Blog › Anatomie einer Spear-Phishing-E-Mail

Anatomie einer Spear-Phishing-E-Mail

01. August 2019

01. August 2019

min

5 min

Romain Basset
Romain Basset

Wann haben Sie sich zum letzten Mal eine E-Mail genauer angesehen? Vom Name des Absenders über den Betreff, den Zeitstempel, die Anrede, den Textkörper bis hin zur Signatur? Wenn Sie so sind wie die meisten berufstätigen Menschen, dann lautet die Antwort wahrscheinlich „noch nie“. Hacker wissen das, und deshalb sind Spear-Phishing-Angriffe so erfolgreich.

Eine Spear-Phishing-E-Mail hat einen Zweck: Einzelpersonen und Unternehmen um Geld zu betrügen. Sie erreichen das mit einer Reihe von Vorgehensweisen und vielen unterschiedlichen Konzepten. Sie bitten ihre Opfer darum, Geschenkgutscheine zu kaufen, Überweisungen auszuführen, eine Rechnung zu begleichen oder Informationen zu Bankkonten und Routing zu ändern. Es fängt damit an, dass sie sich als jemand ausgeben, der sie nicht sind, und es findet seinen Höhepunkt fast immer in einer dringenden Anfrage: Ein Spear-Phishing-Angriff ist zielgerichtet, persönlich und sehr oft finanziell verheerend. Wenn Hacker KMUs angehen, fordern sie im Laufe mehrerer Angriffe kleine Transaktionen. Damit wird es weniger wahrscheinlich, dass der Angriff einen Alarm auslöst, und damit erhöhen sich die Erfolgsaussichten.

Obwohl es schwierig ist, eine Spear-Phishing-E-Mail zu identifizieren, gibt es dennoch ein paar Eigenschaften, die alle gemeinsam haben:

Die Adresse des Absenders

Die Absender sind nicht immer diejenigen, die sie zu sein scheinen. Das ist dem E-Mail-Spoofing zu verdanken, einer Technik, bei der Cyberkriminelle vorgeben, ihre E-Mails ausgehend von einer bestimmten E-Mailadresse zu versenden. Es gibt mehrere Möglichkeiten, E-Mailadressen zu spoofen.

  • Spoofing des angezeigten Displaynamens: Der Name des Absenders wird gespooft, nicht aber die E-Mailadresse. Bei dieser Taktik sieht der Absender so aus wie jemand, den Sie kennen, wie zum Beispiel ein Kollege, die E-Mailadresse ist jedoch eine andere. Spoofing des angezeigten Displaynamens ist die am häufigsten auftretende Art des Spoofings. Sie erfordert praktisch überhaupt keine technischen Fähigkeiten, ist extrem einfach auszuführen und effektiv, da man sich meisten den Namen des Absenders, nicht aber seine E-Mailadresse anschaut. Sie kann die Mitarbeiter auch verwirren, denn Führungskräfte verwenden ab und zu ihre persönlichen E-Mailadressen. Auf Mobilgeräten sind die E-Mailadressen oft gar nicht sichtbar, und die Benutzer lassen sich die E-Mailadresse des Absenders üblicherweise auch nicht explizit anzeigen.
  • Domain-Spoofing: Domain-Spoofing ist raffinierter, aber einfacher zu erkennen. Es erlaubt es den Cyberkriminellen, eine E-Mailadresse als Absenderadresse zu verwenden.  In diesem Fall gäbe es keine Möglichkeit für den Benutzer herauszufinden, dass eine E-Mail nicht von einer vertrauten Quelle wie z. B. einem Kollegen kommt. SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain Message Authentication Reporting & Conformance) schützen vor exaktem Domain-Spoofing, indem sie Absender blockieren, die nicht in einer öffentlichen Liste vertrauter Absender enthalten sind.
  • Close Cousin: Beim Close Cousin-Spoofing sieht die E-Mailadresse fast genauso aus wie eine legitime E-Mailadresse, es gibt jedoch eine kleine Modifikation. Aus der Domain mycomany.com wird zum Beispiel mycompany.ltd.com oder mycompanyglobal.com. Man hofft dabei, dass sich der Benutzer die E-Mailadresse nicht genau anschaut und die kleine Anomalie übersieht. SFP, DKIM und DMARC können nicht vor Close Cousin-Domains schützen.

Eine gespoofte E-Mailadresse ist der erste Schritt in einer erfolgreichen Spear-Phishing-E-Mail. Wenn sich ein Opfer die E-Mailadresse nicht genau anschaut oder wenn die E-Mailadresse eine exakte Replik der echten Adresse ist, dann ist das schon die halbe Miete.

Betreffzeile

Achten Sie genau auf die Betreffzeile Ihrer E-Mails. Spear-Phishing-Angriffe haben oft Betreffzeilen, die das Opfer veranlassen sollen, schnell zu reagieren, sie enthalten zum Beispiel Worte wie „dringend“ und „zeitkritisch“. Wenn die E-Mail anscheinend von einer Person aus dem oberen Management oder einem anderen einflussreichen Mitarbeiter aus dem Unternehmen zu stammen scheint, dann können diese Flagwords besonders motivierend sein. Dies kann dazu führen, dass das Opfer Warnsignale ignoriert und die E-Mail sofort verarbeitet, um einem Vorgesetzten zu gefallen.

Pretexting

Nicht in allen Spear-Phishing-Angriffen wird Pretexting verwendet, aber raffinierte Hacker verwenden diese Taktik immer häufiger, um ihre Opfer willig zu machen. Pretexting ist eine Art Social Engineering, bei dem der Hacker in einer oder mehreren E-Mails mit dem Opfer kommuniziert, um es auf den Angriff vorzubereiten.

