Nach einem langen Wochenende setzen Sie sich in Ihren Schreibtischwürfel und sehen, dass Sie eine neue E-Mail haben.
Sie ist von Ihrem Chef, aber es ist nicht seine Arbeitsemail. Ein wenig seltsam, aber vielleicht hat er seinen privaten Computer benutzt, als er sie geschickt hat – nun ja.
Er erwähnt, wie beeindruckt er von Ihrer Arbeit am neuen Projekt ist und bittet Sie, einen Anhang vor Ihrem nächsten Treffen zu überprüfen. Es gibt eine PDF angehängt, also laden Sie sie herunter und sehen Sie sie sich an.
Am nächsten Tag sehen Sie Ihren Chef im Büro und lassen ihn wissen, dass Sie das PDF gelesen haben. Er blickt Sie verwirrt an, als kämen Sie vom Mars.
Seltsam, aber vielleicht hat er einfach noch keinen Kaffee getrunken. Sie machen Ihre Arbeit, und das ist das Wichtigste.
Ein paar Tage später geht ein Memo raus: Es gab einen Datenverstoß. Mitarbeiterdetails, vertrauliche Kundendaten, Finanzdokumente, alles – alles ist im Darknet.
Und wenn Sie zu einem dringenden Treffen mit Ihrem Chef und den IT-Experten gerufen werden, sinkt Ihr Magen. Sie ahnen, wer den Datenverstoß verursacht hat: Sie.
Diese verdächtige E-Mail, die Sie erhalten haben, war mehr als nur verdächtig – sie war Phishing. Genauer gesagt, Spear-Phishing.
Ein raffinierter Angreifer hat Informationen über Sie gesammelt und Ihren Chef überzeugend imitiert.
Als Sie den Anhang heruntergeladen haben, wurde heimlich Schadsoftware auf Ihrem Computer installiert, die dann Ihre Firmendaten gestohlen hat.
Und so wurden Sie ein Opfer von Spear-Phishing. Sie sind nicht allein, 95% der erfolgreichen Cyberangriffe auf Unternehmen betreffen Spear-Phishing.
Was genau ist also Spear-Phishing und warum ist es so effektiv? Und am wichtigsten, wie können Sie sich davor schützen?
Wir haben den ultimativen Leitfaden zum Spear-Phishing direkt hier – bringen wir es auf den Punkt.
Was ist Spear-Phishing?
Spear-Phishing bezeichnet eine spezialisierte Cyberattacke, die auf eine bestimmte Person oder Organisation abzielt.
Der Angreifer versucht, Daten wie Passwörter, Kreditkartennummern oder Dateien vom Ziel zu erhalten. Dies wird über digitale Kommunikationskanäle wie E-Mail, Instant Messaging und soziale Medien gemacht.
Ein Spear-Phisher wird vorgeben, jemand Vertrauenswürdiges zu sein, wie eine Bank, ein Kollege, ein Kunde oder ein verbundenes Unternehmen. Sie sammeln Informationen über Sie und verwenden diese, um ihre Glaubwürdigkeit zu steigern.
Wenn sie überzeugend genug sind, senden Sie ihnen die gewünschten Informationen. Oder Sie öffnen einen Link oder Anhang, der bösartigen Code enthält und ihnen somit geheimen Zugang zu Ihren Daten ermöglicht.
Der grundsätzliche Ablauf eines Spear-Phishing-Angriffs ist immer gleich. Sie werden gezielt ausgewählt, mit schönen Worten umgarnt und dazu verleitet, einem Betrüger Ihre persönlichen oder unternehmensbezogenen Daten zu übergeben.
Datenstatistiken zu Phishing
- 0.4% of all phishing attacks involve spear-phishing
- Over 90% of targeted attacks involve spear phishing
- 95% of successful enterprise attacks involve spear-phishing
- Per a survey by Vanson Bourne, enterprises reported a financial cost of $1.6 million per spear-phishing cyber-attack
- 94% of spear-phishing attacks rely on common email attachments
- 64% of infosec professionals were targeted by spear-phishing in 2018
- 93% of organizations cite phishing as a top threat
Beispiele für Spear Phishing
Wir haben zu Beginn des Artikels ein Beispiel für Spear Phishing besprochen.
