Was ist Spear Phishing?

Spear Phishing beschreibt einen gezielten E-Mail-Angriff. Lesen Sie, wie Sie diese Art des Phishing erkennen und abwehren.
Von  und
CSO | 14. April 2022 05:00 Uhr
Gezielt den dicksten Fisch im Fluss jagen: Spear Phishing ist eine gefährliche Taktik von Hackern, um an besonders sensible Informationen zu gelangen.
Gezielt den dicksten Fisch im Fluss jagen: Spear Phishing ist eine gefährliche Taktik von Hackern, um an besonders sensible Informationen zu gelangen.
Foto: thanatphoto - shutterstock.com

Beim Spear Phishing nutzen die Angreifer häufig Informationen, die sie aus Nachforschungen über ihre Opfer und deren Unternehmen gewonnen haben. So wollen sie die Empfänger von Spear-Phishing-Nachrichten verunsichern und unter anderem dazu verleiten, Informationen preiszugeben.

Spear Phishing - Definition

Spear Phishing bezeichnet eine spezielle Form des Phishing-Angriffs, die auf bestimmte, besonders wichtige oder einflussreiche Personen abzielt. Das eigentliche Ziel beim Spear Phishing besteht darin, entweder Geräte mit Malware zu infizieren, indem der Empfänger dazu gebracht wird, auf einen Link zu klicken oder einen Anhang herunterzuladen. Oder das Opfer zu einer anderen Aktion zu verleiten, die dem Angreifer in Form von Daten oder Geld zugutekommt.

Mit rein technischen Mitteln lassen sich Spear-Phishing-Attacken nur schwer abwehren, da die kriminellen Hintermänner diese Kampagnen oft sehr sorgfältig mit Hilfe von Social-Engineering-Techniken aufsetzen.

Spear Phishing vs. Phishing vs. Whaling

Phishing, Spear Phishing und Whaling sind allesamt Arten von E-Mail-Angriffen. Wobei Phishing eine breitere Kategorie von Cyberangriffen ist, die so gut wie jede Nutzung von E-Mails oder anderen elektronischen Nachrichten umfasst, um Menschen zu täuschen. Spear Phishing und Whaling sind hingegen zwei von vielen verschiedenen Phishing-Unterkategorien.

Die meisten Phishing-Angriffe erfolgen in Form von allgemeinen Nachrichten, die automatisch an Tausende von Empfängern gesendet werden. Sie sind so geschrieben, dass sie möglichst verlockend wirken. Der Anhang könnte einen Namen wie "Gehaltsbericht" haben oder der Link könnte eine gefälschte Lotteriegewinnseite sein. Dabei unternehmen die Angreifer jedoch keinen Versuch, den Inhalt der Nachricht einer bestimmten Person zuzuordnen. Wie ein Angler, der einen Köder auswirft und hofft, dass ein beliebiger Fisch vorbeischwimmt und anbeißt. Von dieser Analogie leitet sich der Name "Phishing" ab.

Beim Spear Phishing hingegen wird wie bereits erwähnt versucht, einen bestimmten Fisch zu fangen. Eine Spear-Phishing-E-Mail enthält spezifische Informationen über den Empfänger, um ihn davon zu überzeugen, die vom Angreifer gewünschte Aktion durchzuführen. Dies beginnt mit dem Namen des Empfängers und kann Informationen über seinen Beruf oder sein Privatleben enthalten, die die Angreifer aus verschiedenen, öffentlich zugänglichen Quellen entnehmen können, wie zum Beispiel Social-Media-Profile, Online-Telefonbücher oder Unternehmenswebseiten.

Ein weiterer Begriff, den Sie möglicherweise in diesem Zusammenhang schon einmal gehört haben, ist Whaling, eine spezielle Art des Spear Phishings, bei der Hacker auf die ganz großen Fische abzielen. Dazu können bekannte Personen des öffentlichen Lebens wie auch Top-Manager gehören. Weniger prominente Ziele mit dennoch wichtigen Funktionen gehören ebenfalls zu den Zielen: Mitarbeiter in der IT-Abteilung oder im Finanzwesen, die Zugriff auf sensible Kundendaten haben oder Rechnungen abzeichnen beispielsweise.

