SPEAR PHISHING

Kurz ausgedrückt: Spear-Phishing-E-Mails sind einfach zu erstellen und schwer zu erkennen. Erfahren Sie, warum sie so effektiv sind und wie Sie Ihr Geschäft schützen können.

HERUNTERLADEN BRIEF ZUR LÖSUNG

Was ist Spear-Phishing?

Spear-Phishing ist eine Form von Social Engineering und beinhaltet eine bösartige E-Mail, in der vorgetäuscht wird, eine bestimmte Person oder Firma zu sein, um einen Empfänger dazu zu veranlassen, eine gewünschte Handlung auszuführen – üblicherweise finanzieller Natur. Hacker geben oft vor, ein Bekannter des Opfers zu sein, wie z. B. ein Kollege, eine Führungskraft, ein Kunde oder ein Händler.

Spear-Phishing kostete US-Unternehmen 2019 $ 1,7 Milliarden
 – FBI Internet Crime Report 2019

Die Bandbreite des Mail-Spoofings

Damit die Empfänger glauben, dass sie eine E-Mail von einem vertrauenswürdigen Absender lesen, verwenden Spear-Phisher eine Technik mit der Bezeichnung „Spoofing“, die es ihnen ermöglicht, Absender und E-Mailadresse legitim aussehen zu lassen. Es gibt im Großen und Ganzen drei Methoden, um E-Mail-Spoofing durchzuführen:

Beim Spoofing des angezeigten Displaynamens wird der Name des Absenders imitiert, nicht jedoch die E-Mailadresse. Das funktioniert, da viele Benutzer dem Sender sofort vertrauen, wenn sie den Namen sehen. Darüber hinaus zeigen viele E-Mail-Programme, insbesondere auf Mobilgeräten, nur den Absendernamen und nicht die E-Mailadresse an.

Diese Methode ist raffinierter als das Spoofing des angezeigten Display-Namens, aber auch einfacher von SPF (Secure Policy Framework), DMARC (Domain Message Authentication Reporting) und DKIM (Domain Keys Identified Email) zu erkennen. Beim Domain-Spoofing kann ein Spear-Phisher die E-Mailadresse angeben, die er imitieren möchte. Wenn eine E-Mailadresse eine exakte Kopie eines vertrauten Absenders ist, dann ist es unwahrscheinlich, dass der Benutzer erkennt, dass die E-Mail gespooft ist.

Beim Cousin Domain-Spoofing sieht die E-Mailadresse fast genauso aus wie eine legitime E-Mailadresse, es gibt jedoch einen kleinen Unterschied. In der Vergangenheit war Cousin Domain-Spoofing auffälliger, wie mlcrosoft.com anstelle von microsoft.com. Heutzutage sind die Versuche komplexer und schwieriger zu erkennen, wie z. B. user@mycompanyltd.com anstelle von user@mycompany.com. Die subtilen Änderungen können für vielbeschäftigte Mitarbeiter, die ihre E-Mails schnell lesen und beantworten, schwer zu erkennen sein, vor allem dann, wenn sie dringlich sind. DMARC und SPF sind darüber hinaus bei Cousin Domains unwirksam, denn sie schützen nur exakte Domains.

Anatomie einer Spear-Phishing-E-Mail

Spear-Phishing-E-Mails können schwer zu erkennen sein, aber sie haben alle ein paar Eigenschaften gemeinsam, auf die Sie achten

Verteidigung gegen Mail-Spoofing- und Spear-Phishing-Angriffe

Der Schutz gegen Spear-Phishing beginnt damit, dass Sie verstehen, wie diese E-Mails erstellt werden.

Spear-Phishing vs. Phishing

Spear-Phishing- und Phishing-Angriffe nutzen beide Täuschung, um Betrug zu begehen.  Der Unterschied zwischen den beiden besteht darin, dass in Spear-Phishing-E-Mails vorgegeben wird, eine bestimmte Person zu sein, während in Phishing-E-Mails Marken imitiert werden. Anders als beim Phishing wird beim Spear-Phishing eine einzelne Person angegriffen, die E-Mail beinhaltet weder Links noch Anhänge, und sie enthält üblicherweise eine Bitte um Überweisung, Geschenkgutscheine, Kontoänderungen für Einzahlungen und nicht die Frage nach Benutzerdaten. Unten finden Sie zwei Beispiele für Phishing- und Spear-Phishing-E-Mails:

 

Spear Phishing

Phishing

Phishing/Social Engineering war 2018 für 52 % der Cyber-Angriffe gegen KMUs verantwortlich
-Keeper/Ponemon

 

Erfahren Sie, wie Sie eine Spear-Phishing-E-Mail erkennen

Wissen Sie, wie man eine Spear-Phishing-E-Mail erkennt? Es gibt ein paar verräterische Zeichen.

