Spear-Phishing ist eine Art von Phishing-Angriff, der auf bestimmte Personen oder Personengruppen in einem Unternehmen abzielt. Spear-Phishing-Angreifer geben sich als Personen aus, die ihrem Opfer bekannt sind oder denen das Opfer vertraut, und versuchen, ihre Opfer so zu manipulieren, dass sie:

• Sensible Informationen preisgeben – Berechtigungsnachweise für E-Mail- oder Verwaltungskonten, Geschäftsgeheimnisse, Nummern von Firmenkreditkarten – oder
  
  
• Malware herunterladen oder
  
  
• Zahlungen an den Angreifer autorisieren oder vornehmen.

Wie bei allen Phishing-Betrügereien kann Spear-Phishing über E-Mails, Textnachrichten und Telefonanrufe gestartet werden, die dem Anschein nach von vertrauenswürdigen Quellen stammen. Der Unterschied zum herkömmlichen Phishing besteht darin, dass Spear-Phishing-Betrüger nicht etwa auf Tausende oder Millionen von Opfern mit einer pauschalen Taktik abzielen, sondern ganz gezielt bestimmte Einzelpersonen mit Betrugsmaschen ins Visier nehmen, die auf der Grundlage umfangreicher Recherchen individuell gestaltet wurden. Zum Beispiel könnte ein Cyberkrimineller, der es auf Betriebsgeheimnisse abgesehen hat, eine Spear-Phishing-E-Mail verschicken, in der er vorgibt, als Mitarbeiter einer Zielperson an einem vertraulichen Projekt zu arbeiten und die Zielperson bittet, vertrauliche Dokumente mit ihm zu teilen, die er „nicht finden kann”. 

Laut dem von IBM veröffentlichten Bericht Cost of a Data Breach 2022 war Phishing die zweithäufigste Ursache für Datenschutzverletzungen im Jahr 2022. McKinsey hat festgestellt, dass sich die Anzahl von Spear-Phishing-Angriffen seit Beginn der Pandemie fast versiebenfacht hat (Link außerhalb von ibm.com). Cyberkriminelle nutzen die steigende Zahl von Remote-Mitarbeitern aus, die aufgrund mangelnder Sicherheitshygiene und der Gewohnheit, vorrangig E-Mail und Chat-Apps für die Zusammenarbeit mit Kollegen und Vorgesetzten zu verwenden, gegebenenfalls anfälliger für Betrügereien durch Phishing sind.

Im IBM Bericht wurde außerdem festgestellt, dass Phishing-Angriffe mit 4,91 Millionen US-Dollar zwar die höchsten durchschnittlichen Kosten pro Verstoß verursachten, die Kosten von Spear-Phishing-Angriffen jedoch selbst diesen Betrag deutlich überschreiten können. Bei einem aufsehenerregenden Angriff stahlen Spear-Phisher mehr als 100 Millionen US-Dollar von Facebook und Google, indem sie sich als legitime Lieferanten ausgaben und Mitarbeiter dazu brachten, betrügerische Rechnungen zu bezahlen (Link befindet sich außerhalb von ibm.com).

Bei einem klassischen Phishing-Versuch – zur Unterscheidung von anderen Varianten gelegentlich auch als „Massen-Phishing“ bezeichnet – verfassen Hacker betrügerische Nachrichten, die den Anschein erwecken, von allgemein bekannten Unternehmen, Organisationen oder gar Prominenten zu stammen. Dann „ballern“ sie ungezielt los und verbreiten diese Phishing-Nachrichten wahllos an möglichst viele Menschen, und das in der Hoffnung, dass sich wenigstens eine Handvoll dazu verleiten lässt, wertvolle Informationen wie Sozialversicherungsnummern, Kreditkartennummern oder Kennwörter für Konten preiszugeben.  

Spear-Phishing-Angriffe hingegen sind ganz gezielte Angriffe. Bedrohungsakteure haben es auf etwas Bestimmtes abgesehen, z. B. auf eine große Geldsumme von einem bestimmten Unternehmen oder einen bestimmten Bestand sensibler Daten.

Auswählen des Ziels. Spear-Phishing-Kampagnen beginnen mit der Identifizierung eines geeigneten Ziels – einer Person mit direktem Zugang zu den Ressourcen, auf die es die Hacker abgesehen haben, oder jemand, der diesen Zugang indirekt durch das Herunterladen von Malware ermöglichen kann.