Aber das ist bei Weitem nicht die einzige Form, die ein Spear-Phishing-Angriff annehmen kann.
Es kann sein, dass Sie eine Facebook-Nachricht von jemandem erhalten, dessen Namen und Profilbild Sie erkennen. Diese Person könnte sich mit Ihnen über Ihre gemeinsame Alma Mater unterhalten, Namen ehemaliger Klassenkameraden erwähnen und sich mit Ihnen über alte Lehrer beklagen.
Anschließend sendet sie Ihnen einen Link zu einer Datei auf Google Drive und behauptet, es handele sich um ein Video aus Ihrer Schulzeit. Sie öffnen es und es spielt nicht ab, also informieren Sie Ihren “Freund” – und hören nie wieder von ihm.
Diese Datei hat tatsächlich ein Schadprogramm auf Ihrem Computer installiert.
Es hat Ihre Festplatte nach Passwörtern, Verschlüsselungsschlüsseln und anderen sensiblen Informationen durchsucht und diese an Ihren “Freund” weitergeleitet.
Es versteht sich von selbst, dass das nicht wirklich die Person war, die Sie kannten. Es war ein Betrüger, der Ihren tatsächlichen Freund clever mit gestohlenen Profilfotos und öffentlich zugänglichen Informationen nachahmte.
Einige Spear-Phishing-Angriffe sind direkter und spielen eher mit Ihren Ängsten und Unsicherheiten als mit Kameradschaft.
Es könnte sein, dass Sie eine E-Mail von Ihrem Vorgesetzten bekommen, geschrieben mit seinen typischen Tippfehlern und Gewohnheiten. Darin könnte ein echter Kunde erwähnt werden, mit dem Sie zusammenarbeiten, und der sehr verärgert ist, dass Sie die Gelder noch nicht überwiesen haben.
Die Nachricht impliziert, dass Sie Disziplinarmaßnahmen zu erwarten haben, weil Sie Ihre Arbeit nicht erledigt haben, und Ihnen wird angewiesen, sofort Geld auf ein bestimmtes Konto zu überweisen.
Es klingt glaubwürdig und beängstigend, so dass Sie tun, was verlangt wird, bevor es Ihnen einfällt, direkt mit Ihrem Vorgesetzten zu sprechen.
Und so haben Sie Firmengelder an einen Spear-Phishing-Angriff gesendet.
Spear Phishing im Vergleich zu Phishing und Whaling
Wie unterscheidet sich Spear Phishing aber von anderen Arten von Angriffen, wie Phishing und Whaling?
Phishing
Wir verbinden Phishing üblicherweise mit Betrügereien à la nigerianischer Prinz und gefälschten Microsoft-E-Mails. Diese Angriffe verwenden jedoch den Ansatz “streuen und hoffen”: so viele Menschen wie möglich erreichen und darauf hoffen, dass ein paar darauf hereinfallen.
Dieser nigerianische Prinz wird Ihren vollständigen Namen, Ihre Telefonnummer, Ihre Adresse oder andere persönliche Angaben nicht erwähnen. Diese E-Mails sind völlig generisch und werden auf einmal an tausende von Menschen versendet.
Der Betrüger verschwendet keine Zeit damit, Sie von irgendetwas überzeugen zu wollen. Vielmehr setzen sie darauf, dass nur die gutgläubigsten oder uninformiertesten Empfänger auf die Nachricht reagieren.
Spear-Phishing
Wenn wir reguläres Phishing als das Auswerfen eines großen Netzes ansehen, in dem ein paar unglückliche Opfer gefangen werden, dann macht der Begriff “Spear-Phishing” mehr Sinn.
Ein Spear-Phishing Angreifer wählt ein spezifisches Ziel aus, beobachtet es eine Weile und schlägt mit Präzision zu, wenn der Moment richtig ist. Der Angriff ist speziell auf eine einzelne Entität zugeschnitten.
Reguläre Phishing-Angriffe können sich an jeden richten und oft Einzelpersonen ins Netz locken. Sie sind jedoch gegen Unternehmen und andere mit starken Sicherheitsmaßnahmen weniger effektiv.
Im Gegensatz dazu richten sich die meisten Spear-Phishing-Angriffe an Unternehmen, Regierungen und andere Organisationen. Diese verfügen in der Regel über mehr Ressourcen als Einzelpersonen, was die Angriffe lukrativer macht.