Erfahren Sie mehr

Beispiele für Spear-Phishing

Es gibt unendlich viele Möglichkeiten, Menschen dazu zu bewegen, vertrauliche Informationen und Benutzerdaten auszuplaudern. Es gibt jedoch auch ein paar raffinierte Angriffe, derer sich die Spear-Phisher immer wieder bedienen.

Ein Hacker, der sich als Führungskraft ausgibt, bittet einen Mitarbeiter, mehrere Geschenkgutscheine zu kaufen und ihm die Codes von den Gutscheinrückseiten zuzuschicken. Hacker behaupten oft, dass sie in einem Meeting sind oder sich außerhalb des Büros befinden. Das trägt dazu bei, dass es glaubhafter wird, dass eine Führungskraft tatsächlich eine E-Mail von einer persönlichen E-Mailadresse, wie Gmail oder Yahoo, verschicken würde.

In einer Version dieses Scams versendet ein Hacker, der sich als Mitarbeiter ausgibt, eine E-Mail an einen HR Assistant und bittet darum, das Konto für die Auszahlung der Gehälter zu ändern. Bei einer anderen Version gibt der Hacker sich als Lieferant aus und sendet einem Mitarbeiter in der Buchhaltung eine E-Mail, in der er ihn darüber informiert, dass sich Bankkonto und Bankleitzahl geändert haben und zukünftige Zahlungen auf das neue Konto überwiesen werden sollen.

Ein Spear-Phisher, der sich als Vorgesetzter ausgibt, sendet einem Mitarbeiter in der HR-Abteilung eine E-Mail und bittet ihn um W-2s, ein amerikanisches Steuerformular mit Einkommen und Steuerabzügen der Mitarbeiter. Die Zeit rund um die Steuererklärung ist für die Buchhaltungs- und HR-Abteilungen besonders stressig, und der Druck führt neben den zeitlichen Einschränkungen dazu, dass die Mitarbeiter eher den Fehler machen, auf diesen Angriffstyp hereinzufallen.

Diese Spear-Phishing-Variante, die auch als Business Email Compromise (BEC) bekannt ist, ist eine der kostspieligsten Angriffsarten. Ein Hacker gibt sich als Top-Führungskraft aus und bittet um Geld in Form einer Überweisung. In vielen hochkarätigen Fällen waren sich die Unternehmen überhaupt nicht bewusst, dass Millionen von Dollar an falsche Bankkonten überwiesen worden waren.

Mehrphasige Angriffe, eine häufig auftretende Form des Microsoft 365-Hackings, beginnen mit Phishing und entwickeln sich dann zu Spear-Phishing. Ein Hacker sendet einem Mitarbeiter eine Phishing-E-Mail und gibt dabei vor, dass sie von Microsoft kommt. Das Opfer gibt auf einer Phishing-Seite unwissentlich seine Microsoft 365-Anmeldedaten preis. Mit dem Benutzernamen und Kennwort des Opfers dringt der Hacker in das Microsoft 365-Ökosystem des Unternehmens ein, wo er mit legitimen Microsoft 365-E-Mailadressen seine Spear-Phishing-Angriffe startet.

2019 gab es mehr als 23.000 Opfer von Business Email Compromise in den USA.
– FBI

 

Spear-Phishing-Techniken

Eine einzelne Spear-Phishing-E-Mail, die nur Text enthält, kann oberflächlich betrachtet harmlos aussehen, aber die eingesetzten Social Engineering-Techniken zeigen eine raffinierte psychologische Manipulation. Unten finden Sie ein paar Beispiele:

Pretexting: Spear-Phisher bereiten ihre Opfer vor, indem sie zunächst eine freundliche E-Mail versenden und Small Talk machen, wie z. B. „Wie war Ihr Urlaub?“ oder „Herzlichen Glückwunsch zur Beförderung!“. Damit wird die Wachsamkeit des Opfers reduziert, es wird auf die nachfolgende Anfrage des Spear-Phishers vorbereitet, die möglicherweise erst einige E-Mails später kommt.

Dringende Bitten: Spear-Phisher überzeugen ihre Opfer oft davon, dass sie nur wenige Stunden – oder Minuten – Zeit haben, um eine Überweisung durchzuführen, Bankinformationen zu ändern oder Geschenkgutscheine für Kunden zu kaufen.

