Spear-Phishing: Gezielte Angriffe auf Ihre Daten

IONOS Redaktion15.05.20207 mins

Inhaltsverzeichnis

Spear-Phishing ist eine gezielte Form des Phishings, bei der Angreifende individuell zugeschnittene E-Mails oder Nachrichten an bestimmte Personen oder Organisationen senden, um vertrauliche Informationen zu stehlen oder Schadsoftware einzuschleusen. Im Gegensatz zum allgemeinen Phishing basiert Spear-Phishing auf persönlichen Informationen über das Opfer, um besonders glaubwürdig zu wirken.

Was ist Spear-Phishing?

Das Prinzip von Phishing ist simpel: Betrügerinnen und Betrüger erstellen gefälschte Phishing-Mails, Websites und teilweise sogar Kurznachrichten, die authentisch aussehen und Anmeldeinformationen von Nutzenden verlangen. Auf diese Weise kommen Kriminelle an Zugangsdaten für Onlineshopping, Social Media, Cloud-Speicher und Co.

Beim Spear-Phishing handelt es sich um eine besondere Variante des Phishings. Statt ein möglichst breites Publikum mit beispielsweise Spam-Mails anzusprechen, wählen die Betrügenden ihre Zielgruppe genauestens aus. Mit konkreten Informationen zur ausgewählten Gruppe können sie sehr glaubhafte Nachrichten und Websites erstellen. Der Aufwand ist höher, die Erfolgsrate aber ebenfalls.

Sichere E-Mail Adresse für digitale Privatsphäre

Professioneller Daten- und Sicherheitsschutz
E-Mail-Verschlüsselung mit SSL/TLS
Top-Virenschutz dank Firewalls und Spamfilter
Tägliche Backups, tägliche Absicherung

Wie funktioniert Spear-Phishing?

Spear-Phishing sucht sich seine Opfer ganz genau aus und schneidet den Betrugsversuch exakt auf die ausgewählten Personen zu. Im Fokus dieser Angriffe stehen deshalb vor allem Unternehmen und Organisationen. Die Akteure, die diese Phishing-Variante einsetzen, unterscheiden sich oftmals auch von den üblichen Betrügenden. Statt einfach irgendwelche Informationen zu sammeln und diese im Darknet dem Meistbietenden zu verkaufen, gehen sie gezielt gegen das spezielle Opfer vor, um dem betreffenden Unternehmen oder der Organisation zu schaden. Neben dem Abgreifen von Bankdaten sind deshalb auch Industriespionage und Cyberangriffe auf militärische Ziele oder die Infrastruktur einer Region mögliche Angriffsszenarien.

Im Vorfeld spionieren Betrüger und Betrügerinnen die Zielgruppe aus und sammeln Informationen, die später ihre Glaubwürdigkeit unterstützen. Dann setzen sie eine E-Mail auf, die möglichst konkret auf die Organisation zugeschnitten ist. Als Absender bzw. Absenderin wird meist eine vermeintliche Autoritätsperson oder ein fiktiver Geschäftspartner gewählt. Besonders erfolgreich dürfte Spear-Phishing deshalb auch in großen, internationalen Konzernen sein, in denen nicht alle Mitarbeitenden über die komplette Struktur Bescheid wissen. Man bringt das Opfer so dazu, sensible Daten preiszugeben oder Schadsoftware herunterzuladen.

Spear-Phishing an einem Beispiel erklärt

Nehmen wir an, ein Hacker oder eine Hackerin hat sich als Opfer einen internationalen Konzern ausgesucht. Zunächst wird er versuchen, möglichst viele Informationen herauszufinden: Wie ist das Unternehmen aufgebaut? Wie funktioniert die Kommunikation untereinander? In welchen Bereichen ist das Unternehmen aktiv? Auch ein E-Mail-Verteiler ist wichtig, um die benötigten Adressen zu erhalten. Der bzw. die Angreifende schickt die E-Mail allerdings nicht an den ganzen Konzern: zu hoch wäre die Gefahr, dass der Betrugsversuch schnell entdeckt und das ganze Unternehmen vor der Aktion gewarnt wird.

Stattdessen erhalten nur ausgewählte Personen die E-Mail und werden darin auch konkret angesprochen. Über soziale Netzwerke wurden im Vorfeld detaillierte Informationen über die Mitarbeitenden gesammelt. Für das Opfer wirkt die Nachricht deshalb besonders glaubwürdig. Als Autor bzw. Autorin der E-Mail fungieren angebliche hochrangige Mitarbeitende aus einer anderen Filiale. Absendername und -adresse lassen sich sehr leicht fälschen, und so fällt es auf den ersten Blick gar nicht auf, dass eigentlich jemand anderes hinter der Nachricht steckt.

