Vor einigen Wochen noch sprach man im Security-Sektor über Ransomware…. Verschlüsselungstrojaner, die sich unbemerkt ins Computersystem einschleusen und im Hintergrund die Festplatte verschlüsseln. Ziel: Erpressung! Gegen Zahlung einer gewissen Geldsumme werden (angeblich) die verschlüsselten Dokumente wieder entschlüsselt und somit nutzbar gemacht. Wir berichteten bereits ausführlich. Kaum scheint dieses Thema ein wenig an Spannung verloren zu haben, macht auch schon wieder die nächste Attacke die Runde: Spear Phishing. Dabei ist diese Methodik des Onlinebetrugs nicht neu. Wir erklären Ihnen, was es damit auf sich hat, und wie Sie sich dagegen schützen können.

Was ist Spear Phishing?

Googeln Sie doch mal nach diesem Begriff! Die ersten Treffer werden aus dem Anglersport kommen. Unter Speerfischen versteht man nämlich in erster Linie die Unterwasserjagt auf Fische. Diese Sportart lässt sich gut auf die IT-Welt übertragen.

Wenn wir an Phishing im Sinne von IT-Sicherheit denken, dann denken wir zuerst an unseriöse, in einem schrecklichen Deutsch übersetzte E-Mails. E-Mails, in denen uns ein Megadeal von einem verstorbenen Multimillionär aus Afrika angeboten wird, haben wir alle schon einmal in unserem Maileingang aufgefunden. Die Angreifer gehen dabei wie folgt vor: Sie schicken eine Mail an Millionen von Empfängern, in der Hoffnung, dass irgendwo jemand unachtsam oder von seiner Gier getrieben den Anweisungen der Mail folgt, und z.B. seine Bankverbindung dem vermeintlichen Treuhänder nennt. Der Angreifer wirft sozusagen ein großes Fischernetz ins Wasser… irgendein Fisch, wird sich schon verfangen.

Beim Spear Phishing geht der Angreifer jedoch gezielter vor. Ähnlich wie der Taucher bei der Jagd, steigt er ins Wasser hinein und schießt seinen Speer gezielt auf seine Beute ab. Durch seine Bewegungsabläufe nimmt das Opfer den Angreifer nicht als solchen, vielmehr als seinesgleichen wahr.

Was ist so gefährlich an Spear Phishing?

Die Gefahr bei Spear Phishing Mails liegt darin, dass die Angriffe schwer bis gar nicht vom Opfer erkennbar sind. Während typische Phishing-Mails aufgrund ihres Absenders oder ihres Inhalts meistens leicht zu erkennen sind, sind Spear Phishing Mails nahezu unsichtbar.

Folgende Beispiel-E-Mail wurde uns von einem Betroffenen zugespielt. Wir haben natürlich alle Namen verfremdet:

Der Empfänger erhielt diese E-Mail augenscheinlich von seinem Vorgesetzten. Er wird dazu aufgefordert eine Rechnung von einem Dienstleister zu begleichen. Der Mailverkehr vom Dienstleister an den Vorgesetzten ist im Mailverlauf zu erkennen. Die E-Mail ist in einem offiziellen Deutsch verfasst, der Empfänger ist tatsächlich ein Mitarbeiter des Finanzwesens und tatsächlich ist der Absender der E-Mail der Vorgesetzte. Ebenso befindet sich im Dateianhang eine vermeintlich echte Rechnung, sogar Schadcodefrei! Es spricht somit nichts dagegen, der E-Mail zu vertrauen und den Anweisungen zu folgen.

Was der Empfänger jedoch nicht weiß ist, dass diese E-Mail gar nicht von seinem Vorgesetzten verschickt wurde.

Wie funktioniert Spear Phishing?

Technisch gesehen ist Spear Phishing keine große Kunst. Eine E-Mail mit einem fremden Absender zu versenden ist sogar sozusagen täglich Brot. Schauen Sie doch allein mal die E-Mails, die von info@, do-not-reply@ versendet werden. Den Menschen namens „Info“ oder „Do-not-reply“ gibt es nirgends. Es sind lediglich Namen, die als Absender in Mailservern hinterlegt wurden.

Die große Kunst, wenn man das so nennen mag, liegt vielmehr darin, dass der Verfasser dieser Mail ganz genau wusste, wen er anzusprechen hat. Er wusste den Namen und die E-Mail Adresse des Geschäftsführers/Vorgesetzten und des Mitarbeiters aus dem Finanzwesen. Somit konnte der Empfänger keinen Verdacht schöpfen. Der Geschäftsführer eines Unternehmens ist leicht auszumachen, muss dieser doch auf jeder Webseite im Impressum genannt werden. Bei der Buchhaltung ist es schon schwieriger. Aber auch hier ist dank sozialer Medien der Rechercheaufwand überschaubar. Andere Möglichkeit: Einfach im Unternehmen anrufen! „Ich habe da mal eine Frage zu einer Rechnung, könnten Sie mich mal mit Ihrer Buchhaltung weiterverbinden?“ Der Namenskontext von E-Mail Adressen ist auch in fast jedem Unternehmen einheitlich. Wenn der Geschäftsführer die E-Mail-Adresse vorname.nachname@unternehmen.de hat, wird die E-Mail Adresse des Buchhalters aller Wahrscheinlichkeit nach ebenso aussehen.

