Beim klassischen Phishing werden große Mengen von E-Mails wahllos an Empfänger verschickt, um sie dazu zu bringen, auf schädliche Links zu klicken oder vertrauliche Informationen preiszugeben. Beim Spear Phishing werden die Empfänger hingegen sorgfältig recherchiert und ausgewählt und erhalten E-Mails, die auf sie persönlich zugeschnitten sind und viel glaubwürdiger wirken.

Bei Spear Phishing handelt es sich also im Wesentlichen um eine ausgefeiltere Spielart von Phishing-Angriffen, bei der die Hacker sich als Geschäftspartner, Freund oder Dienstleister – wie etwa die eigene Bank oder PayPal – ausgeben. Sie verwenden einen bekannten Absendernamen, um Vertrauen zu erwecken. In der E-Mail werden Sie aufgefordert, auf einen bösartigen Link zu klicken oder vertrauliche Informationen zu übermitteln – Passwörter, Bankverbindungen oder sonstige personenbezogene Daten.

Spear-Phishing-Angriffe richten sich in der Regel nicht an ein breites Publikum potenzieller Opfer, sondern haben eine bestimmte Person oder Organisation im Visier. Um ihr Ziel zu erreichen, setzen sie bestimmte Taktiken ein: Sie täuschen bekannte Absenderidentitäten vor, stimmen E-Mails auf die Persönlichkeit der Empfänger ab und enthalten Insider-Informationen. Oft sind sie nur die Vorstufe zum eigentlichen Angriff. Dass Sie übers Ohr gehauen wurden, merken Sie erst, wenn es bereits zu spät ist.

Wie funktioniert Spear Phishing im Einzelnen?

Ein Spear-Phishing-Angriff beginnt in der Regel mit einem gefälschten Schreiben, das vorgeblich von einem Freund oder Geschäftspartner stammt und den Empfänger bewegen soll, unwissentlich ein Schadprogramm herunterzuladen oder vertrauliche Informationen preiszugeben. Die erste Kontaktaufnahme mit dem potenziellen Opfer erfolgt in der Regel über E-Mail oder eine Social-Media-Plattform. Auf diese Weise wird der Köder gelegt. Anschließend müssen die Hacker nur noch abwarten, ob das Opfer anbeißt.

Sie können erstaunlich einfallsreiche Fallen stellen, die ganz auf bestimmte Mitarbeiter oder Personen zugeschnitten sind. Wenn die Betroffenen hineintappen, folgt häufig ein größerer Angriff auf ihre Person oder ihren Arbeitgeber.

Wenn Sie das Ziel eines solchen Spear-Phishing-Angriffs sind, hat der Angreifer sich sehr wahrscheinlich gründlich über Sie informiert. Er kennt Ihren Namen und Ihre E-Mail-Adresse. Und er hat wahrscheinlich Ihre Online-Benutzerkonten durchkämmt, um persönliche Informationen über Sie zu finden.

Vielleicht hat er Ihre Postings auf Social-Media-Plattformen gelesen, um zu erfahren, welche Produkte Sie vor kurzem gekauft haben, wohin Sie gereist sind oder wer Ihre Freunde und Kollegen sind. Heutzutage sind so viele Informationen online zugänglich, dass es leichter denn je möglich ist, ein grobes Profil der angegriffenen Person zu erstellen, das ihre Aktivitäten oder ihre Bekannten umfasst. Diese Informationen liefern den Angreifern die nötigen Ansatzpunkte.

Spear-Phishing-Angriffe auf ein Unternehmen zielen auf die schwächsten Glieder in der Sicherheitskette: die Mitarbeiter. Ein typischer Angriff kann beispielsweise so aussehen, dass eine größere Gruppe von Mitarbeitern eine scheinbar beruflich bedingte E-Mail erhält. Das kann etwa eine geschäftliche Mail ihres „Vorgesetzten“ sein. Dieses Schreiben enthält dann oft einen Link oder einen infizierten Dateianhang, der bei Aktivierung das gesamte Netzwerk Ihres Unternehmens für Angreifer öffnet.

Manchmal behaupten die Absender auch, dass Logins oder Passwörter „überprüft“ werden müssen.

Ein gut gemachter Spear-Phishing-Angriff verbirgt sich hinter dem Namen einer vertrauenswürdigen Person oder Institution und enthält genügend Einzelheiten, um glaubwürdig zu wirken. Er enthält eine Aufforderung, die plausibel erscheint, oder legt einen attraktiven Köder aus. Die Annäherung erfolgt in der Regel per E-Mail oder über Social-Media-Accounts.