Lesetipp: Die Psychotricks der Spear-Phishing-Betrüger

Spear-Phishing-Attacken - Funktionsweise

Wie die Angreifer an die persönlichen Informationen gelangen, die sie für die Erstellung einer Spear-Phishing-E-Mail benötigen, ist für sie entscheidend. Denn der gesamte Angriffsprozess hängt davon ab, dass die Nachrichten für den Empfänger glaubwürdig sind.

Es gibt mehrere Möglichkeiten, wie ein Angreifer dies bewerkstelligen kann. Eine davon besteht darin, ein E-Mail- oder Nachrichtensystem auf andere Weise zu kompromittieren - zum Beispiel durch gewöhnliches Phishing oder eine Schwachstelle in der E-Mail-Infrastruktur. Aber das ist nur der erste Schritt in diesem Prozess. "Der Angreifer sitzt eine Weile im Netzwerk, um interessante Konversationen zu überwachen und zu verfolgen", erklärt Ori Arbel, CTO beim israelischen Sicherheitsanbieter Cyrebro. "Wenn der richtige Zeitpunkt gekommen ist, schicken sie der Zielperson eine E-Mail mit Insider-Informationen in einem glaubwürdigen Kontext, indem sie zum Beispiel vergangene Gespräche erwähnen oder sich auf bestimmte, frühere Finanztransaktionen beziehen."

Wenn sie sich nicht in das Kommunikationssystem einhacken können, könnten Angreifer auch auf Open Source Intelligence (OSINT) zurückgreifen und soziale Medien oder die Unternehmenskommunikation durchforsten, um sich ein Bild von ihrem Ziel zu machen.

Jorge Rey, Leiter der Abteilung für Cybersicherheit und Compliance beim US-Beratungsunternehmen Kaufman Rossin, berichtet von einem häufigen Angriffsvektor: "Wenn Leute eine Änderung auf LinkedIn vornehmen und angeben, dass sie Kaufman Rossin beigetreten sind, erhalten sie innerhalb weniger Stunden oder sogar Minuten eine E-Mail von unserem CEO - nicht von seiner Kaufman-Rossin-E-Mail, sondern von gmail.com - ,in der sie aufgefordert werden, Geschenkgutscheine und Ähnliches zu kaufen. Natürlich kommt diese E-Mail nicht wirklich vom CEO, sondern von Angreifern, die darauf hoffen, neue Mitarbeiter zu überrumpeln.

Spear-Phishing-Angriffe erkennen - Anzeichen

Meistens konzentrieren sich die Betrüger auf neue Mitarbeiter, da diese sich erst noch in einer neuen Unternehmensumgebung zurechtfinden müssen. Das wahrscheinlich wichtigste Anzeichen für eine Spear-Phishing-E-Mail ist, dass Sie darin zu ungewöhnlichen Aktionen aufgefordert werden - gerne auch außerhalb der Unternehmenskanäle. Neuen Mitarbeitern fällt es vielleicht schwer, ungewöhnliche Anfragen zu erkennen, aber soweit es Ihnen möglich ist, sollten Sie auf Ihr Bauchgefühl hören.

"In einem Unternehmen, für das ich gearbeitet habe, wurde eine E-Mail von einem unbekannten Absender, der sich als CEO ausgab, an mehrere Mitarbeiter geschickt", berichtet Wojciech Syrkiewicz-Trepiak, Sicherheitsingenieur beim IaC-Anbieter Spacelift. "Die Nachrichten konnten alle Sicherheitsmechanismen problemlos durchlaufen, da eine echte E-Mail-Adresse verwendet wurde - deren Domäne war jedoch Gmail. Mit der Nachricht versuchten die Angreifer, Druck aufzubauen, indem sie den Mitarbeitern dringende Tasks auferlegten, die unter Umgehung aller Unternehmensrichtlinien möglichst schnell erledigt werden sollten."