Wal-Phishing
Spear-Phishing ist also eine Unterart des Phishing, bei der spezifische Ziele und individuelle Angriffe involviert sind.
Doch es gibt eine noch spezialisiertere Unterart des Spear-Phishing: das Wal-Phishing.
Bei Whaling handelt es sich um Spear-Phishing, das sich gegen die höchstrangigsten oder wichtigsten Vertreter einer Organisation richtet. Die erfolgreiche Attacke auf einen dieser großen Akteure kann dem Angreifer einen Vermögenswert an Geld oder Daten einbringen.
Diese möglichen Belohnungen sind für Spear-Phisher unglaublich verlockend. Angriffe auf untergeordnete Mitarbeiter könnten einfacher erscheinen, doch die Ausbeute ist einfach nicht so hoch.
Der CFO oder CEO eines Unternehmens mag viel schwerer zu erreichen sein – und noch schwieriger zu täuschen. Oftmals verfügen sie über zusätzliche Sicherheitsebenen und sind wachsamer, um Betrügereien zu vermeiden.
Ironischerweise könnte das sie jedoch zu selbstsicher machen und somit noch anfälliger für Angriffe. In einem Experiment fielen 75% der CEOs auf mindestens einen Whaling-Angriff herein.
Whaler sind im Allgemeinen sehr geschickt sowohl im Hacken als auch im Social Engineering. Sie sind selbstbewusst genug in ihren Fähigkeiten, um das Risiko einzugehen und zu versuchen, einen Wal zu harpunieren.
Wie funktioniert Spear Phishing?
Wir alle möchten glauben, dass wir niemals auf eine Betrugsmasche jeglicher Art hereinfallen würden, einschließlich Spear Phishing.
Die Realität ist jedoch, dass Spear-Phisher extrem geschickt in dem sind, was sie tun. Ihre Techniken sind raffiniert, clever und könnten unter den richtigen Umständen fast jeden täuschen.
Um Spear Phishing wirklich zu verstehen, müssen wir in die Gedankenwelt eines Spear-Phishers eintauchen. Sicherlich gibt es angenehmere Orte, aber es ist entscheidend, genau zu verstehen, wie Spear Phishing funktioniert.
Schritt Eins: Auswahl eines Ziels
Alle Spear-Phishing-Angriffe beginnen mit der Auswahl eines Ziels. Der Prozess hängt dabei davon ab, wer genau den Angriff durchführt.
Viele Spear-Phisher arbeiten im Auftrag von Regierungen oder anderen Organisationen, wie zum Beispiel konkurrierenden Unternehmen. Das Ziel in diesen Fällen ist normalerweise das Sammeln von Informationen oder vertraulichen Daten, nicht Geld.
So zielen diese Spear-Phishing-Angriffe auf Personen ab, die über die Informationen verfügen, die sie suchen. Wenn das Ziel beispielsweise darin besteht, eine Kundenliste eines Unternehmens zu erhalten, könnte der Angreifer die Unternehmensführungsseite betrachten und sich auf Konten-Verantwortliche konzentrieren.
Unabhängige Spear-Phishing-Angreifer verfolgen eher das Ziel Geld zu erlangen.
Manchmal tun sie dies, indem sie Daten von ihren Zielpersonen stehlen und diese an konkurrierende Unternehmen verkaufen. In anderen Fällen nehmen sie einfach direkt Geld von ihren Opfern.
Diese Angriffe beginnen wahrscheinlicher mit einem eher zufällig gewählten Element.
Ein Angreifer könnte einen vorliegenden Datenmissbrauch durchforsten, verschiedene potenzielle Ziele begutachten und diejenigen auswählen, die am wahrscheinlichsten auf den Betrug hereinfallen würden. Nutzer mit schlechten Passwörtern sind beispielsweise wahrscheinlich nicht sehr wachsam in Bezug auf ihre Sicherheit.
Schritt Zwei: Aufklärung
Sobald ein Ziel ausgewählt ist, muss der Spear-Phisher einige Nachforschungen anstellen.
Die Wahrscheinlichkeit ist hoch, dass ihr Opfer nicht auf eine allgemeine Aufforderung wie “Klicken Sie auf diesen Link” oder “Senden Sie Geld hierhin” hereinfallen wird. Zunächst muss ein falsches Sicherheitsgefühl erzeugt werden.
