E-Mail-Sicherheit

Die Psychotricks der Spear-Phishing-Betrüger

Beim Spear Phishing schicken Cyberkriminelle gezielt betrügerische E-Mails an bestimmte Organisationen oder Personen. Das sind die Tricks der Angreifer.
Von 
CSO | 17. November 2022 06:04 Uhr
Spear-Phishing-Attacken erfolgen über zielgerichtete E-Mail-Angriffe auf ausgewählte Opfer.
Spear-Phishing-Attacken erfolgen über zielgerichtete E-Mail-Angriffe auf ausgewählte Opfer.
Foto: ChrisVanLennepPhoto - shutterstock.com

Ob Heiratsschwindel oder Enkeltrick: Social Engineering wird schon seit vielen Jahrzehnten praktiziert. Im Kern geht es immer um das Gleiche: Betrüger versuchen sich in das Vertrauen ihrer Opfer einzuschleichen, um sie dazu zu bringen, Geld oder andere Vermögenswerte herauszugeben. Im digitalen Zeitalter haben sich neue Social-Engineering-Methoden etabliert, bei denen die Betrüger über gefälschte E-Mails Kontakt aufnehmen.

Beim klassischen Phishing werden große Mengen elektronischer Nachrichten wahllos an unzählige Empfänger verschickt. Die Absender wollen die Adressaten dazu verleiten, vertrauliche Informationen preiszugeben, schädliche Links und Anhänge zu öffnen oder Geld an fremde Konten zu überweisen. Ein Beispiel sind täuschend echt wirkende PayPal-E-Mails, die einen Link zu einer nachgebildeten Webseite enthalten und die Empfänger bitten, dort ihre Login-Informationen zu verifizieren oder zu aktualisieren. Kommen sie dieser Bitte nach, landen ihre Daten direkt in den Händen der Betrüger.

Spear Phishing: Angriffe auf Opfer zugeschnitten

Raffinierter gehen die Cyberkriminellen beim Spear Phishing vor. Ihre Hauptzielgruppe sind die Mitarbeiterinnen und Mitarbeiter von Unternehmen, da dort das meiste Geld zu holen ist. Zunächst nehmen sich die Betrüger viel Zeit, um die sozialen Medien und andere Internet-Quellen nach Informationen über ihre potenziellen Opfer zu durchforsten. Mit diesen Daten erstellen sie dann Phishing-Mails, die exakt auf die Person eines Empfängers zugeschnitten sind. Als Vorgesetzte, Kollegen oder Geschäftspartner getarnt, versuchen die Angreifer, ihre Opfer mit plausibel erscheinenden Aufforderungen oder geschickt ausgelegten Ködern zu überlisten.

Die Hacker täuschen nicht nur Insider-Wissen vor. Sie setzen auch auf psychologische Tricks, um ihre Opfer hereinzulegen. Sie zielen damit so geschickt auf die Gefühle der Empfänger, dass diese oft tun, was von ihnen verlangt wird, ohne darüber nachzudenken. Hier eine kleine Auswahl der wichtigsten psychologischen Einflussfaktoren:

  • Autoritätshörigkeit: Die Betrüger fälschen zum Beispiel eine Mail im Namen eines Vorstandsmitglieds. Darin wird der Mitarbeiter zu einer dringenden Zahlung an einen Lieferanten aufgefordert. Große Geldsummen können so auf ausländische Verbrecher-Konten landen. Die Chancen, diese wieder zurückzuholen, sind meist gering.

  • Hilfsbereitschaft: Der angebliche Bekannte einer Kollegin kontaktiert den Mitarbeiter wegen eines Problems. Die E-Mail enthält einen Dateianhang, den der Mitarbeiter sofort öffnen soll - vielleicht weiß er ja Rat und kann helfen. Die Datei beinhaltet jedoch eine Schadsoftware, die unbemerkt den Rechner und das System infiziert.

  • Zeitdruck: Bei einem terminkritischen Projekt geben sich die Betrüger als Abteilungsleiter aus. Sie fordern den kontaktierten Mitarbeiter auf, sicherheitsrelevante Informationen zu senden und mahnen zur Eile. Da die Zeit für eine genauere Überprüfung fehlt, gibt der Empfänger die gewünschten Informationen preis.

  • Neugier: Im Namen der Geschäftsleitung informieren die Hacker über wichtige strukturelle und personelle Änderungen in der Verwaltung. Die Mail enthält einen Link, der zu einem angeblich aktualisierten Organigramm mit der neuen Verteilung der Verantwortlichkeiten führt. Klicken Mitarbeiter auf den Link, sind sie den Betrügern ausgeliefert.

  • Angst: Auch hier zieht die Chef-Masche. Der angebliche Vorgesetzte fragt wegen einer Rechnung zu einer nicht beauftragten Leistung nach. Der Mitarbeiter bekommt es mit der Angst zu tun, er könne der Untreue verdächtigt werden. Hastig klickt er auf den Link zur Rechnung - und öffnet den Hackern Tür und Tor. Nicht selten wird das Schlupfloch auch als Gelegenheit genutzt, um in das gesamte Unternehmensnetzwerk einzudringen.

