Was ist Spear-Phishing?

Wie bei allen Phishing-Betrügereien geht es auch beim Spear-Phishing um die Manipulation von Opfern durch gefälschte Geschichten und betrügerische Szenarien. Spear-Phishing-Angriffe können über E-Mails, Textnachrichten, Chat-Apps oder Telefonanrufe durchgeführt werden.

Laut dem Data Breach Kostenreport von IBM ist Phishing die häufigste Ursache für Data Breach. Spear-Phishing ist eine der effektivsten Formen des Phishings, da Cyberkriminelle ihre Betrügereien so gestalten, dass sie so überzeugend wie möglich auf ihre Ziele zugeschnitten sind.

In einem Bericht von Barracuda, in dem 50 Milliarden E-Mails analysiert wurden, stellten die Forscher fest, dass Spear-Phishing weniger als 0,1 % der E-Mails ausmachte, aber für 66 % der erfolgreichen Angriffe verantwortlich war.¹ Während ein durch Phishing verursachter Datendiebstahl laut dem Data Breach Kostenreport durchschnittlich 4,76 Millionen US-Dollar kostet, können Spear-Phishing-Angriffe bis zu 100 Millionen US-Dollar kosten.²

Spear-Phishing, eine Form von Social-Engineering-Angriffen, nutzt eher die menschliche Natur als Netzwerkschwachstellen aus. Um dem effektiv entgegenzuwirken, müssen Cybersicherheitsteams die Bildung der Mitarbeiter mit fortschrittlichen Bedrohungserkennungstools kombinieren und so eine robuste Abwehr gegen diese heimtückische Bedrohung schaffen.

Phishing ist eine breite Kategorie, die alle Social-Engineering-Angriffe umfasst, bei denen betrügerische Nachrichten verwendet werden, um Opfer zu manipulieren. Spear-Phishing ist eine Untergruppe des Phishings, die sich auf ein sorgfältig ausgewähltes Ziel konzentriert.

Ein klassischer Phishing-Angriff, auch „Bulk-Phishing“ genannt, ist ein Zahlenspiel. Hacker verfassen betrügerische Nachrichten, die den Anschein erwecken, von vertrauenswürdigen Unternehmen, Organisationen oder sogar berühmten Personen zu stammen.

Hacker senden Phishing-Nachrichten an Hunderte oder Tausende von Menschen, in der Hoffnung, einige von ihnen dazu zu bringen, gefälschte Websites zu besuchen oder wertvolle Informationen wie Sozialversicherungsnummern preiszugeben.

Bei Spear-Phishing handelt es sich hingegen um gezielte Angriffe auf bestimmte Personen, die Zugriff auf Assets haben, auf die es die Cyberkriminellen abgesehen haben.

Spear-Phisher haben es auf eine bestimmte Person oder Gruppe abgesehen, beispielsweise auf einen leitenden Angestellten oder die regionalen Vertriebsleiter eines Unternehmens. Sie führen umfangreiche Recherchen über das Privat- und Berufsleben ihrer Opfer durch und nutzen ihre Ergebnisse, um äußerst glaubwürdige Betrugsnachrichten zu verfassen.

Die meisten Spear-Phishing-Angriffe folgen einem vierstufigen Prozess:

1. Ziel festlegen 
2. Zielperson auswählen
3. Zielperson recherchieren 
4. Phishing-Nachricht verfassen und versenden

Viele Spear-Phishing-Betrugsversuche zielen darauf ab, Unternehmen große Geldsummen zu stehlen. Spear-Phisher können dies auf verschiedene Weise tun. Einige bringen ihre Opfer dazu, eine Zahlung oder Überweisung an einen betrügerischen Anbieter zu tätigen. Andere manipulieren Opfer, um sie dazu zu bringen, Kreditkartennummern, Bankkontonummern oder andere Finanzdaten preiszugeben.