Die Einbeziehung persönlicher Informationen in Spear-Phishing-Nachrichten erhöht die Erfolgschancen des Spear-Phishers. Das Opfer wird dem Angreifer automatisch mehr vertrauen, wenn es den Anschein hat, dass sie sich bereits kennen.
So beginnt der Angreifer, das Internet nach Informationen über das Ziel zu durchsuchen.
Soziale Medienprofile können Informationen über die Herkunft, Familie, Freunde, Interessen, Lebensereignisse und Ortsdetails preisgeben. All diese können genutzt werden, um Konversationen zu führen, die Glaubwürdigkeit zu erhöhen und sogar das Opfer subtil zu erpressen.
Natürlich sind öffentliche Profile am besten. Aber selbst wenn das Profil des Ziels privat ist, können die öffentlichen Profile von Freunden immer noch viel über das Ziel offenbaren.
Firmenwebseiten stellen ebenfalls fantastische Quellen wertvoller Informationen dar. Dank Personal-Seiten kann der Angreifer eine Mitarbeiterhierarchie erstellen, um Kollegen oder Vorgesetzte überzeugender zu imitieren.
Und wenn diese Seiten E-Mail-Adressen für jeden Mitarbeiter enthalten, noch besser. Der Angreifer weiß nun, welche E-Mail-Adressen er fälschen muss, wenn er mit dem Ziel kommuniziert.
Angreifer suchen auch gezielt nach Unternehmen mit offenen IT-Stellen. Solche Stellenanzeigen enthalten typischerweise viele Informationen über die Sicherheits- und Netzwerkinfrastruktur des Unternehmens.
Zum Beispiel kann eine Stellenanzeige Erfahrungen mit einem bestimmten Antivirusprogramm oder Hardware-Modell verlangen. Das signalisiert dem Angreifer, seinen Angriff auf diese Aspekte auszurichten, möglicherweise indem er spezifische Schwachstellen ausnutzt.
LinkedIn ist außerdem eine fantastische Quelle für Unternehmensinformationen. Wenn genug Mitarbeiter Profile haben, kann der Angreifer daraus ein nahezu vollständiges Bild des Unternehmens zusammensetzen.
All diese Informationen helfen dem Spear-Phisher, seinen Angriff zu strukturieren. Jedes Ziel ist anders, daher ist dieser Schritt entscheidend für das Design eines erfolgreichen Phishing-Angriffs.
Schritt 3: Vorbereitung des Speers
Sobald der Spear-Phisher mit den gesammelten Informationen zufrieden ist, ist es an der Zeit, den Angriff durchzuführen.
Falls das Ziel ist, Informationen mittels Malware zu stehlen, muss das Ziel dazu verleitet werden, diese zu installieren.
Dies wird in der Regel durch einen E-Mail- oder IM-Anhang durchgeführt oder über eine Cloud-Sharing-Website wie Dropbox oder Google Drive. Die Datei ist typischerweise ein PDF, eine Tabelle oder ein Dokument.
Diese üblichen Dateitypen können so manipuliert werden, dass sie bösartigen Code enthalten, obwohl sie aussehen wie normale Dateien. Viele Leute vermuten schlichtweg nicht, dass eine normalaussehende DOC-Datei Malware verbergen könnte.
Der Spear-Phisher gibt sich daher als Freund, Kollege, Klient oder eine andere vertraute Person aus. Dies beinhaltet oft die Fälschung einer E-Mail-Adresse oder eines Profils, die der echten vertrauten Person gehören.
Gefälschte E-Mails nutzen möglicherweise den alten Trick des Zeichenvertauschens (“tom65” wird zu “tonn65”). Viele Angreifer richten jedoch ihre eigenen gefälschten E-Mail-Server ein, um die Nachricht so aussehen zu lassen, als käme sie tatsächlich von der echten E-Mail-Adresse des Imitierten.
Die Nachricht könnte einige der in Schritt 2 gesammelten persönlichen Informationen enthalten: “Übrigens, wie geht es David? Er wird bald 10, oder?”
Und sie enthält eine Anlage oder einen Download-Link zu einer Datei, die für das Gespräch relevant zu sein scheint. Es könnte sich um ein Geschäftsdokument, Formulare, Berichte handeln – alles, was das Ziel wahrscheinlich anklicken würde.
