Wissen und eine gesunde Portion Skepsis unerlässlich.
FAQ
Bei einer typischen Spear Phishing Attacke, passt der Angreifer seine Taktik geschickt an und richtet sein Augenmerk auf eine spezifische Person oder Gruppe. Beispielsweise gibt sich ein Cyberkrimineller als Kollege aus der IT-Abteilung Ihres Unternehmens aus und schickt Ihnen eine vermeintlich legitime E-Mail. Darin wird behauptet, dass Ihr E-Mail-Konto dringend ein Passwort-Update benötigt und sendet einen Link zu einer vermeintlichen Login-Seite. Ohne es zu ahnen, geben Sie arglos Ihre Anmeldedaten ein und gewähren dem Angreifer somit unbewusst Zugriff auf Ihr Konto. Bei solchen Szenarien ist Vorsicht geboten, um sich vor diesen geschickten Angriffen zu schützen.
Stellen Sie sich vor, Sie erhalten einen handgeschriebenen Brief per Post, der scheinbar von Ihrem engsten Freund stammt. Im Brief finden sich Insider-Witze und vertrauliche Informationen, die nur Sie beide teilen. Neugierig öffnen Sie den Brief, doch anstatt aufregender Erlebnisse erwartet Sie eine hinterlistige Aufforderung, Informationen zu Ihrem Bankkonto preiszugeben. Genau so funktioniert Spear Phishing. Es ist eine raffinierte Methode, die auf Vertrauen, Anpassungsfähigkeit und Vertrautheit beruht. Gerade diese Vertrautheit macht es schwieriger, die Falschheit hinter den vermeintlich bekannten Absendern zu erkennen. Seien Sie daher wachsam und schützen Sie sich vor dieser raffinierten Masche.
Im Jahr 2016 erlitt die Crelan Bank einen beträchtlichen Verlust von 75 Millionen US-Dollar, als Cyberkriminelle das Geschäftskonto eines hochrangigen leitenden Angestellten kompromittierten. Durch das Imitieren des E-Mail-Kontos des CEOs und unter Vortäuschung seiner Identität forderten die Angreifer die Mitarbeiter des Unternehmens auf, Geld auf ein von ihnen kontrolliertes Bankkonto zu überweisen. Der Vorwand, eine Führungsperson zu sein, täuschte die Mitarbeiter, die daraufhin die Anweisungen des vermeintlichen CEO befolgten. Obwohl der Angriff schließlich durch eine interne Überprüfung aufgedeckt wurde, bleibt die Identitäten der Angreifer bis heute unbekannt. Ein bedauerlicher Vorfall, der die Wichtigkeit einer ständigen Achtsamkeit gegenüber Cyberbedrohungen verdeutlicht.
Spear Phishing ist eine gezielte Form eines Angriffs, der sich gegen einzelne Personen oder kleinere Gruppen eines Unternehmens richtet. Oftmals sind gerade neue Mitarbeiter das Ziel, da sie sich noch nicht vollständig in ihrer neuen Umgebung etabliert haben und daher besonders anfällig und leichte Opfer darstellen. Die Angreifer können leicht auf der Website des Unternehmens nach neuen Rekruten suchen, wo stolz die neuesten Teammitglieder vorgestellt werden. Mithilfe von OSINT (Open Source Intelligence) in den sozialen Medien können sie auch leicht die echten E-Mail-Adressen dieser Mitarbeiter herausfinden. Aufgrund dieser Informationen ist es vergleichsweise mühelos, sie mit Anfragen zu kontaktieren, die scheinbar von einem Unternehmen stammen, dem sie vertrauen.
Während der frühen Phasen der COVID-19-Pandemie im Jahr 2020 herrschte weltweit Panik, und diese Situation bot Bedrohungsakteuren eine glaubwürdige Möglichkeit, die sie geschickt ausnutzten. Es gab zahlreiche reale Beispiele, von denen eines darin bestand, dass Angreifer E-Mails an Mitarbeiter versandten. Diese E-Mails enthielten bösartige Anhänge mit vermeintlichen Aufzeichnungen von Personen innerhalb des Unternehmens, die kürzlich vom Coronavirus betroffen waren. Diese gezielte Taktik löste große Panik und Angst aus, wodurch die Empfänger aus Sorge den Anhang öffneten und damit unwissentlich Malware oder Keylogger auf ihrem Gerät installierten. Ein bedauerlicher Vorfall, der die Notwendigkeit betont, auch in Krisenzeiten wachsam gegenüber solchen Cyberangriffen zu sein.