Spear-Phishing-Angriffe können auch andere schädliche Ziele verfolgen:

• Verbreitung von Ransomware oder anderer Malware. Zum Beispiel könnte ein Bedrohungsakteur einen bösartigen E-Mail-Anhang versenden, der als harmloses Microsoft Word-Dokument getarnt ist. Wenn das Opfer die Datei öffnet, wird automatisch Malware auf dem Gerät installiert.
  
  
• Diebstahl von Zugangsdaten. Benutzernamen, Kennwörter und andere Daten werden von Hackern gestohlen und für einen großen Angriff genutzt. Der Hacker könnte der Zielperson beispielsweise einen schädlichen Link zu einer betrügerischen Website zum Aktualisieren des Kennworts senden. Diese gefälschte Website sendet alle Zugangsdaten, die Opfer eingeben, direkt an den Hacker.
  
  
• Diebstahl vertraulicher Informationen. Hierbei werden etwa personenbezogene Daten von Kunden oder Mitarbeitern, geistiges Eigentum oder Geschäftsgeheimnisse gestohlen. Beispielsweise könnte sich der Spear-Phisher als Kollege ausgeben und das Opfer auffordern, vertrauliche Berichte zu teilen.

Als Nächstes identifiziert der Spear-Phisher ein geeignetes Ziel. Das Ziel ist jemand, der den Hackern Zugriff auf die gewünschten Ressourcen verschaffen kann, entweder direkt (z. B. durch eine Zahlung) oder indirekt (z. B. durch das Herunterladen von Spyware).

Spear-Phishing-Versuche zielen oft auf Mitarbeiter auf mittlerer oder unterer Ebene oder neue Mitarbeiter mit erweiterten Netzwerk- oder Systemzugriffsrechten ab. Diese Mitarbeiter befolgen die Unternehmensrichtlinien möglicherweise weniger strikt als höherrangige Zielpersonen. Sie könnten auch anfälliger für Drucktaktiken sein, z. B. wenn sich ein Betrüger als eine Führungskraft ausgibt.

Zu den typischen Opfern gehören Finanzmanager, die zur Ausführung von Zahlungen befugt sind, IT-Mitarbeiter mit Administratorenzugang zum Netzwerk und Personalleiter mit Zugang zu den personenbezogenen Daten der Mitarbeiter.

Andere Arten von Spear-Phishing-Angriffen zielen ausschließlich auf Mitarbeiter der Führungsebene ab. Weitere Informationen finden Sie im Abschnitt „Spear-Phishing, Whaling und BEC“.

Der Angreifer recherchiert die Zielperson und sucht nach Informationen, die es ihm ermöglichen, sich als jemand auszugeben, der der Zielperson nahesteht und vertrauenswürdig ist, beispielsweise als Freund, Kollege oder Chef.

Da in sozialen Medien und anderswo online viele Informationen veröffentlicht werden und damit frei zugänglich sind, werden Cyberkriminelle ohne besonders großen Aufwand fündig. Viele Hacker können eine überzeugende Spear-Phishing-E-Mail nach nur ein paar Stunden Google-Suche erstellen.

Einige Hacker gehen sogar noch weiter. Sie dringen in E-Mail-Konten oder Messaging-Apps von Unternehmen ein und beobachten ihr Ziel, um noch detailliertere Informationen zu sammeln.

Auf der Grundlage ihrer Recherchen erstellen Spear-Phisher gezielte Phishing-Nachrichten, die äußerst glaubwürdig erscheinen. Der Schlüssel liegt darin, dass diese Nachrichten persönliche und berufliche Details enthalten, von denen das Ziel fälschlicherweise glaubt, dass nur eine vertrauenswürdige Quelle sie kennen könnte.