Sicherheitsexperten vermuten, dass ein kürzlich erfolgter Hacker-Angriff auf das US-Außenministerium durch eine Spear-Phishing-Attacke vorbereitet wurde. Einer Theorie zufolge kam es zu der Datenpanne, nachdem Hacker junge Mitarbeiter erfolgreich über ihre Social-Media-Konten und E-Mail-Adressen ins Visier genommen hatten. Damit steht staatlich finanzierten Hackern ein alarmierend einfacher Weg offen, um die Sicherheitssysteme gegnerischer Regierungen oder Länder zu infiltrieren.

Der aktuelle Norton Internet Security Threat Report verzeichnete für 2014 einen Anstieg der Spear Phishing-Angriffe um 8 Prozent. Dabei waren 83 Prozent aller Unternehmen mit mehr als 2.500 Mitarbeitern das Ziel solcher Angriffe. Auch bei kleinen und mittelständischen Unternehmen stieg die Zahl der Angriffe um 26 bzw. 30 Prozent an.

Der Bericht stellte zudem fest, dass Angreifer zunehmend auf koordinierte Attacken gegen eine kleinere Anzahl ausgewählter Empfänger setzen, statt eine große Empfängergruppe mit Massen-E-Mails zu überschwemmen. Denn langfristig kann es sich für sie auszahlen, mehr Zeit in die Vorbereitung einer kleineren Zahl von Angriffen zu investieren.

Warum fallen die Leute darauf herein?

IT-Fachkräfte in Unternehmen sind es oft leid, Mitarbeiter immer wieder davor zu warnen, auf verdächtige Links zu klicken. Die meisten gefährlichen E-Mails werden von der IT-Abteilung abgefangen, bevor sie in den Posteingang der Empfänger gelangen. Aber gelegentlich kommt doch die eine oder andere E-Mail durch. Die meisten Menschen wissen, dass sie zweifelhafte Links nicht anklicken sollten. Dieses Wissen gehört zum kleinen Einmaleins für Sicherheit im Internet.

Trotzdem üben diese Links offenbar manchmal unwiderstehliche Anziehungskraft aus – wie der sprichwörtliche rote Knopf mit der Warnung „Nicht drücken“. Die Empfänger lassen sich oft wider besseres Wissen dazu verleiten, auf scheinbar interessante Dateianhänge, Warnungen zu ihrem Bankkonto oder Einladungen von „Freunden“ zu klicken.

Spear-Phishing-Angriffe setzen darauf, dass Menschen neugierig sind und oft dem ersten Augenschein vertrauen, wenn etwas überzeugend wirkt. Sie verlassen sich dabei auf psychologische Tricks, die seit langem bewährt und effektiv sind. Warum sollten sie auch das Rad neu erfinden?

Dass diese Form des Angriffs ein so beliebtes Mittel ist, um in Institutionen oder Unternehmen einzudringen, hat einen guten Grund. Die menschliche Neugier oder Leichtgläubigkeit auszunutzen ist viel einfacher, als eine komplexe Sicherheitsinfrastruktur zu knacken. Weshalb Zeit und Energie auf einen Frontalangriff verschwenden, wenn es viel einfacher ist, sich durch die Hintertür einzuschleichen?

Ein weiterer Trend besteht darin, dass Angriffe immer seltener mithilfe infizierter ausführbarer Dateien (mit der Dateierweiterung „.exe“) erfolgen. Am häufigsten sind mittlerweile infizierte Dokumentanhänge. Sie wurden 2014 bei 39 Prozent der Angriffe eingesetzt. Hacker hängen DOC-, PDF-, JPEG- oder andere harmlos wirkende Dateien an, um die Empfänger in dem falschen Gefühl zu wiegen, dass sie diese Dokumente unbesorgt anklicken können. 

Sogar Firmen wie das große Sicherheitsunternehmen RSA können Opfer eines Spear-Phishing-Angriffs werden. Die Attacke auf das Unternehmen begann, indem vier Mitarbeitern ein bösartiger E-Mail-Anhang namens „Stellenbesetzungsplan 2011.xls“ zugeschickt wurde. Dieser Name allein reicht schon, um bei den meisten Menschen Neugier zu erwecken. Ein Mitarbeiter öffnete den Anhang – und das genügte, um eine Sicherheitslücke zu schaffen.

