Phishing-Angriffe gehören zu den bekanntesten und häufig angewendeten Cyberangriffen, und sicherlich hast du davon schon gehört oder bist im schlimmsten Fall bereits Opfer davon geworden. Eine Unterform von Phishing – neben unter anderem Smishing, Whaling oder Vishing – ist das Spear-Phishing, worum es in diesem Artikel gehen soll. Es ist deshalb heimtückischer als andere Phishing-Attacken, weil sich die Nachricht gezielt an eine Person richtete und vorab genau vom Angreifer angepasst wurde. Erfahre, worum es sich beim Spear-Phishing genau handelt, wie du Spear-Phishing-Angriffe erkennen kannst und wie du dich dagegen schützt.
Inhaltsverzeichnis
Was ist Spear-Phishing?
Um zu verstehen, worum es sich bei Spear-Phishing genau handelt, musst du zunächst ein Verständnis über die Definition von Phishing im Allgemeinen haben,
Phishing ist ein Oberbegriff für böswillige Versuche, per E-Mail, Telefonanruf oder SMS deine persönlichen oder finanziellen Daten zu stehlen. Dieser Cyberangriff erfolgt großflächig, das bedeutet, es werden unzählige Nachrichten an E-Mail-Adressen oder Telefonnummern gesandt, in der Hoffnung, dass möglichst viele Empfänger auf den Betrugsversuch hereinfallen. In den Nachrichten befinden sich entweder Links, die zu gefälschten Webseiten führen, oder aber Anhänge, die dein Gerät bei einem Download mit Schadsoftware infizieren.
Um zu erreichen, dass du einen Link oder einen Anhang öffnest, nutzen Kriminelle das sogenannte Social Engineering. Sie manipulieren dich, indem sie dein Vertrauen gewinnen und einen Kontext liefern, der dich davon überzeugt, dass es sich um eine legitime Nachricht handelt.
Das könnte zum Beispiel der vermeintliche Gewinn einer hohen Geldsumme sein, den du erhältst, wenn du auf einer Webseite deine Daten preisgibst. Doch statt des Gewinns erbeuten die Hacker deine Daten.
Spear-Phishing ist hingegen ein gezielter Angriff auf eine einzelne Person. Im Vorfeld führt der Angreifer eine umfangreiche Recherche über sein Opfer durch, um ihn in der Nachricht gezielt anzusprechen. Dadurch, dass die Spear-Phishing-Angriffe so maßgeschneidert auf den Empfänger sind, sind sie auch besonders erfolgversprechend. Während bei regulären Phishing-Angriffen vielen bewusst ist, dass es sich um eine gefälschte Nachricht handelt, ist Spear-Phishing deutlich schwerer zu durchschauen.
In Unternehmen könnte sich der Hacker als Führungskraft ausgeben und einen Angestellten per Spear-Phishing-Angriff davon überzeugen, dass die E-Mail tatsächlich von einer Person innerhalb des Unternehmens stammt. Im privaten Bereich kommt Spear Phishing zwar seltener vor, denkbar ist aber, dass der Kriminelle sich in diesem Fall als Verwandter oder Freund ausgibt, um seinen Angriff vertrauenswürdiger zu machen.
Wie häufig kommt es in Deutschland zu Spear-Phishing-Angriffen?
Bei einer Umfrage im Jahr 2021 gab die Hälfte der Unternehmen an, bis zu 25 Spear-Phishing-Angriffe im Jahr verzeichnet zu haben. Bei 1% der Befragten kam es sogar zu mehr als 100 Spear-Phishing-Attacken.
Wie funktioniert Spear-Phishing?
Für Spear-Phishing-Angriffe sind allgemein die folgenden Schritte notwendig:
- Der Angreifer wählt sein Ziel aus, wie ein Unternehmen oder eine Institution.
- Eine oder mehrere Zielpersonen, die für den Kriminellen am erfolgversprechendsten sind, an sein Ziel zu gelangen, werden ausgewählt.