Spear-Phishing zielt häufig auf Mitarbeiter der mittleren und unteren Ebenen oder auf neue Mitarbeiter mit höheren Privilegien ab, die die Unternehmensrichtlinien und -verfahren möglicherweise weniger konsequent befolgen. Zu den typischen Opfern gehören Finanzmitarbeiter, die berechtigt sind, Zahlungen zu leisten, IT-Administratoren und Personalmitarbeiter, die Umgang mit vertraulichen Informationen haben. Bestimmte Arten von Spear-Phishing-Angriffen sind jedoch ganz gezielt auf Führungskräfte gerichtet (siehe „Sonderformen des Spear-Phishing: Whaling und BEC“ unten).

Recherchieren des Ziels. Als Nächstes führt der Spear-Phisher Recherchen zu seiner Zielperson durch, um an Informationen zu gelangen, mit deren Hilfe er sich als jemand ausgeben kann, dem die Zielperson nahesteht, dem sie vertraut oder dem gegenüber sie rechenschaftspflichtig ist.

Angesichts der Menge an Informationen, die in den sozialen Medien und im Internet bereitwillig geteilt werden, können Cyberkriminelle solche Informationen ohne großen Aufwand ausfindig machen. Laut einem Bericht von Omdia (Link außerhalb von ibm.com) sind Hacker in der Lage, nach ungefähr 100 Minuten allgemeiner Google-Suche eine überzeugende Spear-Phishing-E-Mail zu formulieren. (Raffiniertere Hacker verschaffen sich gegebenenfalls Zugang zu E-Mail-Konten oder Messaging-Apps von Unternehmen und verfolgen dort eine Zeit lang Unterhaltungen, um an Insiderinformationen zu gelangen.)

Verfassen und Senden der Nachricht. Anhand dieser Recherchen verfassen Spear-Phisher zielgerichtete Phishing-Nachrichten, die seriös wirken. Ein Angreifer könnte zum Beispiel bereits durch einen einfachen Blick auf das öffentliche LinkedIn-Profil einer Zielperson deren Berufsbezeichnung, Zuständigkeiten, E-Mail-Adresse im Unternehmen sowie den Namen und den Titel ihres Vorgesetzten herausfinden. Der Angreifer könnte diese Informationen nutzen, um sich in einer E-Mail wie der folgenden als echter Lieferant auszugeben:

Hallo Peter,

ich weiß, dass du für die Verarbeitung der Rechnungen von XYZ Systems zuständig bist. XYZ Systems hat mir gerade mitgeteilt, dass ihr Zahlungsverfahren aktualisiert wird und sämtliche Zahlungen künftig an ein neues Bankkonto geleistet werden müssen. Anbei schicke ich die letzte Rechnung von XYZ Systems mit den neuen Kontodaten. Kannst Du die Zahlung noch heute vornehmen?

Ellen Schmitt

CFO, ABC Industries

Die E-Mail scheint eine authentische Anfrage der Finanzleitung eines Lieferanten zu sein, der eine gültige Rechnung als Anhang beigefügt ist. In Wirklichkeit würde die Zielperson eine Zahlung an das Bankkonto des Angreifers senden.

Spear-Phisher können ihre falsche Identität mithilfe anderer Tricks noch überzeugender gestalten. Angenommen, die E-Mail-Adresse des Vorgesetzten der Zielperson lautet „[email protected]”. Ein Spear-Phisher könnte der Zielperson eine Nachricht von der gefälschten E-Mail-Adresse „[email protected]” senden. Auf den ersten Blick scheint die Adresse echt zu sein, bei genauerem Hinsehen wird ersichtlich, dass das „m“ in „max“ in Wirklichkeit aus einem „r“ und einem „n“ besteht. Spear-Phisher können sogar so weit gehen, dass sie sich in das tatsächliche E-Mail-Konto des vermeintlichen Absenders hacken und es zum Versenden von Nachrichten verwenden. 

