Spear-Phishing ist eine Art von Phishing-Angriff, der auf eine bestimmte Person oder eine Gruppe von Personen innerhalb eines Unternehmens abzielt. Diese werden dazu verleitet, vertrauliche Informationen preiszugeben, Malware herunterzuladen oder unwissentlich Zahlungen an den Angreifer zu leisten.

Wie alle Phishing-Scams kann auch Spear-Phishing per E-Mail, SMS oder Telefonanruf durchgeführt werden. Der Unterschied besteht darin, dass Spear-Phishing-Betrüger nicht Tausende oder Millionen potenzieller Opfer mit pauschalen „Massen-Phishing“-Taktiken anvisieren, sondern bestimmte Personen oder Personengruppen, z. B. die regionalen Vertriebsleiter eines Unternehmens. Dabei werden personalisierte Scams initiiert, die auf umfangreichen Recherchen beruhen.

Laut dem Bericht Cost of a Data Breach 2022 von IBM war Phishing die zweithäufigste Ursache von Datenschutzverletzungen im Jahr 2022. McKinsey stellt fest, dass sich die Zahl der Spear-Phishing-Angriffe seit Beginn der Pandemie fast versiebenfacht hat. Cyberkriminelle nutzten die zunehmende Zahl von Remote-Mitarbeitern aus, die aufgrund nachlässiger Sicherheitsvorkehrungen und der Gewohnheit, mit Kollegen und Vorgesetzten hauptsächlich über E-Mail und Chat zu kommunizieren, möglicherweise anfälliger für Phishing-Betrug sind.

Außerdem wurde im IBM Bericht festgestellt, dass Phishing-Angriffe zwar mit 4,91 Mio. USD die höchsten durchschnittlichen Kosten pro Sicherheitsverstoß erzeugen, die Kosten von Spear-Phishing-Angriffen jedoch selbst diesen Betrag erheblich übersteigen können. Bei einem aufsehenerregenden Angriff haben Spear-Phisher beispielsweise mehr als 100 Millionen US-Dollar von Facebook und Google gestohlen, indem sie sich als legitime Anbieter ausgaben und Mitarbeiter zur Zahlung betrügerischer Rechnungen verleiteten.

Bei einem klassischen Massen-Phishing-Angriff erstellen Hacker betrügerische Nachrichten, die scheinbar von bekannten Unternehmen, Organisationen oder sogar Prominenten stammen. Diese Phishing-Nachrichten werden dann wahllos an möglichst viele Menschen versendet – in der Hoffnung, dass wenigstens eine Handvoll von ihnen „anbeißt“ und sich dazu verleiten lässt, wertvolle Informationen wie Kontokennwörter, Sozialversicherungs- oder Kreditkartennummern preiszugeben.  

Spear-Phishing-Angriffe hingegen sind gezielte Angriffe auf bestimmte Personen, die Zugang zu bestimmten Ressourcen haben.

Ziel festlegen

Die meisten Spear-Phishing-Angriffe zielen darauf ab, große Geldsummen von Unternehmen zu stehlen. Dabei werden Personen dazu verleitet, eine Zahlung oder Überweisung an einen betrügerischen Anbieter oder ein betrügerisches Bankkonto vorzunehmen oder Kreditkartennummern, Kontonummern oder andere vertrauliche oder sensible Daten preiszugeben.

Spear-Phishing-Angriffe können jedoch auch andere schädliche Ziele verfolgen:

• Verbreitung von Ransomware oder anderer Malware – der Bedrohungsakteur kann beispielsweise schädliche E-Mail-Anhänge wie Microsoft-Excel-Dateien versenden, die beim Öffnen Malware auf dem Gerät installieren.
   

• Diebstahl von Zugangsdaten – Benutzernamen, Kennwörter und andere Daten werden durch Hacker entwendet und für einen großen Angriff genutzt. Der Hacker könnte der Zielperson beispielsweise einen schädlichen Link zu einer betrügerischen Website zum Aktualisieren des Kennworts senden.
   

• Diebstahl personenbezogener Daten oder sensibler Informationen – z. B. personenbezogene Daten von Kunden oder Mitarbeitern, Unternehmensfinanzen oder Geschäftsgeheimnissen.