Obgleich sich der Angriff nicht gegen hochrangige Mitarbeiter richtete, konnten die Angreifer in das Unternehmensnetzwerk vordringen, nachdem der Anhang einmal auf dem PC des Mitarbeiters geöffnet worden war. Anschließend nutzen die Hacker Informationen, die sie sich von RSA beschafft hatten, für den Versuch, weitere Firmennetze zu hacken, wie zum Beispiel das des Rüstungsunternehmens Lockheed Martin.

Dass die Zahl der Spear-Phishing-Angriffe ansteigt, liegt daran, dass sie funktionieren. Ein maßgeschneiderter Angriff auf eine kleinere Gruppe von Personen führt mit höherer Wahrscheinlichkeit zum Ziel als der massenhafte Versand von Internet-Bedrohungen an eine riesige Anzahl von Empfängern.

Die Hacker sind mittlerweile sehr gut darin, E-Mails zu erstellen, die echt und glaubwürdig wirken. Einige machen einen so authentischen Eindruck, dass sie nicht einmal von Spam-Filtern erkannt werden. Diese Art von Betrug ist viel raffinierter als die berüchtigte „Nigeria Connection“-Masche. Deshalb ist es wichtig, dass alle jederzeit auf der Hut sind.

Wie können Sie solchen Bedrohungen vorbeugen?

Der beste Schutz besteht darin, zu wissen, woran Sie einen typischen Spear-Phishing-Angriff erkennen. Wenn Sie ein Schreiben Ihrer Bank erhalten, das Sie auffordert, Passwörter oder vertrauliche Informationen zu übermitteln, antworten Sie nicht darauf, sondern setzen Sie sich direkt mit der Bank in Verbindung. Kein Finanzinstitut fordert Sie dazu auf, solche Angaben per E-Mail zu schicken.

Auch wenn ein „Freund“ sich mit einer seltsamen Bitte an Sie wendet oder eine Nachricht mit einem verdächtigen Link schickt, ist äußerste Vorsicht geboten. Wenn Sie in sozialen Netzwerken aktiv sind, ist es sehr wahrscheinlich, dass Ihnen irgendwann etwas Ähnliches begegnen wird. Mindestens einer Ihrer Freunde wird auf einen falschen Link klicken. Und das führt dazu, dass eine schädliche E-Mail oder Nachricht generiert wird, die unter seinem Absendernamen in Ihrem Posteingang landet.

Außerdem versteht es sich von selbst, dass man in sozialen Medien eine zu große Offenheit vermeiden sollte. Es ist in Ordnung, dass Sie Ihre Freunde auf dem Laufenden halten. Aber überlegen Sie dabei gut, welche Postings gegen Sie verwendet werden könnten. Besonders vorsichtig sollten Sie beim Posten auf öffentlich zugänglichen Accounts wie Twitter oder Instagram sein. Wenn Sie meinen, dass schon niemand so dumm sein wird, vertrauliche Informationen preiszugeben, dann schauen sie sich einmal diesen Twitter-Account an. Hier werden Tweets von Leuten gesammelt, die Fotos von ihren Kreditkarten veröffentlichen.

Seien Sie misstrauisch, wenn Links verdächtig wirken oder ungewöhnliche URLs aufweisen. Um zu prüfen, wohin ein Link führt, bewegen Sie den Mauszeiger darauf, ohne ihn anzuklicken. In der Fußzeile Ihres Browsers wird daraufhin die vollständige Linkadresse angezeigt. Wenn Sie immer noch unsicher sind, setzen Sie sich mit dem in der Mail genannten Absender in Verbindung.

Die beste Schutzmaßnahme gegen Spear-Phishing-Angriffe ist es, sich eine gute Sicherheitssoftware zuzulegen, die verlässlich vor Angriffen und Infektionen schützt. Achten Sie darauf, Aktualisierungen für Ihren Browser und Ihr Betriebssystem baldmöglichst zu installieren, damit Sie von Sicherheits-Patches und -Updates profitieren.

Das Beste, was Sie tun können, um Spear-Phishing-Angriffen vorzubeugen, ist es, Ihrem gesunden Menschenverstand zu vertrauen. Wenn etwas verdächtig wirkt oder die Alarmglocken bei Ihnen klingeln lässt, verlassen Sie sich auf Ihr Gefühl.