Social-Engineering-Techniken

Sich als Kollege auszugeben, ist eine Social-Engineering -Taktik, bei der die Vertrauenshaltung gegenüber Freunden dazu ausgenutzt wird, die Zielperson zu einer schädigenden Handlung zu bewegen. Angreifer können andere Social-Engineering-Techniken einsetzen, um den Handlungsdruck auf Zielpersonen zu erhöhen, wie etwa folgende:

• Ein Gefühl der Dringlichkeit erzeugen – z. B. sich als Lieferant ausgeben und behaupten, die Zahlung für eine wichtige Dienstleistung sei verspätet –, was die Zielperson zu überstürztem Handeln veranlasst.

• Die Obrigkeitshörigkeit der Zielperson ausnutzen, indem man sich als vermeintlich hochrangige Führungskraft des Unternehmes mit einem besonderen Anliegen an die Zielperson wendet – z. B. „Ich steige gleich ins Flugzeug, bitte genehmigen Sie diese zeitkritische Überweisung an die Firma XYZ.”

• Eine emotionale Verbindung mit der Zielperson herstellen und sich auf einen Anlass oder ein Ereignis beziehen, das dieser am Herzen liegt.

Spear-Phishing-Betrugsmaschen verfolgen häufig das Ziel, Opfer so zu manipulieren, dass sie Unternehmensgelder an Cyberkriminelle überweisen. Sie können aber auch andere Arten von Schaden anrichten. Hacker können Spear-Phishing nutzen, um Malware und Ransomware über schädliche E-Mail-Anhänge zu verbreiten, z. B. über Microsoft Office-Dokumente, die beim Öffnen automatisch schädliche Makros ausführen. („Hallo Linda, kannst Du bitte diesen Vertrag für mich prüfen?“) Oder sie senden schädliche Links, die als legitime Domänennamen getarnt sind und die Zielpersonen auf eine betrügerische Website umleiten, um Kennwörter, Bankkontodaten oder andere vertrauliche Informationen abzufangen. („Hallo Stefan – hier ist eine Website, die diese Computerteile verkauft, nach denen Du gesucht hast.”) 

Obwohl jeder Phishing-Angriff, der auf eine bestimmte Einzelperson oder Gruppe abzielt, ein Spear-Phishing-Angriff ist, gibt es einige erwähnenswerte Unterarten.

Whaling ist Spear-Phishing, das auf prominente und hochrangige Opfer abzielt – meist auf der Führungsebene, aber auch auf Personen außerhalb von Unternehmen wie Prominente und Politiker. Whaling erfordert in der Regel ein höheres Maß an Recherche als andere Phishing-Angriffe. Es geht dabei typischerweise um Zugang oder um Vermögenswerte, die nur ein ranghohes Ziel zur Verfügung stellen kann, wie etwa der Zugriff auf streng vertrauliche Informationen oder die Autorisierung für hohe Barzahlungen oder Überweisungen.

Business Email Compromise (BEC, Kompromittierung geschäftlicher E-Mail) ist Spear-Phishing, bei dem sich der Angreifer als Führungskraft oder leitender Angestellter oder aber als hochrangiger Geschäftspartner des Unternehmens ausgibt, beispielsweise als CEO des wichtigsten Unternehmenskunden. Für eine BEC-Attacke könnte ein Cyberkrimineller das tatsächliche E-Mail-Konto eines hochrangigen Mitarbeiters, das gegebenenfalls bereits durch einen erfolgreichen Whaling-Angriff kompromittiert ist, stehlen und zu seinen eigenen Zwecken verwenden – oder sogar echten E-Mail-Verkehr abfangen. In einem bedeutenden Hackerangriff bei Ikea  (Link außerhalb von ibm.com) nutzten Hacker Sicherheitslücken in Microsoft Exchange-Servern aus, um sich Zugang zu den E-Mail-Unterhaltungen der Mitarbeiter zu verschaffen. Die Hacker fügten dann schädliche Nachrichten in bereits vorhandene E-Mail-Threads zwischen den Ikea-Mitarbeitern ein.

BEC-Vorfälle haben in den letzten Jahren dramatisch zugenommen. Nach Angaben des FBI (Link außerhalb von ibm.com) belief sich der Geldbetrag, der weltweit von BEC-Betrügereien betroffen war, zwischen 2016 und 2021 auf insgesamt 43 Milliarden US-Dollar und stieg zwischen 2019 und 2021 um 65 Prozent. (Diese Zahl umfasst das tatsächlich gestohlene Geld sowie das Geld, das die BEC-Betrüger zu stehlen versuchten.)