Oft enthält die Datei tatsächlich das, was sie vorgibt zu enthalten (oder sieht zumindest so aus). Aber sobald die Datei geöffnet wird, beginnt der schädliche Code zu arbeiten und installiert Malware, die die gewünschten Daten stiehlt.
Wenn der Angriff keine Malware beinhaltet, wird der Spear-Phisher versuchen, die Informationen direkt von der Zielperson zu erhalten.
Dies kann längere Gespräche erfordern, um Vorbehalte zu senken und Vertrauen aufzubauen.
Oder es könnte darum gehen, ein Gefühl der Dringlichkeit zu erzeugen, damit das Ziel handelt, bevor es die Situation durchdenkt.
Der Spear-Phishing-Angreifer könnte vorgeben, ein in Not geratener Freund oder Familienmitglied zu sein. Sie flehen das Ziel an, ihnen Geld zur Bewältigung einer Notfallsituation zu senden.
Oder der Angreifer könnte sich als Vorgesetzter oder Firmenleiter ausgeben und wütend Dokumente oder Informationen verlangen.
Wie effektiv funktioniert Spear Phishing?
In einen Spear-Phishing-Angriff fließt viel Arbeit. Lohnt sich all der Aufwand wirklich?
Die Antwort lautet eindeutig ja.
Spear Phishing macht lediglich 0,4% aller Cyberattacken aus.
Trotzdem sind 34% der Spear-Phishing-Angriffe erfolgreich bei der unerlaubten Erlangung von Daten oder Netzwerkzugriffen. Und laut Microsoft hat sich die Zahl der Spear-Phishing Emails von 2018 auf 2019 verdoppelt.
In der Geschäftswelt ist Spear Phishing die am häufigsten verwendete Angriffsmethode. Wie wir bereits besprochen haben, umfassen 95% der erfolgreichen Unternehmensangriffe Spear Phishing.
Eine überraschende Anzahl dieser Angriffe sind Whaling-Angriffe: 27% der Spear-Phishing-Angriffe zielen auf CEOs und 17% auf CFOs.
Und laut dem Cybersicherheitsunternehmen Symantec, verlassen sich 65% der Hackergruppen hauptsächlich auf Spear-Phishing (PDF-Link).
Die Kosten für die Bewältigung von Spear Phishing sind enorm: im Durchschnitt verlieren Opfer von Spear Phishing pro Vorfall 1,6 Millionen Dollar. Dies beinhaltet Anwaltskosten, entgangene Einnahmen, Verwaltungskosten sowie das Geld, das den Angreifern selbst entzogen wird.
Warum ist Spear Phishing so effektiv?
Spear Phishing nutzt menschliche Emotionen aus, insbesondere Vertrauen, Angst und Mitgefühl.
Wenn jemand eine Autoritätsposition über Ihnen innehat, sind Sie eher geneigt, ohne Nachfragen zu tun, was diese Person sagt.
Das liegt daran, dass Sie ihnen vertrauen und wissen, was zu tun ist – und Sie fürchten Konsequenzen, wenn Sie nicht kooperieren.
Wenn Sie also eine E-Mail von Ihrem Chef erhalten, in der Sie aufgefordert werden, ein Dokument so schnell wie möglich zu lesen, werden Sie dies wahrscheinlich ohne große Bedenken tun. Sie möchten keine Probleme bekommen, weil Sie Anweisungen nicht befolgen oder Befehlen gegenüber skeptisch sind.
Und wenn Ihr Vorgesetzter Ihnen mit ungeduldigem Ton eine E-Mail schickt und ein wichtiges Dokument verlangt, werden Sie es wahrscheinlich einfach senden. Sie bemerken wahrscheinlich nicht einmal, dass das “m” in seiner E-Mail-Adresse durch “nn” ersetzt wurde.
Das Gleiche gilt für persönlichere Spear-Phishing-Angriffe.
Du hast vielleicht Angst, dass dein Freund sauer auf dich wird, wenn du ihm kein Geld schickst oder ihm dein Facebook-Passwort nicht gibst. Aber du vertraust deinem Freund und sorgst dich um ihn, und du möchtest helfen – das ist es, was Freunde tun.