Diese Dringlichkeit ist ein weiteres Warnsignal: Im beruflichen Umfeld erhalten wir oft berechtigte Aufforderungen, schnell zu handeln. Wenn jemand jedoch besonders eifrig versucht, Sie mit dringenden Aufgaben unter Druck zu setzen, ist das ein Zeichen dafür, dass er Ihnen keine Gelegenheit geben will, innezuhalten und nachzudenken.

Lesetipp: 6 Tipps zum Schutz vor Phishing-Angriffen

Spear Phishing - Beispiele

In Zusammenarbeit mit Sicherheitsanbietern haben wir einige eindrückliche Spear-Phishing-Beispiele für Sie zusammengestellt:

Spear Phishing verhindern - Abwehrmaßnahmen

Leider gibt es nicht die eine Technologie, um sich vor Spear-Phishing-Angriffen zu schützen. Abhilfe schaffen grundsätzliche Schutzmaßnahmen:

  • Standard-Protokolle wie SPF, DKIM und DMARC, helfen E-Mails zu authentifizieren und Spam zu verhindern,

  • Multi-Faktor-Authentifizierung (MFA), die bei Angriffen greift, die auf Zugangsdaten abzielen,

  • Cloud-basierte E-Mail-Lösungen wie Microsoft 365 oder Google G-Suite (aber auch On-Premises E-Mail-Server wie Microsoft Exchange verfügen über entsprechende Tools)

Noch mehr Möglichkeiten, die Risiken abzumildern, bietet jedoch die sogenannte Security Awareness.

"Zuallererst sollten sich sowohl Unternehmen und auch Einzelpersonen bewusst sein, dass Informationen über jeden von uns im Internet frei verfügbar sind und diese Informationen auch gegen uns eingesetzt werden können. Um sich besser zu schützen, hilft es, sich bewusst zu machen, welche Informationen über eine Einzelperson oder ein Unternehmen digital und offline frei verfügbar sind", sagt Dr. Niklas Hellemann, Geschäftsführer beim Security-Awareness-Anbieter SoSafe. Dazu gehöre außerdem die Schulung der Mitarbeiter hinsichtlich möglicher Taktiken der Angreifer als auch die regelmäßige Simulation von Attacken.

Darüber hinaus empfiehlt es sich, ein Bewusstsein dafür zu schaffen, welche persönlichen Daten online zu finden sind. Privatpersonen sollten nur die nötigsten Informationen veröffentlichen, um die Angriffsfläche nicht weiter zu vergrößern. Auch die Datenschutzeinstellungen sollten möglichst strikt eingestellt werden. "Viele soziale Netzwerke teilen private E-Mail-Adressen mit allen Kontakten. Diese Einstellung sollte man ändern", so Hellemann.

Darüber hinaus können Privatpersonen überprüfen, ob Ihre persönliche Daten in bekannten Leak-Datenbanken auftauchen. Dazu stehen online zahlreiche kostenlose Leak Checker bereit, etwa HaveIBeenPwned oder der HPI Identity Leak Checker.

Herbert Blaauw, Director Cyber Services bei Atos Deutschland, nennt den wohl wichtigsten Tipp, um sich vor Spear-Phishing zu schützen: "Misstrauisch sein. Skeptisch sein. Ist die Handlung, zu der Sie aufgefordert werde sinnvoll, üblich, logisch? Die wichtigste Maßnahme ist die Sensibilität im Umgang mit Cybersecurity."

Dieser Beitrag basiert in Teilen auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Josh Fruhlinger ist freier Autor in Los Angeles.
Melanie Staudacher ist Editor bei CSO. Ihr Schwerpunkt ist IT-Security.