- Eine genaue Recherche über die Zielperson findet statt, um die Nachricht so individuell und maßgeschneidert wie möglich zu gestalten.
- Auf Grundlage der gesammelten Informationen erstellt der Angreifer seine E-Mail.
Für den dritten Schritt verwendet der Hacker die meiste Zeit. Er muss möglichst viele Informationen über die Person herausfinden. In Zeiten der sozialen Medien ist das nicht wirklich schwer: Plattformen wie Facebook, Linkedin, Instagram bieten unzählige Daten, bei denen sich der Angreifer bedienen kann.
Hier finden sich zudem Kontakte – familiär, beruflich, freundschaftlich -, die die Person pflegt. Auch anhand dieser kann der Täter sein Profil von der Person erweitern. So besitzt er am Ende seiner Recherche ein umfangreiches Bild der Person: Welche Position nimmt die Person innerhalb des Unternehmens ein, welche Hobbies hat er, wo kauft er ein, welche Bankdienste nutzt er?
Innerhalb der E-Mail fordert der Angreifer den Empfänger schließlich auf, mit bestimmten Angaben zu antworten wie internen Informationen über das Unternehmen; oder sie enthält einen Link, der zu einer gefälschten Webseite führt, wie einem Login-Feld für eine Webseite oder dem Online-Banking.
Eine Anhang in der E-Mail könnte bei einem Download Schadsoftware auf dem Gerät des Opfers installieren, mit deren Hilfe der Angreifer das Gerät oder das Unternehmenssystem ausspioniert.
Es ist wichtig anzumerken, dass Spear-Phishing deutlich seltener als Phishing oder Smishing (per Textnachricht) ist. Denn wie du gesehen hast, erfordert es deutlich mehr Aufwand und lohnt sich nur bei Zielen, die eine hohe Erfolgsquote bieten, an äußerst sensible Daten zu gelangen oder sich finanziell zu bereichern. Wirst du jedoch als Ziel ausgewählt, ist es deutlich schwieriger, sie als Betrug und Cyberangriff zu identifizieren als bei anderen Phishing-Attacken.
Was sind die Ziele von Spear-Phishing?
Spear Phishing kann unterschiedliche Ziele haben, wie den Diebstahl von sensiblen Daten im Allgemeinen, die Entwendung von Unternehmensdaten oder den Diebstahl von finanziellen Informationen. Im Folgenden ein Überblick:
Diebstahl finanzieller Daten: Hacker versuchen, an Bankdaten oder andere finanzielle Daten wie jene von Bezahldiensten (PayPal, Stripe) zu gelangen, um sich so finanziell zu bereichern.
Datendiebstahl: Vertrauliche Informationen wie Anmeldedaten, Finanzdaten oder geistiges Eigentum werden gestohlen, um diese weiterzuverkaufen oder ein Unternehmen oder eine Person zu erpressen.
Identitätsdiebstahl: Persönliche Daten können für die Erstellung gefälschter Konten und Profile genutzt werden, um damit wiederum weitere Cyberangriffe durchzuführen.
Spionage: Bestimmte Personen oder Organisationen werden ausgewählt, um interne Informationen oder Geschäftsgeheimnisse zu sammeln. Das ist besonders in größeren Unternehmen, die mit sensiblen Daten arbeiten, eine reale Gefahr.
Installieren von Malware: Hacker haben mit dem Spear-Phishing-Angriff das Ziel, Malware auf dem Gerät des Opfers oder gar in einem Unternehmenssystem zu installieren. Dazu gehört auch Ransomware, mit der Angreifer ganze Systeme verschlüsseln können und erst nach einer Lösegeldzahlung wieder freigeben.
Phishing von Anmeldedaten: Login-Daten sind äußerst attraktiv, weil sie Zugriff auf sensible Informationen einer Person oder eines Unternehmens bieten. Das Spear Phishing der Anmeldedaten ist also nur der erste Schritt.
Spear-Phishing Merkmale – Wie kann ich einen Angriff erkennen?