Vielleicht erhältst du eine E-Mail von deiner Bank, in der steht, dass du deine Adresse sofort bestätigen musst. Sie enthält deine richtige Adresse, aber du musst dich einloggen, um sie zu verifizieren.
Du vertraust deiner Bank dein Geld an und fürchtest, keinen Zugang mehr dazu zu haben. Also klickst du auf den Link und gibst dem Spear-Phisher deine Bankdaten.
Mit ein wenig Zeit und Recherche kann ein Spear-Phisher herausfinden, wie er deine stärksten Emotionen hervorrufen kann. Sobald diese im Spiel sind, können sie dazu benutzt werden, dem Spear-Phisher genau das zu geben, was er will.
Diese emotionale Manipulation ist Teil einer Fertigkeit, die als Social Engineering bekannt ist. Man könnte argumentieren, dass Spear-Phisher nicht so sehr Hacker als vielmehr Experten für Social Engineering sind.
Schließlich ist für einen Spear-Phishing-Angriff kaum Ausrüstung notwendig.
Ein Computer, das Internet, ein E-Mail-Server und möglicherweise etwas Malware sind normalerweise alles, was benötigt wird. Letzteres erfordert auch nicht viel technische Erfahrung – es kann problemlos aus dem Darknet bezogen werden.
Was sind erfolgreiche Spear-Phishing-Angriffe?
Viele aktuelle, vielbeachtete Datenlecks und Unternehmens-Hacks sind das Ergebnis von Spear-Phishing. Hier sind einige bemerkenswerte Fälle und die langfristigen Auswirkungen der Angriffe.
Alcoa, Westinghouse und andere
Alcoa, United States Steel, Westinghouse und einige andere amerikanische Unternehmen wurden Opfer eines Spear-Phishing-Angriffs aus einer überraschenden Quelle: der Volksbefreiungsarmee von China.
Seit 2008 hat China Spear-Phishing verwendet, um Geschäftsgeheimnisse, E-Mails, Pläne für Kernanlagen, Netzwerkzugangsdaten und sogar Serverzugang von diesen Unternehmen zu stehlen.
Mitarbeiter erhielten E-Mails von Kollegen oder Firmenleitern mit Anhängen und Links. Die Anhänge gaben oft vor, Tagesordnungen für Meetings und andere unscheinbare Dokumente zu sein.
Aber sobald die Links angeklickt wurden, begann Chinas Malware, enorme Datenmengen zu stehlen.
Alles in allem hat China mehr als 1.4GB Daten (oder 700.000 Seiten mit E-Mails und Anhängen) zwischen 2010 und 2012 von Westinghouse gestohlen. Von Alcoa haben sie fast 4.000 E-Mails und Anhänge genommen, von denen viele die Übernahme chinesischer Unternehmen diskutierten.
China schnappte sich auch die Netzwerkzugangsdaten von fast jedem Mitarbeiter der Allegheny Technologies, einer Verteidigungsfirma.
Epsilon
Der E-Mail-Anbieter Epsilon wurde 2011 Opfer von Spear-Phishing.
Die Angreifer tarnten Malware in Online-Grußkarten und zielten auf Epsilon-Mitarbeiter mit Zugang zur E-Mail-Datenbank des Unternehmens. Die Malware deaktivierte die Antivirenprogramme der Mitarbeiter, installierte Keylogger und ermöglichte den Fernzugriff.
Von dort aus konnten die Angreifer E-Mails von etwa 75 verschiedenen Unternehmen stehlen, die Epsilon für ihre E-Mails nutzten. Das entsprach Hunderttausenden von E-Mail-Adressen.
Vorsichtige Schätzungen beziffern die Kosten dieses Spear-Phishing-Angriffs auf 637,5 Millionen Dollar.
Die schlimmsten Schätzungen belaufen sich auf 4 Milliarden Dollar, was diesen Vorfall zu einem der teuersten Spear-Phishing-Angriffe in der Geschichte machen würde.
Stadt Ocala, Florida
Im September 2019 erhielt die Stadt Ocala, Florida, eine E-Mail von einem Vertragspartner, mit dem sie zusammenarbeitete. Die Vertragsfirma bat darum, ihre Bankverbindung zu ändern und teilte die neuen Kontoinformationen mit.
