Anders als beim klassischen Phishing, welches darauf ausgelegt ist, eine möglichst breite Gruppe von Opfern anzugreifen, ist Spear-Phishing ein Angriff auf eine konkrete Organisation oder Person.
Beim Spear-Phishing tarnt sich der Angreifer in seinen E-Mails nicht mehr als große Organisation (wie Amazon, Banken, etc.), sondern wird konkreter und gibt sich eher als Mitarbeiter, Vorgesetzter, Freund oder Geschäftspartner aus.
Das Erlangen des Vertrauens des Opfers ist ein essentieller Faktor für einen erfolgreichen Spear-Phishing Angriff. Damit dies erreicht werden kann, ist es essenziell, dass der Angreifer so viele Informationen wie möglich in Erfahrung bringen kann. Dies erreicht er zum Beispiel durch Social Engineering und Informationsgewinnung aus öffentlichen Quellen, wie Facebook und Instagram.
Anders als beim normalen Phishing wird eine konkrete Person oder Gruppe, zum Beispiel eine Abteilung innerhalb einer Organisation, angegriffen. Der Hacker imitiert eine bekannte, meist höhergestellte Person innerhalb des Konzerns. Aus Respekt und vielleicht auch Angst, den Arbeitsplatz zu verlieren, werden vermeintlich viele Opfer auf den Phishing-Versuch reinfallen.
Ebenso ist es erforderlich, dass Angaben gemacht werden, die die vermeintliche Identität des Hackers bestätigen. Denn wenn dieser sich überzeugend als Vorgesetzter ausgeben kann, dann hat er gute Chancen, Opfer in die Phishing-Falle zu locken.
Ebenso erforderlich ist es, dass dem Opfer ein logischer Grund für die Aufforderungen in der Nachricht gegeben wird. Denn ein unlogischer Grund wird ihm verdächtig vorkommen und die Chance erhöhen, dass er das Phishing hinterfragt.
Besonders beliebte Spear-Phishing Opfer sind Vorstandsmitglieder und Angestellte in leitenden Positionen. Denn diese sogenannten “Whales“, also “hohen Tiere“ innerhalb einer Organisation, verfügen oft über besondere Berechtigungen und Zugänge. Um solch einen Angriff zum Erfolg zu führen, bedarf es jedoch eines ausgeklügelten Szenarios und umfangreicher Informationen des Unternehmens und des Opfers.
Welche Auswirkung ein gezielter Angriff auf Mitarbeiter haben kann, hat uns ein Vorfall im Sommer 2020 gezeigt, als die bekannte Social Media Plattform Twitter das Ziel eines Spear-Phishing Angriffs wurde.
Dabei hatten es die Angreifer gezielt auf die Accounts von bekannten Persönlichkeiten, wie Elon Musk, Bill Gates und Barack Obama, abgesehen.
Gezielt wurden Mitarbeiter telefonisch kontaktiert, um an Identitäten zu gelangen, die dann im weiteren Verlauf gezielt gegen andere Mitarbeiter, mit Rechten auf die Nutzerverwaltung verwendet wurden. Mithilfe der erbeuteten Identitäten und dem Zugang zum internen Netzwerk konnte sich daraufhin Zugang zu 130 Accounts verschafft werden, von denen 45 Tweets veröffentlicht wurden. Des Weiteren wurden mehr als 30 Direktnachrichten gelesen und Daten von mindestens sieben Accounts heruntergeladen.
Dieser Vorfall zeigt, wie Gefährlich eine Spear-Phishing Attacke sein kann. Denn vor allem in größeren Firmen, mit klassischen, steilen hierarchischen Strukturen ist es oft der Fall, dass sich nicht alle Mitarbeiter untereinander kennen. Dies erhöht den Erfolg einer solchen Attacke maßgeblich. Allerdings muss beachtet werden, dass kleinere Unternehmen nicht von Phishing-Attacken verschont bleiben, denn im Endeffekt ist das Unternehmen nur so sicher, wie es auch der letzte Mitarbeiter gestaltet.
Damit diese Sicherheit gewährleistet werden kann, empfiehlt es sich, Mitarbeiter zu sensibilisieren. Dies kann zum Beispiel durch Schulungen und User Awareness-Kampagnen erreicht werden.
