Die einfache Antwort: Spear-Phishing ist eine spezielle Art des Phishing-Angriffs.

Phishing bezeichnet jeden Cyberangriff, bei dem bösartige E-Mails, Textnachrichten oder Sprachanrufe verwendet werden, um Personen dazu zu verleiten, sensible Daten (z. B. Kreditkartennummern oder Sozialversicherungsnummern) preiszugeben, Malware herunterzuladen, bösartige Websites zu besuchen, Geld an die falschen Personen zu überweisen oder sich selbst, ihre Geschäftspartner oder ihre Arbeitgeber anderweitig zu schädigen. Phishing ist der häufigste Angriffsvektor oder die häufigste Methode der Cyberkriminalität. Im Jahr 2022 wurden dem FBI 300.479 Phishing-Angriffe gemeldet.

Beim meisten Phishing handelt es sich um Massen-Phishing – unpersönliche Nachrichten, die scheinbar von einem bekannten und vertrauenswürdigen Absender (z. B. einer globalen Marke) stammen und massenhaft an Millionen von Menschen versendet werden, in der Hoffnung, dass ein kleiner Prozentsatz der Empfänger darauf hereinfällt.

Spear-Phishing ist zielgerichtetes Phishing. Insbesondere sind Spear-Phishing-Nachrichten

  • an eine bestimmte Person oder Personengruppe gesendet werden
  • hochgradig personalisiert, basierend auf Recherchen
  • so gestaltet, dass sie den Anschein erwecken, von einem Absender zu stammen, der in einer Beziehung zum Empfänger steht – beispielsweise einem Arbeitskollegen oder einem Mitarbeiter, den der Empfänger kennt, oder jemandem, dem der Empfänger untersteht, wie etwa einem Manager oder einem leitenden Angestellten des Unternehmens.

Spear-Phishing-Angriffe sind wesentlich seltener als Phishing-Angriffe, jedoch zielen sie auf wesentlich größere oder wertvollere Gewinne ab und haben bei Erfolg wesentlich größere Auswirkungen als Massen-Phishing-Betrug. Einem aktuellen Bericht zufolge machten Spear-Phishing-E-Mails in einem Zeitraum von 12 Monaten nur 0,1 Prozent aller E-Mails aus, waren aber in denselben 12 Monaten für 66 Prozent der Datenverletzungen (Data Breaches) verantwortlich. Bei einem aufsehenerregenden Spear-Phishing-Angriff erbeuteten Betrüger mehr als 100 Millionen US-Dollar von Facebook und Google, indem sie sich als seriöse Anbieter ausgaben und Mitarbeiter zur Zahlung falscher Rechnungen verleiteten.

Was ist das Besondere an einem Spear-Phishing-Angriff?

Spear-Phishing-Angriffe bedienen sich verschiedener Strategien, die es schwieriger machen, sie zu erkennen, und die sie überzeugender machen als Massen-Phishing-Angriffe.

Glaubwürdigkeit auf der Grundlage umfangreicher Forschung

Um ihre gezielten Angriffe glaubwürdiger zu gestalten, recherchieren Spear-Phisher ihre Absender und ihre Ziele – so können sie sich effektiv als Absender ausgeben und den Zielen eine glaubwürdige Geschichte präsentieren.

Viele Spear-Phisher lernen ihre Absender und Opfer über soziale Medien kennen. Da Menschen Informationen in sozialen Medien und anderen Online-Plattformen so frei austauschen, können Cyberkriminelle heute ohne großen Aufwand relevante und detaillierte Informationen finden. Das Studium der LinkedIn-Seite eines Opfers kann einem Betrüger beispielsweise dabei helfen, die Aufgabenbereiche eines Mitarbeiters besser zu verstehen und zu erfahren, mit welchen Lieferanten das Unternehmen zusammenarbeitet, sodass er sich effektiver als seriöser Absender einer gefälschten Rechnung ausgeben kann.

Laut einem Bericht von Omdia können Hacker nach allgemeinen Google-Recherchen in kürzester Zeit überzeugende Spear-Phishing-E-Mails erstellen. Einige Hacker hacken sich möglicherweise sogar in E-Mail-Konten oder Messaging-Apps von Unternehmen ein und verbringen mehr Zeit damit, Unterhaltungen zu beobachten, um detailliertere Informationen über Beziehungen zu sammeln.