Einen Monat später reichte der Vertragspartner seine Rechnung bei der Stadt ein und forderte insgesamt fast 750.000 Dollar. Die Stadt überwies daraufhin die Gelder auf das neue Bankkonto, das in der E-Mail vom September genannt wurde.
Es gab nur ein Problem: Diese E-Mail stammte nicht vom Vertragspartner.
Es handelte sich um einen Speer-Phisher — und der war jetzt um 750.000 Dollar reicher.
Ocala konnte schließlich 717.000 Dollar des gestohlenen Geldes zurückfordern; über den verbleibenden Betrag gibt es keine Aufzeichnungen. Vermutlich hat der Spear-Phisher bereits einen Teil des Geldes vom Konto abgehoben.
Die Untersuchung läuft noch, und es gibt keine öffentlich zugänglichen Details. Es ist unklar, ob es Hinweise auf die Identität oder den Aufenthaltsort des Spear-Phishers gibt.
Wie kann ich mich vor Spear Phishing schützen?
Bevor wir fortfahren, müssen wir leider eine schlechte Nachricht verkünden: Spear Phishing ist nicht einfach zu vermeiden.
Spamfilter sind recht gut im Erkennen von gefälschten Bank- und nigerianischen Prinzen-E-Mails. Diese allgemeinen Phishing-Angriffe können von automatisierten Systemen erkannt werden, da sie tendenziell sehr ähnlich sind.
Aber Spear-Phishing-E-Mails sind anders.
Sie stammen von echten oder echt wirkenden E-Mail-Adressen, nicht offensichtlich falschen wie “[email protected]” oder “[email protected]”.
Häufig enthalten sie persönliche Informationen, die in legitimen E-Mails vorkommen – Ihr Name, Interessen, Pläne und Bekanntschaften.
In manchen Fällen können sie von Nicht-Phishing-E-Mails nicht zu unterscheiden sein. Also, wenn sie nicht leicht erkennbar sind, was können Sie tun?
Nun, Sie müssen insgesamt schlauer in Bezug auf Sicherheit werden. Anstatt speziell auf Spear Phishing zu achten, üben Sie bessere Sicherheit in allen Aspekten Ihres digitalen Lebens.
Das hält Sie wachsam gegenüber Spear Phishing-Nachrichten und schützt Sie besser, wenn Sie eine erhalten. Und Sie verbessern auch den Rest Ihrer Online-Sicherheit.
Sichern Sie Ihre Internetpräsenz
Spear Phisher sind stark von Ihrer öffentlich zugänglichen Information abhängig, um ihre Angriffe zu gestalten.
Sie ernten so viel wie möglich von Ihren Social-Media-Profilen. Dann nutzen sie diese Informationen, um eine überzeugendere Darbietung als jemand zu liefern, den Sie kennen.
Es ist also logisch, dass sie dich weniger wahrscheinlich täuschen können, wenn sie weniger Informationen über dich haben.
Deine Social-Media-Profile auf privat zu stellen, ist eine der besten Maßnahmen für deine Sicherheit überhaupt. Dies ist aber besonders wichtig, wenn du Spear-Phishing vermeiden möchtest.
Aber beschränke dich nicht nur auf Facebook und Instagram. Überprüfe auch die Websites deiner Firma und Schule auf mögliche Erwähnungen von dir oder deinen Kontaktdaten. Wenn du welche findest, fordere deren Entfernung an.
Öffne niemals unbekannte Links oder Anhänge
Hat ein Kollege dir eine Tabelle zur Überprüfung geschickt? Hat dein Vater dir einen Link zu einem angeblich lustigen Video geschickt?
Stopp! Klicke nichts an – du wärst erstaunt, wo sich heutzutage Malware verstecken kann.
Überprüfen Sie immer doppelt die E-Mail-Adresse des Absenders, bevor Sie Links oder Anhänge öffnen. Achten Sie sorgfältig auf Verwechslungen wie “0” anstelle von “o” oder “1” anstelle von “l” — Spear-Phishing-Betrüger nutzen oft solche Tricks.
Überprüfen Sie auch den E-Mail-Anbieter. Wenn die E-Mail Ihres Vaters “[email protected]” ist, könnte ein Spear-Phishing-Betrüger ihn nachahmen, indem er Ihnen von “[email protected]” schreibt und hofft, dass Sie es nicht bemerken.