Zielperson(en) auswählen

Anschließend sucht sich der Spear-Phishing-Betrüger ein geeignetes Ziel aus, wie eine Person oder eine Gruppe von Personen, die direkten Zugang zu den von den Hackern gewünschten Ressourcen haben oder die diesen Zugang indirekt durch das Herunterladen von Malware ermöglichen können.

Häufig richten sich Spear-Phishing-Versuche an Mitarbeiter auf mittlerer oder unterer Ebene oder neue Mitarbeiter mit erweiterten Netzwerk- oder Systemzugriffsrechten, die die Unternehmensrichtlinien und -verfahren möglicherweise nicht so streng befolgen. Zu den typischen Opfern gehören Finanzmanager, die für Zahlungen autorisiert sind, IT-Administratoren mit Administratorzugriff auf das Netzwerk und HR-Manager mit Zugriff auf die personenbezogenen Daten der Mitarbeiter. (Andere Arten von Spear-Phishing-Angriffen richten sich ausschließlich an Mitarbeiter auf Führungsebene; siehe „Spear-Phishing, Whaling und BEC“ unten.)

Zielperson recherchieren

Der Angreifer sucht bei der Zielperson nach Informationen, die er nutzen kann, um sich als eine der Zielperson nahestehende Person auszugeben. Dabei kann es sich um eine Person oder Organisation handeln, der die Zielperson vertraut, oder eine Person, der gegenüber die Zielperson rechenschaftspflichtig ist.

Da in sozialen Medien und anderswo online viele Informationen veröffentlicht werden und damit frei zugänglich sind, werden Cyberkriminelle ohne besonders großen Aufwand fündig. Laut einem Bericht von Omdia können Hacker nach etwa 100 Minuten allgemeiner Google-Suche eine überzeugende Spear-Phishing-E-Mail erstellen. Manche Hacker dringen vielleicht sogar in geschäftliche E-Mail-Konten oder Messaging-Apps ein und beobachten einige Zeit lang Unterhaltungen, um Insider-Informationen zu sammeln.

Nachricht erstellen und aussenden

Auf der Grundlage dieser Untersuchungen können Spear-Phishing-Betrüger gezielte Phishing-Nachrichten erstellen, die glaubwürdig erscheinen und von einer vertrauenswürdigen Quelle oder Person stammen.

Stellen Sie sich beispielsweise vor, „Tom“ ist ein Kreditorenbuchhalter bei ABC Industries. Durch einen einfachen Blick auf Toms öffentliches LinkedIn-Profil könnte ein Angreifer seine Berufsbezeichnung, Zuständigkeiten, die geschäftliche E-Mail-Adresse, den Namen der Abteilung, den Namen und Titel des Vorgesetzten sowie die Namen und Titel der Geschäftspartner herausfinden. Diese Angaben könnte er dann nutzen, um eine sehr glaubwürdige E-Mail zu verfassen, die scheinbar von seinem Vorgesetzten oder Abteilungsleiter stammt:

Hallo Tom,

da Sie die Rechnungen von XYZ Systems bearbeiten, habe ich folgende Bitte an Sie: XYZ Systems hat mich soeben informiert, dass sie ihren Zahlungsprozess aktualisieren und alle zukünftigen Zahlungen auf ein neues Bankkonto eingehen müssen. Hier ist die aktuelle Rechnung mit den neuen Kontodaten. Wäre es möglich, die Zahlung noch heute zu senden?

Die E-Mail enthält in der Regel visuelle Hinweise, die die gefälschte Identität des Absenders sofort authentisch wirken lassen, z. B. wird anstelle der betrügerischen E-Mail-Adresse ein Anzeigename des Absenders gezeigt. Die E-Mail könnte auch Weiterleitungen an „Kollegen“ (mit gefälschten E-Mail-Adressen) oder eine E-Mail-Signatur mit dem Firmenlogo von ABC Industries umfassen. Einige Betrüger sind in der Lage, sich in das tatsächliche E-Mail-Konto des angeblichen Absenders zu hacken und die Nachricht von dort aus zu versenden, um die Authentizität zu erhöhen.