Stellen Sie sich beispielsweise vor, „Tom“ ist ein Kreditorenbuchhalter bei ABC Industries. Durch einen Blick auf Toms öffentliches LinkedIn-Profil könnte ein Angreifer seine Berufsbezeichnung, Verantwortlichkeiten, die E-Mail-Adresse des Unternehmens, den Namen und Titel des Chefs sowie die Namen und Titel der Geschäftspartner finden.

Der Hacker kann diese Details verwenden, um eine glaubwürdige E-Mail zu senden, die angeblich von Toms Chef stammt:

Hallo Tom,

da Sie die Rechnungen von XYZ Systems bearbeiten, habe ich folgende Bitte an Sie: XYZ Systems hat mich soeben informiert, dass sie ihren Zahlungsprozess aktualisieren und alle zukünftigen Zahlungen auf ein neues Bankkonto eingehen müssen. Hier ist die aktuelle Rechnung mit den neuen Kontodaten. Wäre es möglich, die Zahlung noch heute zu senden?

Die beigefügte Rechnung ist gefälscht, und das „neue Bankkonto“ gehört dem Betrüger. Tom sendet das Geld direkt an den Angreifer, wenn dieser die Zahlung vornimmt.

Eine Phishing-E-Mail enthält in der Regel visuelle Elemente, die dem Betrug noch mehr Authentizität verleihen. Zum Beispiel könnte der Angreifer eine gefälschte E-Mail-Adresse verwenden, die den Namen von Toms Chef zeigt, aber die vom Angreifer verwendete betrügerische E-Mail-Adresse verbirgt.

Der Angreifer könnte auch die E-Mail eines gefälschten Mitarbeiters ins CC setzen und eine Signatur mit dem Logo von ABC Branchen einfügen.

Ein geschickter Betrüger könnte sich sogar in das tatsächliche E-Mail-Konto von Toms Chef hacken und die Nachricht von dort aus versenden, sodass Tom keinen Grund hat, Verdacht zu schöpfen.

Einige Betrüger führen hybride Spear-Phishing-Kampagnen durch, die Phishing-E-Mails mit Textnachrichten (genannt „SMS-Phishing“ oder „Smishing“) oder Telefonanrufen (genannt „Voice Phishing“ oder „Vishing“) kombinieren.

Anstatt eine gefälschte Rechnung anzuhängen, könnte die E-Mail Tom zum Beispiel anweisen, die Kreditorenbuchhaltung von XYZ Systems unter einer Telefonnummer anzurufen, die heimlich von einem Betrüger kontrolliert wird.

Da sie mehrere Kommunikationsmodi verwenden, sind hybride Spear-Phishing-Angriffe oft effektiver als Standard-Spear-Phishing-Angriffe.

Bei Spear-Phishing-Angriffen geht es nicht nur darum, das Vertrauen der Opfer zu gewinnen, sondern sie nutzen häufig auch Social-Engineering-Techniken, um ihre Opfer psychologisch unter Druck zu setzen und sie zu Handlungen zu verleiten, die sie nicht ausführen sollten und normalerweise auch nicht ausführen würden.

Beispielsweise geben sich Betrüger als hochrangige Unternehmensvertreter aus, wie in der Spear-Phishing-E-Mail im vorherigen Abschnitt. Die Mitarbeitenden sind darauf konditioniert, Autoritäten zu respektieren, und trauen sich nicht, den Anweisungen einer Führungskraft nicht Folge zu leisten, selbst wenn diese Anweisungen ungewöhnlich sind.

Weitere gängige Social-Engineering-Taktiken sind:

• Pretexting: Der Begriff bezeichnet das Erfinden einer realistischen Geschichte oder Situation, die die Zielperson wiedererkennt und mit der sie sich identifizieren kann. Ein Spear-Phisher könnte sich beispielsweise als IT-Mitarbeiter ausgeben und der Zielperson mitteilen, dass es Zeit für eine regelmäßig geplante Passwortaktualisierung ist.