Auch wenn die E-Mail-Adresse korrekt erscheint, bedeutet das nicht, dass sie sicher ist. Denken Sie daran: Spear-Phishing-Betrüger können E-Mail-Adressen mit den richtigen Werkzeugen perfekt fälschen.
Wenn Sie einen Anhang oder Link erhalten, kontaktieren Sie den Absender auf einem anderen Weg, bevor Sie darauf klicken. Eine schnelle Textnachricht, ein Anruf oder ein persönliches Gespräch sollten bestätigen, dass die E-Mail legitim ist.
Verwenden Sie keine Passwörter mehrfach
Hoffentlich werden Sie nie Opfer eines Spear-Phishing-Angriffs. Sollte dies doch passieren, sind Sie deutlich besser dran, wenn all Ihre Passwörter einzigartig sind.
Wenn ein Hacker eines Ihrer Passwörter erhält, wird er es auf jeder Seite ausprobieren, die er erreichen kann. Wenn Sie das Passwort für ein anderes Konto wiederverwendet haben, ist dieses Konto nun ebenfalls kompromittiert.
Und wenn dieses Konto gerade Ihr Bankkonto, Ihre E-Mail, Schule oder ein anderes wichtiges Geschäft ist, könnte der Schaden enorm sein.
Verwenden Sie auf jeder Webseite ein anderes Passwort, um das Ausmaß eines potentiellen Spear-Phishing-Schadens zu minimieren. Ein Passwort-Manager wie Bitwarden oder KeePassXC kann Ihnen helfen, den Überblick über alle zu behalten.
Nutzen Sie hochwertige Sicherheitssoftware
Antivirenprogramme sind hervorragend bei der Blockierung regulärer Phishing-Seiten, aber Spear-Phishing ist ein ganz anderes Spiel. Immerhin sind Antivirenprogramme darauf ausgelegt, andere Programme zu erkennen, und Spear-Phishing ist viel persönlicher als ein Programm.
Das beste Antivirusprogramm der Welt schützt Sie nicht vor Spear-Phishern und anderen versierten Social Engineers. Dennoch ist es äußerst wichtig, dass Sie eines verwenden, insbesondere auf Windows und Android.
Falls Sie Opfer eines anderen Malware-Angriffs geworden sind, sind Ihre Informationen wahrscheinlich in den zwielichtigsten Teilen des Internets zu finden. Und das macht Sie anfälliger für zukünftige Angriffe, einschließlich Spear-Phishing.
Zusätzlich zu Antivirus-Software empfehlen wir die Nutzung eines VPN.
VPN verschlüsseln Ihren Internetverkehr und lassen Sie Ihre IP-Adresse vor den von Ihnen besuchten Websites verbergen. Dies schützt Sie vor vielen Arten von Hackern und anderen Schnüfflern, einschließlich Ihrem ISP und der Regierung.
Viele VPNs kommen auch mit serverseitigen Malware- und Phishing-Blockern. Diese schützen zwar nicht vor Spear-Phishing, aber sie hindern Sie daran, bösartige Websites zu besuchen oder infizierte Dateien herunterzuladen.
Wir empfehlen CyberGhost, ein VPN, das Sicherheit an erste Stelle setzt und erstklassige Verschlüsselung bietet. Auch NordVPN ist eine gute Option, es hat den hervorragenden CyberSec-Malware-Blocker.
Fazit: Keine Software kann Sie vollständig vor Spear-Phishing schützen. Es liegt in Ihrer Verantwortung, gute Sicherheitspraktiken auszuüben und sich aller potenziellen Bedrohungen bewusst zu sein.
Aber die Verwendung einer guten Antivirensoftware und eines VPN trägt erheblich dazu bei, Ihre Sicherheit zu erhöhen. Sie müssen wissen, wie Sie sich verteidigen können, egal was passiert – aber eine starke Rüstung hilft immer.
Zusammenfassung
Kurz gesagt, Spear-Phishing ist eine ausgeklügelte, zielgerichtete Attacke, die häufig gegen Unternehmen und prominente Persönlichkeiten eingesetzt wird. Der Angreifer gibt vor, eine vertrauenswürdige Person zu sein, um Daten oder Geld von Ihnen zu stehlen.
