Die negativen Konsequenzen, die eine Phishing-Mail verursachen kann, dürfen heutzutage den meisten Unternehmen sowie ihren Beschäftigten bekannt sein. Im Rahmen von Schulungen werden Mitarbeiter dann auch darauf hingewiesen, wie eine Phishing-Mail zu erkennen ist – insbesondere Merkmale wie eine unpersönlichen Anrede, Rechtschreibfehler und die Aufforderung zur schnellen Handlung sollten stutzig machen. Unternehmen müssen sich jedoch derzeit auch gegen die sog. Spear-Phishing-Mails wehren, die Angriffe beinhalten, die sich explizit auf einzelne Beschäftigte oder kleinere Gruppen von Mitarbeitern beziehen.
Gezielte Angriffe beim Spear-Phishing
Der größte Unterschied zwischen dem „klassischen“ Phishing und dem Spear-Phishing liegt darin, dass die Inhalte der versandten E-Mail genau auf die Empfänger angepasst sind. Cyberkriminelle nehmen sich viel Zeit – teilweise mehrere Monate – um ihre Opfer auszuspionieren und deren individuelle Gewohnheiten und Präferenzen kennenzulernen. Häufig handelt es sich dabei um hochrangige Beschäftigte, die über erweiterte Zugriffsrechte verfügen.
Informationen über die Beschäftigten werden aus sozialen Medien und anderen öffentlichen Quellen (z. B. die vom Opfer erstellten Bewertungen anderer Unternehmen) gesammelt. Anhand der erworbenen Informationen werden die Nachrichten so formuliert, dass die Inhalte auf den ersten Blick authentisch wirken. Hierbei ist darauf hinzuweisen, dass sich das Spear-Phishing nicht nur auf E-Mails beschränkt. Phishing-Nachrichten werden auch über andere Kommunikationswege – bspw. über soziale Medien – versandt.
In der wie maßgeschneidert formulierten Nachricht geben sich die Betrüger bspw. als Online-Händler, Vertreter eines Finanzinstituts, Geschäftspartner, Bekannte, Vorgesetzte oder Kollegen aus und machen auf persönliche Informationen oder aktuelle Entwicklungen im Unternehmen aufmerksam, um das Vertrauen des Empfängers zu gewinnen.
Psychologische Einflussfaktoren
Zusätzlich zu den vorbezeichneten Mitteln werden psychologische Tricks angewandt, damit der Adressat wichtige Daten preisgibt. Dazu gehören insbesondere:
- Respekt vor Autoritäten: Der Beschäftigte wird zu einem Handeln – z. B. zur Vornahme einer Zahlung – aufgefordert. Die E-Mail wird üblicherweise im Namen eines Vorgesetzten oder eines Vorstandmitglieds versandt.
- Hilfsbereitschaft: Das Opfer erhält eine Nachricht von einem angeblichen Bekannten eines Kollegen, der um Hilfe bei der Lösung eines Problems bittet. Beigefügt wird dabei ein Anhang oder ein Link, der eine Schadsoftware enthält, die den Rechner und das System unbemerkt infiziert.
- Zeitdruck: Der Beschäftigte soll bei einem zeitkritischen Projekt dem angeblichen Projektleiter Informationen übersenden.
- Bedrohung: Ein angeblicher Vorgesetzter fragt nach einem möglichen Fehler des Beschäftigten. Die beigefügte Datei beinhaltet eine Schadsoftware.
- Wichtige Informationen: Es wird eine E-Mail mit relevanten Informationen hinsichtlich der internen Organisation oder Arbeitsweise versandt, die einen Link zur Malware enthält.
Einsatz von KI
Die Künstliche Intelligenz (KI) erleichtert den Hackern die Phishing-Angriffe, da die Betrüger mit ihrer Hilfe schneller an die im Netz veröffentlichten Informationen über mögliche Empfänger gelangen.
Zudem können Tools wie ChatGPT das Verhaltensmuster einer Person verstehen und glaubwürdig wirkende Nachrichten verfassen. Laut der Studie von Singapurs Government Technology Agency sind die Inhalte der von der KI erstellten Nachrichten glaubwürdiger, als derjenigen, die von Menschen verfasst wurden. Aus diesem Grund ist nicht auszuschließen, dass in absehbarer Zukunft Massen von überzeugenden, individualisierten Phishing-Mails versandt werden.
Anderseits gehen viele Security-Experten davon aus, dass bald KI dazu eingesetzt wird, KI-generierte Texte offenzulegen und das Spear-Phishing zu bekämpfen.
Kann man Spear-Phishing-Angriffe verhindern?
Um sich gegen verschiedene Cybersecurity-Attacken zu schützen, sollten Unternehmen prinzipiell angemessene Informationsmaßnahmen – z. B. regelmäßige Software-Updates, Audits sowie Penetrationstests – durchführen. Da sich jedoch die Methoden von Cyberkriminellen ständig weiterentwickeln, können nicht alle Phishing-Mails von den automatisierten E-Mail-Filtern abgefangen werden.
Erfahrungsgemäß bleibt bei jedem (Spear-)Phishing-Angriff der Mensch die größte Schwachstelle. Aus diesem Grund ist es unabdingbar, die Beschäftigten zu schulen und dadurch für das Thema Betrugsversuche im Arbeitsalltag zu sensibilisieren. Die Security-Awareness-Trainings können mit weiteren Maßnahmen, u. a. mit Phishing-Simulationen, kombiniert werden. Die Effizienz der jeweiligen Hilfsmittel ist jedoch im Einzelnen zu prüfen.
Darüber hinaus sollte weitestmöglich vermieden werden, potenziell sensible Informationen über interne Prozesse, die interne Unternehmensstruktur oder Verantwortlichkeiten öffentlich zugänglich zu machen. Zwei-Faktor-Authentifizierungen helfen dabei, unberechtigte Zugriffe zu verhindern, insbesondere wenn im Rahmen von erfolgreichen Phishing-Angriffen Anmeldedaten erbeutet wurden. Zudem ist es notwendig, dass Unternehmen regelmäßig den generellen Stand der implementierten Maßnahmen zur Informationssicherheit überprüfen, um den möglichen Schaden im Falle von erfolgreichen Phishing-Angriffen auf ein Minimum zu begrenzen.
12. März 2024 @ 9:37
Danke für den guten Artikel. Hinweis: Es gibt ja auch noch den speziellen Unterfall des Denglisch-Phishings. Der Angriff ist speziell auf den deutschen Sprachraum zugeschnitten. Studien haben erwiesen, dass gerade dort im internationalen Vergleich eine überdurchschnittliche Awareness für IT-Sicherheit, aber zugleich auch eine unterdurchschnittliche Kritikfähigkeit gegenüber Autoritäten besteht. Eine Mail vom vermeintlichen Chef, einer Behörde oder einem angesehenen Presseorgan, möglichst gespickt mit einer maximalen Zahl Denglischer Begriffe, sogar mit neu und frei erfundenen, erzeugt dort mehr Opfer als im internationalen Vergleich. Sogar ganz ohne KI. Darüber dürft ihr auch mal gerne berichten.
12. März 2024 @ 15:31
Vielen Dank für Ihre Hinweise. Die Entwicklung der Phishing-Methoden werden wir beobachten und von neuen Tricks berichten.