Spezifische Social-Engineering-Taktiken

Social-Engineering-Taktiken nutzen psychologische Manipulation, um Menschen dazu zu bringen, falschen Prämissen zu glauben oder unkluge Maßnahmen zu ergreifen. Basierend auf ihren Recherchen können Spear-Phishing-Betrüger glaubwürdige Situationen oder Vorwände als Teil ihrer Nachrichten erfinden – z. B. „Wir haben uns für eine neue Anwaltskanzlei für den Grundstücksdeal entschieden, können Sie bitte die beigefügte Rechnung überweisen, um ihre Vorschussgebühr zu decken?“ Sie können ein Gefühl der Dringlichkeit erzeugen, um die Empfänger zu überstürztem Handeln zu bewegen – z. B. Die Zahlung ist bereits überfällig – bitte senden Sie den Betrag vor Mitternacht, um Verspätungsgebühren zu vermeiden. Einige nutzen sogar Social Engineering, um den Betrug geheim zu halten – z. B. Bitte seien Sie diskret und halten Sie dies vertraulich, bis die Vereinbarung später in dieser Woche bekannt gegeben wird.

Mehrere Nachrichtentypen

Spear-Phishing-Betrugsversuche kombinieren zunehmend Nachrichten aus verschiedenen Medien, um ihre Glaubwürdigkeit zu erhöhen. Beispielsweise enthalten Spear-Phishing-Nachrichten Telefonnummern, die das Ziel zur Bestätigung anrufen kann; die Anrufe werden von betrügerischen Mitarbeitern entgegengenommen. Einige Betrüger haben auf Spear-Phishing-E-Mails mit betrügerischen SMS-Nachrichten (sogenanntes „Smishing“) nachgefasst. In jüngerer Zeit haben Betrüger auf Spear-Phishing-E-Mails gefälschte Telefonanrufe (sogenanntes „Vishing“) folgen lassen, bei denen die Stimme des angeblichen Absenders mithilfe künstlicher Intelligenz imitiert wurde.

Arten von Spear-Phishing

Spear-Phishing-Angriffe werden weiter in Untertypen unterteilt, je nachdem, gegen wen sich die Angriffe richten oder als wen sie sich ausgeben.

Business Email Compromise

Business Email Compromise (BEC) – die Kompromittierung von Geschäfts-E-Mails – ist eine Art des Spear-Phishing, also ein E-Mail-Betrugsmasche, mit der versucht wird, Geld oder sensible Daten eines Unternehmens zu stehlen.

Bei einem BEC-Angriff sendet ein Cyberkrimineller (oder eine Gruppe Cyberkrimineller) Mitarbeitern eines Zielunternehmens E-Mails, die den Anschein erwecken, von einem Manager oder Kollegen zu stammen – oder von einem Lieferanten, Partner, Kunden oder einem anderen dem Empfänger bekannten Mitarbeiter. Die E-Mails sind so verfasst, dass sie die Mitarbeiter dazu verleiten sollen, betrügerische Rechnungen zu begleichen, Überweisungen auf gefälschte Bankkonten vorzunehmen oder sensible Informationen an Personen zu senden, die diese angeblich benötigen. (In seltenen Fällen versuchen BEC-Betrüger auch,Ransomware oder Malware zu verbreiten, indem sie Opfer bitten, einen Anhang zu öffnen oder auf einen schädlichen Link zu klicken.)

Einige BEC-Betrüger gehen noch einen Schritt weiter, indem sie die Anmeldedaten (Benutzername und Passwort) des Absenders stehlen oder sich beschaffen und die E-Mail direkt vom tatsächlichen Konto des Absenders versenden. Dadurch wirkt der Betrug authentischer als einer, der selbst von einem sorgfältig gefälschten oder manipulierten E-Mail-Konto versendet wurde.

Bei einer besonderen Art von BEC-Angriff, dem sogenannten CEO-Betrug, gibt sich der Betrüger als hochrangiger Führungskraft aus und drängt Mitarbeiter in niedrigeren Positionen dazu, Geld zu überweisen oder sensible Daten preiszugeben.

Whale-Phishing

Whale-Phishing ist ein Spear-Phishing-Angriff, der auf die Opfer der höchsten Unternehmensebene – oder „Wale“ – abzielt, darunter Aufsichtsratsmitglieder, Führungskräfte auf Vorstandsebene („C-Level“) und nicht-unternehmerische Ziele wie Prominente und Politiker. Whale-Phisher sind sich bewusst, dass diese Personen über Dinge verfügen, die nur hochkarätige Ziele bieten können, darunter große Geldsummen, Zugang zu äußerst wertvollen oder streng vertraulichen Informationen und einen Ruf, der es zu schützen gilt. Es überrascht nicht, dass Whaling-Angriffe in der Regel detailliertere Untersuchungen erfordern als andere Spear-Phishing-Angriffe.

