Gängige Spear-Phishing-Techniken

Um auf Unternehmensangriffe vorbereitet zu sein, müssen IT-Sicherheitsbeauftragte über empfangene Spear-Phishing-E-Mails Bescheid wissen.

So gut wie jeder Mitarbeiter eines Großunternehmens wird gelegentlich mit E-Mails konfrontiert, die darauf abzielen, die Zugangsdaten des Unternehmens zu entwenden. Dabei handelt es sich in der Regel um Massen-Phishing: ein Angriff, bei dem E-Mails wahllos verschickt werden, in der Hoffnung, dass zumindest einige der Empfänger in die Falle tappen. Unter diesen Massenmails können sich jedoch auch gefährlichere, zielgerichtete Nachrichten befinden, deren Inhalt auf bestimmte Mitarbeiter oder Unternehmen abzielt. Genannt wird diese Art des Phishings Spear-Phishing.

Spear-Phishing-Nachrichten sind ein deutliches Zeichen dafür, dass Cyberkriminelle speziell an Ihrem Unternehmen interessiert sind, und es möglicherweise weitere Angriffe auf Letzteres geben wird oder bereits gibt. Deshalb ist es bei Spear-Phishing-Mails besonders wichtig, beauftragte Sicherheitsexperten rechtzeitig zu informieren, um Gegenmaßnahmen in die Wege zu leiten und Mitarbeiter zu warnen.

Aus diesem Grund raten wir unternehmenseigenen IT-Abteilungen dazu, gefilterte E-Mails regelmäßig auf Spear-Phishing zu überprüfen und Mitarbeiter darin zu schulen, Anzeichen für zielgerichtetes Phishing zu erkennen. Im Folgenden finden Sie einige der gängigsten Tricks mit Beispielen aus aktuellen Spear-Phishing-Kampagnen.

Unternehmensnamen mit Rechtschreibfehlern

Das menschliche Gehirn nimmt ein geschriebenes Wort nicht immer in seiner Gesamtheit wahr – es registriert beispielsweise den Anfang eines ihm bekannten Wortes und vervollständigt den Rest von selbst. Angreifer können sich diese Eigenschaft zunutze machen, indem sie eine Domain registrieren, die sich nur durch ein oder zwei Buchstaben von der Ihres Unternehmens unterscheidet.

Im Firmennamen fehlt ein Buchstabe

Im Firmennamen fehlt ein Buchstabe

Die Cyberkriminellen, denen die Domain gehört, können sogar eine DKIM-Signatur einrichten, sodass die E-Mail alle Prüfungen problemlos besteht.

Gültige DKIM-Signatur in einer Spear-Phishing-E-Mail

Gültige DKIM-Signatur in einer Spear-Phishing-E-Mail

Zusätzliche Wörter im Unternehmensnamen

Eine andere Möglichkeit, den Empfängern vorzugaukeln, dass ein Kollege am anderen Ende der Leitung sitzt, ist die Registrierung einer Zwei-Wort-Domain, um beispielsweise als Absender einer lokalen Niederlassung oder einer bestimmten Abteilung zu erscheinen. Im letzteren Fall geben sich die Cyberkriminellen oft als technischer Support oder Sicherheitspersonal aus.

Dem Firmennamen wird das Wort „Sicherheit“ oder „Security“ hinzugefügt

In Wirklichkeit sollten die Mitarbeiter aller Abteilungen eine einheitliche Unternehmens-E-Mail-Adresse besitzen. Denn speziell für das Sicherheitspersonal eingerichtete Domains sind mehr als selten. Falls Sie sich bei lokalen Niederlassungen nicht sicher sind, überprüfen Sie die Domain im Adressbuch des Unternehmens.

Spezifischer Inhalt

Eine Phishing-E-Mail, in der Ihr Unternehmen (oder noch schlimmer, der Empfänger) namentlich erwähnt wird, ist ein sicheres Zeichen für Spear-Phishing und ein Grund, Alarm zu schlagen.

Hochspezialisiertes Thema

Streng genommen bedeutet die Erwähnung dieser Namen nicht immer, dass es sich bei einer Nachricht um Spear-Phishing handelt – es könnte sich auch um eine Variation eines Massen-Phishing-Betrugs handeln. So können Phisher beispielsweise eine Datenbank mit den Adressen von Konferenzteilnehmern nutzen und sich das Thema der Konferenz zunutze machen – das ist Massenphishing. Versuchen sie jedoch, Mitarbeiter eines bestimmten Unternehmens auf genau dieselbe Art und Weise anzugreifen, handelt es sich um Spear-Phishing, und die zuständigen Sicherheitsbeauftragten müssen darüber informiert werden.

Um schließlich nach potentiellen Spear-Phishing-Anzeichen suchen zu können, ohne die eigentliche Sicherheit des Unternehmens zu beeinträchtigen, empfehlen wir die Installation von schützenden Antiphishing-Lösungen sowohl auf Mail-Servern als auch auf den Workstations der Mitarbeiter.

Tipps