Spear-Phishing-Angriffe: Betrügerbanden sind weltweit aktiv

Spear Phishing zählt heute zu den gefährlichsten und häufigsten Methoden für Cyberangriffe. Dabei werden die Attacken zunehmend von international aufgestellten Betrügerbanden ausgeführt und können Unternehmen ein Vermögen kosten. Zu den bekanntesten Beispielen zählt der deutsche Automobilzulieferer Leoni, der durch die Chef-Masche 2016 rund 40 Millionen Euro verlor, während dem österreichisch-chinesischen Luftfahrtzulieferer FACC auf diese Weise sogar 50 Millionen Euro abhandenkamen.

Alarmiert durch die zahlreichen Berichte über diese Vorfälle, wollen viele Unternehmen ihre Mitarbeiter für die Gefahren durch Spear Phishing sensibilisieren. Ein verbreitetes Mittel sind Security-Awareness-Trainings, die sich auf Präsenzschulungen, E-Learnings und Webinare konzentrieren. Dabei werden den Teilnehmer theoretische Kenntnisse vermittelt, wie Spear-Phishing-Attacken ablaufen, woran gefälschte Mails zu erkennen sind und wie sie sich bei einem Angriff zu verhalten haben. Das ist zwar wichtig, doch es reicht oft nicht aus, um die Nutzer wirksam gegen psychologische Angreifertricks zu wappnen.

Zwei höchst unterschiedliche Denksysteme

Der Grund dafür liegt in den beiden unterschiedlichen Denksystemen des Menschen, wie sie der Psychologe Daniel Kahnemann beschreibt. Demnach wird zum einen das "schnelle Denken" von subjektiven Gefühlen und Erfahrungswerten geleitet und neigt zu impulsiven Entscheidungen "aus dem Bauch heraus". Dagegen berücksichtigt das "langsame Denken" objektive Daten und geht bei der Entscheidungsfindung systematisch, rational und logisch vor.

Indem sie objektives Wissens über Spear-Phishing-Methoden vermitteln, zielen herkömmliche Security-Awareness-Trainings auf das zweite Denksystem (das langsame Denken) des Menschen. Damit vernachlässigen sie das erste Denksystem, das für die spontanen Klicks auf die eingehenden E-Mails verantwortlich ist. Daher müssen die Schulungen dringend um Lerninhalte ergänzt werden, die das schnelle Denken und die intuitiven Entscheidungen der Mitarbeiter fördern.

Spear-Phishing-Simulationen stärken Bewusstsein

Dieser Effekt lässt sich mit simulierten Spear-Phishing-Angriffen erzielen. Sie nutzen echte Unternehmens- und Mitarbeiterinformationen, um authentische Angriffe vorzutäuschen. Geht ein Mitarbeiter einer betrügerischen E-Mail auf den Leim, wird er sofort auf eine Erklärseite geführt. Hier wird er über die Merkmale aufgeklärt, anhand derer er die Mail bei näherem Hinsehen als gefälscht hätte erkennen können: von Buchstabendrehern in der Absenderadresse über die Verwendung von Subdomains bis hin zu verdächtig wirkenden Links.

Phishing-Simulationen sind eine bewährte Methode, um das Sicherheitsbewusstsein der Mitarbeiter nachhaltig zu steigern. Denn sie nutzen den "Most Teachable Moment", in dem ein Nutzer am empfänglichsten für neue Lektionen ist. Da ihm sein Fehlverhalten sofort deutlich gemacht wird, geht er in Zukunft vorsichtiger mit eingehenden E-Mails um.

Damit der Mitarbeiter weiterhin auf der Hut ist, ist es ratsam, die Spear-Phishing-Simulationen regelmäßig zu wiederholen und an die immer neuen Methoden der Angreifer anzupassen. Dabei gilt: Ziel darf es nicht sein, die Mitarbeiter zu überwachen oder hereinzulegen. Stattdessen muss der Fokus auf dem Training liegen. Damit dies gelingt, muss das Awareness-Training richtig kommuniziert werden.

Mensch bleibt größte Schwachstelle

Damit Security-Awareness-Trainings wirksam sind, sollten E-Learnings sowie Online- und Präsenzseminare mit innovativen Phishing-Simulationen kombiniert werden. Wichtig ist, dass die Trainings auf den persönlichen Lernbedarf jedes einzelnen Mitarbeiters zugeschnitten sind und eine kennzahlenbasierte Dokumentation seiner Lernfortschritte erlauben.

Obwohl die IT-Abteilungen heute bereits viele Spear-Phishing-Mails abfangen können, bleibt der Mensch nach wie vor die größte Schwachstelle. Deshalb sollten Unternehmen ihren Mitarbeitern klar machen, wie wichtig die Teilnahme an den Security-Awareness-Trainings ist. Anstatt sich blind auf die IT-Sicherheitstechnik zu verlassen, müssen die Nutzer begreifen, dass allein sie der entscheidende Hebel für eine erfolgreiche Abwehr sind. Nur wer seine Mitarbeiter davon überzeugen kann, ist den Spear-Phishing-Angreifern auch künftig immer einen Schritt voraus. (jm)

Lesetipp:

NTT-Analyse - 6 Tipps zum Schutz vor Phishing-Angriffen

David Kelm ist Mitgründer und Geschäftsführer der IT-Seal GmbH, die auf den Schutz von Mitarbeitern gegen Social-Engineering-Angriffe spezialisiert ist. Seit Jahren beschäftigt er sich intensiv mit diesem Thema, unter anderem im Rahmen seiner Forschungstätigkeit an der TU Darmstadt.