In der E-Mail bringt die angreifende Person einen Button unter, der das Opfer bei einem Klick auf eine ebenfalls gefälschte Website weiterleitet. Das eigentliche Ziel wird dabei verschleiert. Sobald der User die Website aufgerufen hat, kann im Hintergrund Schadsoftware geladen werden. Wenn sich diese auf dem PC des Opfers breitmacht, kann der Hacker bzw. die Hackerin u. U. das komplette Unternehmensnetzwerk ausspionieren.

Das Opfer denkt zu diesem Zeitpunkt noch, es hätte eine normale Website besucht und dort vielleicht an einer Umfrage teilgenommen. So kann sich der Virus unbemerkt im Netzwerk des Konzerns ausbreiten und der die angreifende Person bekommt vollen Zugriff oder kann unternehmenskritische Prozesse stören.

E-Mail-Hosting

Professionelles E-Mail-Hosting ganz nach Ihrem Bedarf

Personalisierte E-Mail-Adresse
Zugriff auf E-Mails immer und überall
Höchste Sicherheitsstandards

Wie kann man sich vor Spear-Phishing schützen?

Tipp 1: Skeptisch bleiben

Am besten können sich Nutzende durch eine gesunde Portion Skepsis vor Spear-Phishing schützen. Wer nicht auf unbekannte Links klickt oder unerwartete Dateianhänge öffnet, kann eigentlich nicht Opfer werden. Das Problem allerdings ist, dass solche Angriffe (im Gegensatz zu üblichen Phishing-Mails) sehr gut gemacht sind. Während man bei der üblichen Spam-Mail schon an der Orthografie und so manch unsinniger Behauptung den dubiosen Charakter erkennt, sind Spear-Phishing-Nachrichten sehr viel besser ausgearbeitet. Sie wirken seriös und echt.

Tipp 2: Kühlen Kopf bewahren

Spear-Fishing-Attacken arbeiten mit den Schwächen von Menschen, in erster Linie mit Neugierde und Angst. Wer denkt, er würde etwas Wichtiges verpassen oder übersehen, läuft eher Gefahr, seine Skepsis abzulegen und auf die Masche hereinzufallen. Deshalb versprechen Spear-Phishing-Nachrichten oftmals Informationen, die die eigene Karriere voranbringen könnten, oder treten so autoritär auf, als hätte man bei Missachtung schwere Konsequenzen zu fürchten.

Tipp 3: Sensible Daten schützen

Spear-Phishing kann nur funktionieren, wenn der oder die Angreifende genug Informationen über das Opfer findet. Die erste Anlaufstelle dafür sind Social-Media-Accounts. Dort sollte man also nicht zu viel von sich preisgeben, schon gar nicht Informationen, die mit der Arbeit zu tun haben. Über Social Engineering versuchen Betrügerinnen und Betrüger weitere Informationen zu bekommen. Auch hier gilt es Vorsicht zu bewahren: Unbekannten sollte man niemals sensible Daten weitergeben, egal wie vertrauenswürdig der Kontakt erscheint.

Tipp 4: Absendende im Sendeprotokoll prüfen

Man kann aber auch direkt an der Nachricht den illegitimen Charakter erkennen. Besonders bei E-Mails lohnt sich ein genauerer Blick auf die Absenderadresse. Zwar werden der Name und die vorgebliche Adresse gefälscht sein, im Sendeprotokoll der E-Mail befindet sich allerdings die eigentliche Adresse. Viele moderne E-Mail-Clients wie Outlook lassen die Quelle zugunsten eines Anzeigenamens verschwinden; man kann sich aber (mal mehr, mal weniger einfach) den Header einer E-Mail anzeigen lassen. Erkennt man dort, dass die Quelle nicht mit den Angaben des angeblichen Absendenden übereinstimmt, besteht ein hohes Betrugsrisiko.

Tipp 5: HTML und Bilddownload meiden

Eine weitere Sicherheitsvorkehrung im E-Mail-Verkehr ist es, auf HTML zu verzichten und Bilder nicht automatisch nachladen zu lassen. Auf diese Weise wird verhindert, dass schädliche Programme schon beim Öffnen der Nachricht auf den Rechner des Opfers gelangen können.