• Schaffung eines Gefühls der Dringlichkeit: Ein Phisher kann sich beispielsweise als Anbieter ausgeben und behaupten, dass die Zahlung für einen wichtigen Service verspätet ist.

• Starke Emotionen ansprechen: Angst, Schuld, Dankbarkeit oder Gier auszulösen oder auf etwas zu verweisen, das der Zielperson wichtig ist, kann das Urteilsvermögen eines Opfers trüben und es anfälliger für den Betrug machen. Zum Beispiel könnte ein Betrüger, der sich als Chef einer Zielperson ausgibt, eine „Belohnung“ für „Hilfe bei einer Last-Minute-Anfrage“ versprechen.

Die zunehmende Verfügbarkeit von Künstlicher Intelligenz (KI), insbesondere von generativer KI, erleichtert es Spear-Phishern, ausgeklügelte und hocheffektive Angriffe durchzuführen.

Laut dem X-Force Threat Intelligence Index von IBM benötigt ein Betrüger 16 Stunden, um eine Phishing-E-Mail manuell zu erstellen. Mit KI können Betrüger diese Nachrichten in nur fünf Minuten erstellen.

Insbesondere für Spear-Phisher kann KI einige der schwierigsten Teile des Betrugs vereinfachen. Betrüger können beispielsweise KI nutzen, um Informationen aus den Social-Media-Profilen der Zielpersonen automatisch zu extrahieren. Sie können generative KI-Tools mit Schreibproben der Personen füttern, die sie imitieren wollen, sodass die KI glaubwürdigere Phishing-Nachrichten generieren kann.

Betrüger können KI auch nutzen, um überzeugende falsche Dokumente zu erstellen, z. B. gefälschte Rechnungen, E-Mail-Vorlagen, Berichte und andere Materialien. Hacker können sogar KI-generierte Videos und Sprachaufnahmen verwenden, um die Unterscheidung zwischen Betrug und echter Kommunikation noch schwieriger zu machen.

Es gibt zwei wichtige Untertypen von Spear-Phishing-Angriffen: Whaling (oder „Whale Phishing“) und Business E-Mail Compromise (BEC).

Der Hauptunterschied zwischen Whaling und regulärem Spear-Phishing besteht darin, dass Whaling-Angriffe speziell auf die bekanntesten und wertvollsten Opfer abzielen, etwa Vorstandsmitglieder, C-Level-Management, Prominente oder Politiker. Whaling-Betrüger haben es auf die Beute abgesehen, die nur diese Zielpersonen bieten können, wie z. B. hohe Geldbeträge oder Zugang zu streng vertraulichen Informationen.

BEC-Angriffe sind Spear-Phishing-Betrugsversuche, die speziell auf Unternehmen abzielen. Zwei häufige Formen von BEC sind:

• CEO-Betrug: Der Betrüger gibt sich als ein leitender Angestellter aus, indem er ein E-Mail-Konto, eine Chat-App oder einen anderen Kommunikationskanal fälscht oder kapert. Der Betrüger sendet einem oder mehreren untergeordneten Mitarbeitern eine Nachricht, in der er sie anweist, Geld auf ein betrügerisches Konto zu überweisen oder einen Kauf bei einem betrügerischen Anbieter zu tätigen.
  
  

• Email Account Compromise (EAC): Der Betrüger verschafft sich Zugriff auf das E-Mail-Konto eines untergeordneten Mitarbeiters, beispielsweise eines Finanz- oder Vertriebsleiters. Er verwendet das Konto, um betrügerische Rechnungen an Lieferanten zu senden, andere Mitarbeiter anzuweisen, betrügerische Zahlungen zu leisten, oder um Zugriff auf vertrauliche Daten anzufordern.