Eine andere Taktik besteht darin, E-Mail- mit SMS-Phishing (SMS-Phishing oder Smishing genannt) oder Voice-Phishing (Vishing) zu kombinieren. Anstatt beispielsweise eine Rechnung anzuhängen, könnte Tom in der E-Mail aufgefordert werden, die Kreditorenbuchhaltung von XYZ Systems unter einer Telefonnummer anzurufen, die von einem Betrüger besetzt ist.

Bei Spear-Phishing-Angriffen werden in hohem Maße Social-Engineering-Techniken eingesetzt. Dabei handelt es sich um Methoden, die auf psychologischem Druck basieren oder auf sonstige manipulative Weise Menschen zu Aktionen verleiten, die sie normalerweise nicht durchführen würden.

Dabei nehmen sie etwa die Identität eines hochrangigen Unternehmensvertreters an, wie in der Spear-Phishing-E-Mail oben. Die Mitarbeitenden sind darauf konditioniert, Autorität zu respektieren, und haben unbewusst Angst davor, den Anweisungen einer Führungskraft nicht Folge zu leisten, selbst wenn diese Anweisungen ungewöhnlich sind. Spear-Phishing-Angriffe basieren auf anderen Social-Engineering-Techniken, darunter:

• Pretexting – Erfinden einer realistischen Geschichte oder Situation, die die Zielperson wiedererkennt und mit der sie sich identifizieren kann, z. B. „Ihr Kennwort läuft bald ab …“
   

• Schaffen eines Gefühls der Dringlichkeit – Scammer geben sich beispielsweise als Anbieter aus und geben an, eine Zahlung für eine wichtige Dienstleistung sei verspätet.

• Sie appellieren an Emotionen oder unterbewusste Motivatoren – und versuchen so bei der Zielperson, Angst, Schuldgefühle oder Gier auszulösen, indem auf eine Ursache oder ein Ereignis verwiesen wird, das der Zielperson wichtig ist, oder sind einfach nur hilfreich (z. B. ,Hier ist ein Link zu einer Website, auf der die Computerteile verkauft werden, nach denen du gesucht hast.')

Bei den meisten Spear-Phishing-Angriffen werden mehrere Social-Engineering-Taktiken kombiniert, z. B. eine Notiz des direkten Vorgesetzten der Zielperson mit folgendem Inhalt: „Ich steige gleich in den Flieger und mein Akku ist bald leer. Können Sie rasch die Überweisung an XYZ Corp veranlassen, um die Verzugsgebühren zu vermeiden?“

Zwar handelt es sich bei jedem Phishing-Angriff, der auf eine bestimmte Person oder Gruppe abzielt, um einen Spear-Phishing-Angriff. Es gibt jedoch einige Subtypen, die hervorzuheben sind.

Whaling (manchmal auch Whale-Phishing genannt) ist Spear-Phishing, das auf die Opfer der höchsten Unternehmensebene abzielt – häufig wichtige Vorstandsmitglieder oder Führungskräfte, aber auch nicht-unternehmerische Ziele wie Prominente und Politiker. Whaler haben es auf Beute abgesehen, die nur diese Ziele bieten können – sehr große Geldsummen oder Zugang zu äußerst wertvollen oder streng vertraulichen Informationen. Es überrascht nicht, dass Whaling-Angriffe in der Regel detailliertere Untersuchungen erfordern als andere Spear-Phishing-Angriffe.

Business Email Compromise (BEC) ist eine Form des Spear-Phishing, die speziell auf den Diebstahl von Informationen oder Geld von Unternehmen abzielt. Zwei häufige Formen von BEC sind:

• CEO Fraud. Der Betrüger nimmt die Identität einer Führungskraft an, indem er E-Mails in dessen Namen aussendet oder sich direkt in das E-Mail-Konto hackt. Er sendet dann eine Nachricht an einen oder mehrere Mitarbeiter auf niedrigerer Ebene und weist sie an, Geld auf ein betrügerisches Konto zu überweisen oder einen Kauf bei einem betrügerischen Anbieter zu tätigen.
   

• Email Account Compromise (EAC). Der Betrüger verschafft sich Zugriff auf das E-Mail-Konto eines untergeordneten Mitarbeiters, z. B. eines Managers in der Finanz-, Vertriebs- oder Forschungs- und Entwicklungsabteilung. So versendet er betrügerische Rechnungen, weist andere Mitarbeiter an, Einzahlungen zu tätigen, oder fordert Zugriff auf vertrauliche Daten an.