Es kann auch verwendet werden, um das richtige Opfer zu identifizieren. Ein Hacker kann sich zum Beispiel an einen Benutzer wenden und fragen, ob er oder sie die Ressourcen hat, eine Anfrage zu erfüllen, wie zum Beispiel eine Banküberweisung, die Änderung der Überweisungsinformationen oder das Durchführen eines großen Kaufs. Wenn der Benutzer antwortet, dass er das nicht kann, bittet der Hacker darum, an die entsprechende Person im Unternehmen verwiesen zu werden.


[Webinar on Demand] The Anatomy of a Spear Phishing Attack


Textkörper

Jede finanzielle Anfrage sollte immer genau untersucht werden um sicherzustellen, dass es sich um eine legitime E-Mail handelt.  Wenn Pretexting Teil des Konzepts ist, beginnt der Textkörper freundlich und endet dann allmählich mit einer Anfrage. In der Vergangenheit starteten die Spear-Phisher direkt mit der Jagd und verlangten sofort eine dringende finanzielle Transaktion. Genau wie bei der Bitte nach großen Transaktionen löste dies jedoch deutliche Alarme aus, und die Hacker lernten aus ihren Fehlern.  Cyberkriminelle führen zwanglose Gespräche auf Grundlage der Informationen, die sie bei ihrer Recherche gefunden haben, wie zum Beispiel „Wie war Ihr Urlaub?“ oder „Glückwunsch zur Beförderung“. Das lässt das Gespräch vertrauter wirken und hilft dabei, die Wachsamkeit des Opfers zu reduzieren.

Nachdem das Gespräch begonnen wurde, macht der Spear-Phisher seine Anfrage, die fast immer dringlich ist. Damit wird das Opfer unter Druck gesetzt, sodass es schnell handelt, ohne darüber nachzudenken, dass die Anfrage möglicherweise nicht legitim ist. Anfragen, die anscheinend aus dem oberen Management kommen, üben noch mehr Druck auf das Opfer aus. Die Angst vor Konsequenzen und der Wunsch, zu gefallen, sind starke psychologische Triebfedern, die dazu führen, dass die Opfer die Alarmsignale übersehen.

Im Beispiel unten behauptet ein Spear-Phisher, der sich als CEO ausgibt, dass er den Unternehmenskunden bei einem zukünftigen Meeting Geschenkgutscheine überreichen muss und dass die Zeit langsam knapp wird. Beachten Sie die Merkerworte „Kauf“, „schnell“ und „dringend“. Jeder dieser Begriffe von einem CEO würde dazu führen, dass der Mitarbeiter schnell handelt. Diese Begriffe kommen so häufig bei Spear-Phishing-Angriffen vor, dass Vade Secures Machine Learning-Modelle darauf trainiert sind, diese und andere Flagwords bei der E-Mailanalyse zu finden.

Signatur

Ein erfolgreicher Spear-Phisher verwendet eine E-Mail-Signatur, die so aussieht wie die der Person, die er vorgibt zu sein. Wenn eine genaue Übereinstimmung nicht möglich ist, fügt er zusätzliche Informationen hinzu, um das Opfer in falscher Sicherheit zu wiegen. Wenn der Cyberkriminelle zum Beispiel keine genaue Kopie der E-Mail herstellen kann und stattdessen ein Gmail- oder Yahoo-Konto verwendet, fügt er eine Notiz zur Signatur hinzu, die besagt, dass die E-Mail von einem Mobiltelefon oder Tablet versendet wurde. Damit wird es etwas leichter zu glauben, dass eine Führungskraft eine geschäftliche E-Mail mit einer persönlichen E-Mailadresse versendet hat.

Außerdem werden beim Versenden vom Tablet oder Mobiltelefon häufiger Fehler gemacht, und so fügen die Phisher so etwas zur Signatur hinzu wie „Ich bitte darum, meine Tippfehler oder knappe Ausdrucksweise zu entschuldigen“. Damit wird es einfacher zu glauben, dass eine Führungskraft eine schlecht verfasste E-Mail versenden würde, was ein Kennzeichen für amateurhaftes Spear-Phishing ist.

Schutz Ihrer Kunden vor Spear-Phishing-Angriffen

Die Schulung Ihrer Kunden zum Thema Spear-Phishing ist von wesentlicher Bedeutung, um sie vor E-Mailbedrohungen zu schützen. Neben Trainings zur Förderung des Sicherheitsbewusstseins sollten Sie auch eine Lösung anbieten, die spontane Weiterbildungen bereitstellt, wenn die Benutzer Ihrer Kunden auf Spear-Phishing-E-Mails antworten, um sicherzustellen, dass sie sofort sensibilisiert werden und aus ihren Fehlern lernen.

Wenn es um Phishing-Angriffe geht, so sind die aktuellen E-Mail-Sicherheitslösungen deutlich fortschrittlicher geworden, den meisten fehlt es jedoch an Schutz gegen Spear-Phishing. Die Art der Angriffe, einschließlich der fehlenden URLs und Anhänge, macht Spear-Phishing-E-Mails so extrem schwierig zu erkennen. Vade Secure für Office 365 setzt Machine Learning-Modelle ein, um Ursprung, Inhalt und Kontext der E-Mails zu analysieren. Die Modelle werden trainiert, um E-Mail-Spoofing und missbräuchliche Sprache und Verhaltensweisen zu erkennen, die typisch für Spear-Phishing sind, und werden kontinuierlich mit neuen Daten trainiert, um über die aktuellsten Bedrohungen auf dem Laufenden zu bleiben.


Abonnieren Sie die Benachrichtigungen für unsere neuesten Blog-Einträge