Der beste Schutz vor Spear-Phishing ist es, den Angriff frühzeitig erkennen zu können. Das kann in der Hektik des Alltags im Berufs- oder Privatleben manchmal schwierig sein, vor allem weil eine E-Mail äußerst professionell gefälscht sein kann. Doch bestimmte Hinweise im Hinterkopf zu bewahren, kann vor großem Schaden bewahren, weil es manchmal kleine Details sind, die auf einen Spear-Phishing-Angriff hindeuten. Im Folgenden erfährst du, worauf du achten solltest.
Die E-Mail erzeugt eine Dringlichkeit: Du hast das Gefühl, dass der Inhalt der E-Mail eine starke Dringlichkeit erzeugt. Der Absender drängt dich darauf, deine persönlichen Daten oder andere Informationen möglichst schnell mitzuteilen. Meist geschieht das in Verbindung mit einem Zeitlimit und einer Konsequenz. Beispiel: Wenn Sie Ihre Daten innerhalb von 24 Stunden nicht bestätigen, wird ihr Konto gesperrt.
Die E-Mail-Adresse wirkt falsch: Selbst wenn dir der Absendername auf den ersten Blick vermeintlich bekannt vorkommt, kann die E-Mail-Adresse Aufschluss darüber geben, dass es sich womöglich um einen anderen Absender mit böswilligen Absichten handelt. Wenn also im Feld des Absenders der Name “Max Mustermann” als Beispiel erscheint, den du auch kennst, dir aber als dazugehörige E-Mail-Adresse “xhsadhsdh234”@gmail.com” angezeigt wird, handelt es sich sehr wahrscheinlich um Spear Phishing.
Ungewöhnliche Anhänge: In E-Mails sind Anhänge an sich nichts ungewöhnliches, doch es mag sein, dass dir ein Dateiname merkwürdig vorkommt, beziehungsweise nicht das Format oder den Stil besitzt, den du von dem Absender gewohnt bist. Beispiel: Eine Nachricht, die scheinbar von deinem Vorgesetzten stammt und in der dieser dich bittet, einen Geschäftsabschluss des letzten Quartals dringend zu prüfen. Die Datei ist jedoch mit “xgsgdg23” betitelt; der Name der Datei steht also in keinem Zusammenhang mit dem Inhalt.
Ungewöhnliche Links: Bei Links kannst du auf die URLs und Formatierung achten. Bewege die Maus über den Link (nicht klicken!) und prüfe, ob dieser mit der Zieladresse übereinstimmt. Beispiel: Der Absender drängt dich im Namen der Sparkasse, deine Logindaten beim Online-Banking zu bestätigen, da sonst eine Kontosperrung droht. Der Link führt hingegen zu einer Webseite, deren URL nur teilweise oder gar nicht mit dem Webseitenauftritt der Sparkasse übereinstimmt.
Rechtschreib- und Grammatikfehler: Nicht jeder schreibt fehlerfrei, doch wenn es in der E-Mail gehäuft zu Rechtschreib- und Grammatikfehlern kommt, kann das auf Spear-Phishing hinweisen. Auch ein ungewöhnlicher Schreibstil (sehr hölzern und unnatürlich), der nicht zum Absender passt, kann auf Spear-Phishing-Angriffe hindeuten. Beachte: Das vermehrte Einsetzen von künstlicher Intelligenz (KI), auch in der Cyberkriminalität, macht Spear-Phishing-Angriffe immer überzeugender, da der Angreifer sogar eine Nachricht in einer Sprache fehlerfrei fälschen kann, die er selbst gar nicht beherrscht.
Die E-Mail ist stark von Emotionen geprägt: Gerade innerhalb von Unternehmen sind E-Mails normalerweise eher sachlicher verfasst. Ist die Nachricht jedoch stark von Emotionen wie Angst oder Schuldgefühlen geprägt, könnte es sich um einen Spear-Phishing-Angriff handeln. Beispiel: Der Absender der E-Mail behauptet, eine Konto würde bei Missachtung der Anweisungen gesperrt (Angst) oder aber ein großer Schaden innerhalb des Unternehmens könnte die Folge sein, wenn der Empfänger nicht rechtzeitig handelt (Angst und Schuldgefühl).