Beispiel für einen Spear-Phishing-Angriff

Im August 2022 wurde der Cloud-basierte Kommunikationsgigant Twilio Opfer eines ausgeklügelten Spear-Phishing-Angriffs, der sein Netzwerk kompromittierte.

Phisher haben Twilio-Mitarbeiter mit gefälschten SMS-Nachrichten angegriffen, die scheinbar von der IT-Abteilung des Unternehmens stammten. Die Nachrichten behaupteten, die Passwörter der Mitarbeiter seien abgelaufen oder ihre Zeitpläne hätten sich geändert, und leiteten sie zu einer gefälschten Website weiter, auf der sie ihre Anmeldedaten erneut eingeben mussten. Um den Phishing-Betrug noch realistischer zu gestalten, haben die Hacker „Twilio“, „Okta“ und „SSO“ (Abkürzung für Single Sign-On) in die URL der gefälschten Website eingefügt, um die Mitarbeiter noch stärker davon zu überzeugen, auf den bösartigen Link zu klicken.

Mit den Anmeldedaten von Mitarbeitern, die auf die Nachrichten hereingefallen waren, verschafften sich die Betrüger Zugang zum Unternehmensnetzwerk von Twilio.

Der Phishing-Betrug sorgte nicht nur aufgrund seiner Raffinesse für Schlagzeilen – ein Experte bezeichnete ihn als „einen der raffiniertesten Langzeit-Hacks der Geschichte“ –, sondern auch aufgrund der einzigartigen Position von Twilio als B2B-Unternehmen, das viele andere Technologieunternehmen bedient. Als Ergebnisse waren mehrere andere Technologieunternehmen in den Phishing-Betrug verwickelt, darunter das zu Twilio gehörende Unternehmen Authy, ein Zwei-Faktor-Authentifizierungsdienst, und Signal, eine verschlüsselte App, die Twilio für SMS-Verifizierungsdienste nutzte.

Letztendlich betraf der Angriff auf Twilio über 163 seiner Kundenorganisationen, darunter 1.900 Signal-Konten. Darüber hinaus wurde deutlich, dass Spear-Phishing-Angriffe, wie sie Twilio erlebt hat, zunehmend an Häufigkeit zunehmen.

So bleiben Sie Spear-Phishing- und Phishing-Versuchen immer einen Schritt voraus

E-Mail-Sicherheitstools, Antivirensoftware und Multifaktor-Authentifizierung sind allesamt kritische erste Verteidigungslinien gegen Phishing und Spear-Phishing. Unternehmen setzen zunehmend auf Schulungen zum Sicherheitsbewusstsein und Phishing-Simulationen, um ihre Mitarbeiter besser über die Gefahren und Taktiken von Phishing- und Spear-Phishing-Angriffen aufzuklären.

Kein Sicherheitssystem ist jedoch vollständig ohne modernste Funktionen zur Erkennung und Abwehr von Bedrohungen, mit denen Cyberkriminelle in Echtzeit aufgespürt und die Auswirkungen erfolgreicher Phishing-Kampagnen gemindert werden können.

IBM® QRadar SIEM wendet maschinelles Lernen und User Behaviour Analytics (UBA) auf den Netzwerkverkehr an und ergänzt damit herkömmliche Protokolle für eine intelligentere Erkennung von Bedrohungen und schnellere Abhilfe. Laut einer aktuellen Forrester-Studie konnten Sicherheitsanalysten mit QRadar SIEM über drei Jahre hinweg mehr als 14.000 Stunden einsparen, indem sie falsch-positive Meldungen identifizierten, den Zeitaufwand für die Untersuchung von Vorfällen um 90 % reduzierten und das Risiko einer schwerwiegenden Sicherheitsverletzung um 60 % senkten.* Mit QRadar SIEM haben Sicherheitsteams mit knappen Ressourcen den Überblick und die Analysen, die sie benötigen, um Bedrohungen schnell zu erkennen und sofortige, fundierte Maßnahmen zu ergreifen, um die Auswirkungen eines Angriffs zu minimieren.

*The Total Economic Impact™ of IBM Security QRadar SIEM ist eine von Forrester Consulting im April 2023 im Auftrag von IBM durchgeführte Studie. Basierend auf den prognostizierten Ergebnissen eines zusammengesetzten Unternehmens, das anhand von vier befragten IBM-Kunden modelliert wurde. Die tatsächlichen Ergebnisse variieren je nach Kundenkonfiguration und -bedingungen. Daher können keine allgemein erwarteten Ergebnisse bereitgestellt werden.

 