Phishing-Angriffe gehören zu den am schwierigsten zu bekämpfenden Cyberangriffen, da sie nicht immer durch herkömmliche (signaturbasierte) Tools für Cybersicherheit erkannt werden können. In vielen Fällen muss der Angreifer lediglich „menschliche” Sicherheitsmaßnahmen überwinden. Spear-Phishing-Angriffe stellen eine besondere Herausforderung dar, weil sie durch ihre gezielte Ansprache und ihren personalisierten Inhalt noch überzeugender auf den Durchschnittsbenutzer wirken.

Es gibt jedoch Maßnahmen, die Unternehmen ergreifen können, um die Auswirkungen von Spear-Phishing einzugrenzen oder Spear-Phishing-Angriffe sogar gänzlich zu verhindern:

Sensibilisierungstraining für Sicherheitsbewusstsein. Da Spear-Phishing das Wesen des Menschen ausnutzt, kann das Verhalten der Mitarbeiter eine wichtige Verteidigungslinie gegen diese Angriffe darstellen. Sensibilisierungstraining für Sicherheitsbewusstsein kann die Unterweisung von Mitarbeitern in der Erkennung verdächtiger E-Mails, die Aufklärung der Mitarbeiter über die Gefahren der Weitergabe vertraulicher Informationen in sozialen Netzen und die Durchführung von Spear-Phishing-Simulationen umfassen, bei denen die Mitarbeiter das Gelernte anwenden können.

Unternehmen können auch allgemeine Schulungen zu Betriebsprotokollen und zur Sicherheitshygiene im Allgemeinen in Betracht ziehen. Dazu könnte gehören, die Mitarbeiter daran zu erinnern, dass die IT-Abteilung grundsätzlich nicht nach Kennwörtern fragt, sie dazu anzuhalten, ungewöhnliche Anfragen im Vorfeld über andere Kanäle bestätigen zu lassen – z. B. durch direkte telefonische Rücksprache mit dem Absender anhand einer Nummer, die die Zielperson bereits hat – und strenge Verfahren dafür einzuführen, wie und wann Unternehmensvermögenswerte und -gelder übertragen oder überwiesen werden können. 

Sicherheitsrichtlinien. Wenn die Mitarbeiter dazu angehalten werden, für jedes Konto ein starkes, eindeutiges Kennwort einzurichten, kann dies verhindern, dass Spear-Phisher, die ein einziges gestohlenes Kennwort erbeuten, sich schnell Zugang zu mehreren Anwendungen und Systemen verschaffen. Ebenso können eine Zero-Trust-Architektur und Mehrfaktorauthentifizierung dazu beitragen, den Zugang von Spear-Phishern zu sensiblen Informationen einzuschränken, selbst wenn sie den Benutzernamen und das Kennwort eines Mitarbeiters stehlen. 

Sicherheitssoftware. Es gibt kein einzelnes Sicherheitstool, das Spear-Phishing gänzlich verhindern kann. Im Zusammenspiel kann eine Kombination mehrerer Tools jedoch dazu beitragen, Spear-Phishing-Angriffe zu verhindern oder zumindest den Schaden, den sie verursachen, zu minimieren:

• Manche E-Mail-Sicherheitstools, z. B. Spam-Filter und sichere E-Mail-Gateways, können helfen, Spear-Phishing-E-Mails zu erkennen und umzuleiten.
  
  
• Antivirensoftware kann dabei helfen, durch Spear-Phishing verursachte Infektionen mit bekannter Malware oder Ransomware zu neutralisieren.
  
  
• Die regelmäßige Aktualisierung von System- und Software-Patches auf den neuesten Stand kann technische Schwachstellen schließen, die häufig von Spear-Phishern ausgenutzt werden.
  
  
• Sichere Web-Gateways und andere Web-Filter-Tools können die schädlichen Websites blockieren, auf die in Spear-Phishing-E-Mails verwiesen wird.
  
  
• Hochentwickelte Cybersicherheitslösungen, z. B. Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR), können helfen, schädlichen Datenverkehr und Netzaktivitäten im Zusammenhang mit Spear-Phishing-Angriffen zu erkennen und abzufangen.