Tipp 6: Unbekannte Anhänge nicht öffnen

Anhänge von unbekannten Absenderinnen und Absendern sollten ohnehin nicht geöffnet werden. Hier muss man zunächst die Identität des Absendenden überprüfen. Auch wenn dieser seriös wirkt, sollte man nie Anhänge von Absenderinnen oder Absendern öffnen, mit denen man noch nicht zuvor kommuniziert hat. Auch wenn die absendende Person bekannt zu sein scheint: Öffnen Sie keine Dateianhänge, die Sie nicht erwarten. Der Rechner der bekannten Person könnte bereits von einem Schadprogramm infiziert sein. Fragen Sie im Zweifel persönlich nach.

Tipp 7: URLs und Links genau prüfen

Aufpassen sollte man auch bei den Internetadressen, die sich hinter Links befinden. Man kann sie schon sehen, bevor man auf den Hyperlink klickt. Durch URL-Spoofing versuchen Angreifende, ihre Domain wie eine rechtmäßige Adresse aussehen zu lassen. Mit etwas Aufmerksamkeit kann man diesen Trick schnell enttarnen. Adressen, die gekürzt und damit verschleiert wurden, sollten vorher wieder in die Ausgangsform gebracht oder komplett ignoriert werden.

Tipp 8: E-Mail-Absender fälschungssicher machen

Neben individuellen Schutzmaßnahmen spielt auch die technische Konfiguration des Mailservers eine große Rolle im Kampf gegen Spear-Phishing. Mit SPF-Records, DKIM und besonders DMARC lassen sich Absenderadressen absichern, sodass E-Mails, die angeblich von einer Domain stammen, technisch verifiziert werden können. Damit kann ein Unternehmen verhindern, dass Cyberkriminelle im Namen der eigenen Domain gefälschte Nachrichten versenden.

Fazit

Die beiden besten Abwehrmechanismen gegen Spear-Phishing sind gesundes Misstrauen sowie offene Kommunikation mit Kolleginnen und Kollegen. Wer auffällige Nachrichten mit unbekannten Absenderadressen im Kollegenkreis anspricht und angebliche Absendende zu identifizieren versucht, kann Betrugsfälle schnell aufdecken.

War dieser Artikel hilfreich?

KI-Wissen für Ihren Erfolg

Unser Newsletter bringt Ihnen die wichtigsten Insights rund um KI – verständlich, praxisnah und auf den Punkt.

1Password-Alternativen: Die besten Passwortmanager

Passwortmanager sind extrem praktische Tools, mit denen Sie das alltägliche Passwortchaos besser bewältigen können. Sie funktionieren meist über Browser-Erweiterungen oder Desktop-Apps und sind plattformübergreifend verfügbar. Unter den Passwortmanagern hat sich besonders…

Sicherheit

Phishing-Mails erkennen: Indizien im Überblick

Dubiose Nachrichten, mit denen Trickbetrüger an sensible Daten gelangen möchten, sind für viele Internetnutzer ein alltägliches Ärgernis. Doch sogenanntes Phishing ist nicht nur lästig, betrügerische Mails richten auch jedes Jahr einen Schaden in Millionenhöhe an. Wir verraten,…

SSL
Newsletter
Sicherheit

So schützen Sie sich vor lästigen und gefährlichen Spam-Mails

Täglich landen unzählige Spam-Mails im Postfach – lästig und oft gefährlich. Lernen Sie, sie zuverlässig zu erkennen und mit einfachen Maßnahmen zu stoppen.

Botnets: So können Sie sich schützen

Botnets sind schwer zu erkennen, dabei sind sie überall im Internet verteilt und richten täglich Schaden an. Unbemerkt laufen sie im Hintergrund und nutzen Millionen private Computer für illegale Zwecke. Wie man sich davor schützen kann, Teil eines illegalen Netzwerks zu werden,…

Datenschutz
Sicherheit

GaudiLabShutterstock

Smishing: Die besten Tipps für den Kampf gegen Phishing-SMS

Vom Phishing haben die meisten Internetnutzer mittlerweile wohl schon einmal gehört, aber was ist Smishing? Wir erklären, wie die SMS-Betrugsmethode funktioniert und welche Inhalte Cyberkriminelle häufig für SMS-Phishing nutzen. Lernen Sie, worauf Sie achten müssen, um eine…

Sicherheit