Erfolgreiche BEC-Angriffe zählen zu den kostspieligsten Cyberbedrohungen und verursachten laut dem Internet Crime Report des Federal Bureau of Investigation (FBI) im Jahr 2023 Verluste in Höhe von insgesamt 2,9 Milliarden US-Dollar.³

Phishing-Angriffe gehören zu den am schwierigsten zu bekämpfenden Cyberangriffen, da sie mit herkömmlichen Cybersicherheitstools nicht immer erkannt werden können. Spear-Phishing-Angriffe sind besonders schwer abzufangen, weil sie zielgerichtet sind und ihr personalisierter Inhalt sie für den durchschnittlichen Empfänger noch überzeugender macht.

Es gibt jedoch Maßnahmen, die Unternehmen ergreifen können, um ihre Verteidigung gegen Spear-Phishing zu stärken und die Wahrscheinlichkeit eines erfolgreichen Angriffs zu verringern: 

• Schulung zum Sicherheitsbewusstsein
• Identity und Access Management (IAM)-Kontrollen
• Cybersicherheitskontrollen

Da Spear-Phishing-Angriffe auf Menschen und nicht auf Systemschwachstellen abzielen, ist die Schulung der Mitarbeiter eine wichtige Verteidigungslinie. Schulungen zum Sicherheitsbewusstsein können Folgendes umfassen:

• Techniken zur Erkennung verdächtiger E-Mails, wie gefälschte E-Mail-Adressen, schlechte Rechtschreibung und Grammatik, ungewöhnlich hohe Einsätze und seltsame Anfragen.
  
  
• Tipps zur Vermeidung der Preisgabe zu vieler Informationen auf Social Networking-Seiten.
  
  
• Organisatorische Richtlinien und Prozesse zur Bekämpfung von Betrug, wie z. B. keine nicht angeforderten Anhänge zu öffnen oder die Bestätigung ungewöhnlicher Zahlungsaufforderungen über einen zweiten Kanal, bevor darauf reagiert wird.
  
  
• Spear-Phishing-Simulationen und Penetrationstests, die den Mitarbeitern helfen können, das Gelernte anzuwenden, und Sicherheitsteams bei der Identifizierung von Schwachstellen unterstützen, die behoben werden müssen.

IAM-Tools wie rollenbasierte Zugriffskontrolle und Multi-Faktor-Authentifizierung (MFA) können verhindern, dass Hacker Zugriff auf Benutzerkonten und sensible Daten erhalten. Wenn Führungskräfte beispielsweise MFA für ihre E-Mail-Konten aktivieren, benötigen Hacker mehr als nur ein Passwort, um diese Konten zu übernehmen.

Keine einzelne Sicherheitskontrolle kann Spear-Phishing vollständig stoppen, aber die Kombination mehrerer Tools kann helfen, Spear-Phishing-Angriffe zu verhindern oder den Schaden, den sie verursachen, zu minimieren.

• E-Mail-Sicherheitstools wie Spamfilter und sichere E-Mail-Gateways können helfen, Spear-Phishing-E-Mails in Echtzeit zu erkennen und umzuleiten.

• Mit Antivirensoftware lassen sich durch Spear-Phishing verursachte Malware- oder Ransomware-Ausbrüche neutralisieren.

• Sichere Web-Gateways, Firewalls und andere Webfilter-Tools können bösartige Websites blockieren, zu denen Benutzer durch Spear-Phishing-E-Mails gelangen.

• System- und Software-Patches können technische Schwachstellen schließen, die häufig von Spear-Phishern genutzt werden.

• Tools für den Schutz von Endgeräten  wie Endpoint Detection and Response (EDR) und Unified Endpoint Management (UEM) können Betrüger daran hindern, Geräte zu übernehmen, sich als Benutzer auszugeben oder Malware einzuschleusen.

• Unternehmenssicherheitslösungen wie Security Incident and Event Management (SIEM)- und Security Orchestration, Automation und Response (SOAR)-Plattformen können dabei helfen, bösartige Netzwerkaktivitäten im Zusammenhang mit Spear-Phishing-Angriffen zu erkennen und abzufangen.