Erfolgreiche BEC-Angriffe gehören zu den kostenintensivsten Fällen von Cyberkriminalität. In einem der bekanntesten Beispiele für BEC überzeugten Hacker, die sich als Geschäftsführer ausgaben, die Finanzabteilung seines Unternehmens, 42 Millionen Euro auf ein betrügerisches Bankkonto zu überweisen.

Phishing-Angriffe gehören zu den am schwersten zu bekämpfenden Cyberangriffen, weil sie nicht immer durch klassische (signaturbasierte) Cybersicherheitstools erkennbar sind. In vielen Fällen muss der Angreifer nur „menschliche“ Schutzmechanismen überwinden. Spear-Phishing-Angriffe stellen eine besondere Herausforderung dar, weil sie zielgerichtet sind und ihr personalisierter Inhalt sie für den durchschnittlichen Empfänger noch überzeugender macht.

Es gibt jedoch Maßnahmen, mit denen die Auswirkungen von Spear-Phishing abgewehrt, wenn nicht gar komplett verhindert werden können:

Sicherheitsbewusstseinstraining. Da Spear-Phishing die menschliche Natur ausnutzt, ist die Schulung der Mitarbeiter eine wichtige Verteidigungslinie gegen diese Angriffe. Schulungen zum Sicherheitsbewusstsein können Folgendes umfassen:

• Vermittlung von Techniken zur Erkennung verdächtiger E-Mails (z. B. Überprüfung von E-Mail-Absendernamen auf betrügerische Domänennamen)
   

• Tipps zur Vermeidung der Preisgabe zu vieler Informationen auf Social-Networking-Sites
   

• Gute Arbeitsgewohnheiten – z. B. niemals unangeforderte Anhänge öffnen; ungewöhnliche Zahlungsanfragen immer über einen zweiten Kanal bestätigen; Anbieter direkt anrufen, um Rechnungen zu bestätigen; direkt zu Websites navigieren, anstatt auf Links in E-Mails zu klicken
   

• Spear-Phishing-Simulationen, bei denen Mitarbeiter das Gelernte anwenden können

Multi-Faktor- und adaptive Authentifizierung. Die Implementierung einer mehrstufigen Authentifizierung (die neben dem Benutzernamen und dem Kennwort weitere Anmeldedaten erfordert) und/oder einer adaptiven Authentifizierung (die zusätzliche Anmeldedaten erfordert, wenn sich Benutzer von verschiedenen Geräten oder Standorten aus anmelden) kann verhindern, dass Hacker Zugriff auf das E-Mail-Konto eines Benutzers erhalten, selbst wenn es ihnen gelingt, dessen E-Mail-Kennwort zu stehlen.

Sicherheitssoftware. Es gibt kein Sicherheitstool, das Spear-Phishing zur Gänze verhindern kann. Vielmehr können mehrere Tools eine Rolle dabei spielen, Spear-Phishing-Angriffe abzuwehren oder den von ihnen verursachten Schaden gering zu halten:

• Bestimmte E-Mail-Sicherheitstools wie Spamfilter und sichere E-Mail-Gateways können zur Erkennung und Umlenkung von Spear-Phishing-E‑Mails beitragen.
   

• Mit Antivirensoftware lassen sich bekannte, durch Spear-Phishing verursachte Malware- oder Ransomware-Ausbrüche neutralisieren.

• Secure Web-Gateways und andere Webfilter-Tools können die in Spear-Phishing-E-Mails verlinkten schädlichen Websites blockieren.
  
  
• System- und Software-Patches können technische Schwachstellen schließen, die häufig von Spear-Phishern ausgenutzt werden.
  
  

• Sicherheitslösungen für Unternehmen können Sicherheitsteams und Security Operations Center (SOC) dabei unterstützen, bösartigen Datenverkehr und Netzwerkaktivitäten im Zusammenhang mit Spear-Phishing-Angriffen zu erkennen und abzufangen. Zu diesen Lösungen zählen unter anderem Security Orchestration, Automation and Response (SOAR), Security Incident and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR) und Extended Detection and Response (XDR).