Versenden von E-Mails über Mobilgeräte: Spear-Phisher, die sich als Führungskräfte ausgeben, behaupten oft, nicht im Büro, ja sogar nicht im Lande zu sein, und die Hilfe des Opfers dringend zu benötigen. Das Hinzufügen von „von meinem iPad, iPhone oder Android-Gerät versendet“ vergrößert die Glaubwürdigkeit einer solchen Behauptung und entschuldigt auch Fehler in der E-Mail, wie z. B. Tippfehler. Es ist auch eine Entschuldigung für das Verwenden einer nicht geschäftlichen E-Mailadresse wie Gmail.

Vermeiden von Spear-Phishing

Das Fehlen von URLs und Anhängen führt dazu, dass Spear-Phishing extrem schwierig zu erkennen ist. Traditionelle E-Mailfilter verwenden veraltete Verfahren, um Bedrohungen zu sperren, und die meisten sind im Kampf gegen Spear-Phishing unwirksam. Ein optimaler Schutz vor Spear-Phishing erfordert fortschrittliche Methoden.

  • Traditionelle E-Mail-Verteidigung

  • Reputation: Die reputations-basierte Bedrohungserkennung blockiert bekannte, bösartige E-Mailabsender (IP-Adressen) und Phishing-URLs. Ein reputations-basierter Filter blockiert Absender, die dem Filter bekannt sind, nicht jedoch neue Bedrohungen.
  • Signature (Fingerprint): Die signature-basierte Bedrohungserkennung blockiert Bedrohungen mit einer bekannten „Signatur“, wie Malware-Code.
  • Sandboxing: Beim Sandboxing werden verdächtige E-Mails zur Analyse in eine kontrollierte Umgebung gesendet. Es ist unwirksam gegen Spear-Phishing, das keine Anhänge oder Links enthält.
  • Secure Email Gateways: Secure Email Gateways verlassen sich sowohl auf reputations- als auch auf signatur-basierte Bedrohungserkennung. Ein SEG befindet sich außerhalb der Microsoft 365-Architektur und entwaffnet damit Exchange Online Protection (EOP), sodass Microsoft 365 nicht gegen Insider-Angriffe geschützt ist.

Die native Microsoft 365-E-Mailsicherheit hat eine Gesamtgenauigkeits-Bewertung von nur 8 %
– SE Labs

  • Prädiktive Verteidigung

  • Supervised Learning: Die Algorithmen werden mit bösartigen und gutartigen E-Mails trainiert, um spezielle Eigenschaften von Spear-Phishing-E-Mails zu erkennen, wie mobile Signaturen und E-Mailadressen von öffentlichen Domains.
  • Unsupervised Learning: Bei diesem Modell arbeiten Natural Language Processing und Unsupervised Anomaly Detection zusammen, um bösartige Muster in Spear-Phishing-E-Mails zu erkennen, unter anderem Dringlichkeit, Merkerworte, finanzielle Forderungen und E-Mailadressen, die dem Geschäftsmodell des Absenders nicht entsprechen.
  • Benutzer-Feedbacks: Die Benutzer melden dem Filter bösartige oder unerwünschte E-Mails, indem sie die „Junk“-Taste in Microsoft Outlook verwenden. Das Feedback wird einem Security Operations Team (SOC) gemeldet, das das Feedback zum Füttern der AI-Engine nutzt.

Vade Secure for Microsoft 365

Unsere KI-basierte Technologie gegen Spear-Phishing enthält individuell anpassbare Warn-Banner, um Microsoft 365-Benutzer vor vermuteten Spoofing-Versuchen zu warnen.

Holen Sie sich eine kostenlose Testversion

Spear-Phishing-Ressourcen

Kurzdarstellung der Lösung: Anti-Spear-Phishing von Vade Secure

IDC Technology Spotlight:

Neues E-Mail-Paradigma erfordert neue Sicherheitsansätze

Analyst-Report

E-Mail-Sicherheit für Microsoft 365 :

Es ist kaputt. So können Sie es

White Paper

Phishing-Angriffe: Fortschrittliche Bedrohungen, die eine Erkennung umgehen

weißes Papier

Spear-Phishing-Erkennung mit Vade Secure für Office 365

Schauen Sie sich das 2-minütige Video an

Vade Secure für Office 365

Datenblatt

Holen Sie sich die neusten Erkenntnisse
über E-Mail-Sicherheit von Vade Secure