Ebenso ist bewusst kein Schadcode in dieser Mail versteckt. Ein Schadcode hätte die Wahrscheinlichkeit entdeckt zu werden um ein Vielfaches erhöht. Technische Mittel, wie Virenscanner und Firewall hätten mit hoher Wahrscheinlichkeit die E-Mail gefiltert, sodass diese gar nicht erst beim Empfänger angekommen wäre.

 

Wie können Sie sich vor Spear Phishing schützen?

Digitale Signatur

Als technische Lösung ist der Einsatz einer qualifizierten elektronischen Signatur (QES). Diese sorgt dafür, dass der Absender auch tatsächlich der Absender ist, für den er sich ausgibt. Stellen Sie sich eine Signatur vor, wie ein Personalausweis. Diese muss zunächst bei einem Zertifikatsaussteller (vgl. Bürgerbüro) beantragt werden. Der Aussteller prüft Ihre Identität und stellt Ihnen dann einen Personalausweis aus. Anders als das Bürgerbüro codiert der Zertifikatsaussteller Ihren Ausweis und legt diesen öffentlich ab. Senden Sie nun eine E-Mail, wird der Inhalt der E-Mail sozusagen mit einem Wasserzeichen (Signatur) und mit einem Prüfwert (Hashwert) versehen. Der Empfänger erhält die Mail, gleichzeitig prüft das E-Mail Programm, ob das Wasserzeichen echt ist (beim Zertifikatsaussteller wird nachgefragt, ob die Codierung noch gültig ist, oder um beim Bild „Personalausweis“ zu bleiben: Im Bürgerbüro wird nachgefragt ob der Personalausweis des Absenders noch gültig ist), und ob sich der Prüfwert während des Transportweges geändert hat.

In unserem Beispiel wäre die E-Mail mit einem gebrochenem Signatur-Icon versehen gewesen. Somit hätte der Empfänger sofort sehen können, dass die Mail wahrscheinlich nicht vom Vorgesetzten gesandt wurde.

simpleshow und IDG Business Media GmbH haben zum Thema E-Mail-Signatur einen Erklärfilm entwickelt:

Interne Betriebsabläufe infrage stellen und ggf. anpassen

Überprüfen Sie regelmäßig Ihre Betriebsprozesse. Sieht der Geschäftsablauf eine Rechnungsfreigabe per E-Mail vor? Wäre es sicherer, die Rechnung persönlich vom Geschäftsführer abzeichnen und freigeben zu lassen? Diese Vorgehensweise hätte in unserem Beispiel den Mail-Empfänger schon zweifeln lassen, da der Geschäftsführer sich nicht an eigene Betriebsabläufe hält.

Gerne unterstützen Sie unsere Kollegen der SILA Consulting GmbH mit ihrem Know-how bei der Verifizierung Ihrer IT-Prozesse.

Veröffentlichung von persönlichen Daten minimieren

Begrenzen Sie die Preisgabe von persönlichen Daten in Ihren Social-Media Kanälen. Achten Sie darauf, welche Informationen Sie veröffentlichen. Je mehr persönliche Informationen Sie von sich preis geben, desto gezielter können Angreifer eine auf Sie zugeschnittene E-Mail verfassen, die Sie als vertrauenswürdig erachten.

Zweifeln erwünscht

Wenn Ihnen eine Mail von bekannten Absendern verdächtig erscheint, z.B. weil die Ausdrucksweise / die Wortwahl den Absender nicht wie gewohnt ähnelt, rufen Sie den Absender an und lassen Sie sich den Versand der E-Mail bestätigen.

Haben Sie die Befürchtung eine ungewöhnliche Mail empfangen zu haben, oder bereits einer Datenspionage zum Opfer gefallen zu sein, benachrichtigen Sie sofort Ihren Helpdesk / Ihre IT-Abteilung. Selbstverständlich stehen Ihnen auch unsere Kollegen des NETGO Service-Desks gern zur Verfügung.

Mitarbeiter sensibilisieren

Schulen Sie Ihre Mitarbeiter! Zeigen Sie Ihnen, welchen Online-Gefahren sie ausgesetzt sind. Beginnen Sie vielleicht damit, Ihren Mitarbeitern diesen Beitrag zu zeigen. Ziehen Sie externe Berater zu Rate. Auch hier stehen Ihnen unsere Kollegen der SILA Consulting GmbH gern zur Verfügung.

Technische Maßnahmen

Spear Phishing Mails verwenden in der Regel keinen Schadcode. So ist die Wahrscheinlichkeit als böswillige E-Mail von Virenschutzprogrammen oder Mail-Filter enttarnt zu werden recht gering. Dennoch gilt: Halten Sie die Angriffsfläche Ihrer IT immer so gering wie möglich! Verwenden Sie stets aktuelle Virenscanner und Firewall-Systeme. Halten Sie Ihre Software durch Einspielen der neuesten Sicherheitsupdates stets aktuell.

Hilfe

Sollten Sie Fragen haben oder weitere Unterstützung benötigen, so stehen wir Ihnen gern zur Verfügung:

icon_phone_15 +49 2861 / 80 84 7 300
icon mail support@netgo.de

Foto: @weerapat1003 / Fotolia

0 Kommentare

Ihr Kommentar

Möchten Sie an der Diskussion teilnehmen?
Tragen Sie gern dazu bei!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.