Wie kann ich mich vor Spear-Phishing schützen?
Es gibt mehrere Möglichkeiten, sich gegen eine solche gezielte Phishing-Attacke zu schützen.
Verifiziere den Absender
Überprüfe bei einer E-Mail stets, ob es sich um eine authentische Adresse handelt, vor allem dann, wenn der Absender dich um sensible Daten bittet. Innerhalb von E-Mail-Clients gibt es oft die Möglichkeit, eine E-Mail mit einem Zertifikat auszustatten, die die Authentizität des Absenders bestätigt. Ebenso ist es sinnvoll, die Verschlüsselung von E-Mails zu etablieren, wenn untereinander vertrauliche Informationen ausgetauscht werden. So wird sichergestellt, dass verschlüsselte E-Mails nur mit einem Passwort geöffnet werden können.
Klicke nicht unbedacht auf Links
Wenn sich in einer E-Mail ein Link befindet, überlege vorher genau, ob du ihn öffnest – tue dies nur, wenn du vorher den Absender wie oben beschrieben, genau verifizieren konntest. Prüfe zudem die URL des Links, um zu erkennen, ob es sich um eine offizielle Webseite handelt. Hacker fälschen Webseiten oftmals, so dass eine URL ähnlich wie das Original aussieht, jedoch minimale Änderungen besitzt, zum Beispiel könnte es statt amazon.de, amazon1.de geschrieben sein.
Nutze eine E-Mail-Filterung
Die meisten E-Mail-Clients haben eine Filterung integriert, die verdächtige Nachrichten herausfiltert. Jedoch sind solche Filterungen nicht immer fehlerfrei, vor allem wenn es sich um eine professionell gestaltete Phishing-Mail handelt wie beim Spear-Phishing. Für Unternehmen existieren spezielle Softwares für eine solche Filterung, die eine bessere Cybersicherheit versprechen als herkömmliche Filter.
Wähle sichere Zugangsdaten
Schütze deine Konten mit starken und individuellen Passwörtern. Die Kennwörter sollten mindestens aus zwölf Zeichen mit Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen bestehen. Um die Login-Daten zu speichern und zu verwalten, bietet sich ein Passwort-Manager an, der dir zusätzlich helfen kann, starke Passwörter zu erstellen.
Während starke Passwörter für eine allgemein höhere Online-Sicherheit sorgen, ist beim Spear-Phishing insbesondere der Aspekt unterschiedlicher Kennwörter für deine Konten relevant. Schafft es ein Hacker durch das Spear-Phishing, Login-Daten von dir zu entwenden, hat er keinen unmittelbaren Zugriff auf weitere Konten von dir.
Nutze eine Zwei-Faktor-Authentifizierung (2FA)
Eine Zwei-Faktor-Authentifizierung sorgt für eine zusätzliche Sicherheitsschicht deiner Konten. Selbst wenn es einem Angreifer gelingt, deine Anmeldedaten zu erbeuten, benötigt er immer noch einen Code, der per App oder SMS erzeugt wird, um letztlich Zugriff zu erlangen.
Informiere und schule dich über Spear-Phishing-Angriffe
Vor allem Unternehmen sollten ihre Mitarbeiter regelmäßig schulen, damit diese Spear-Phishing-Angriffe frühzeitig erkennen können. Zudem solltest du wissen, wie du reagierst, wenn du Opfer eines Angriffs geworden bist.
Teile so wenig persönliche Informationen wie möglich
Wie du erfahren hast, gelangen Hacker insbesondere durch persönliche Daten von dir in den sozialen Medien an die notwendigen Informationen für einen Spear-Phishing-Angriff. Überlege daher genau, was du online mit wem teilst. Stelle Konten von dir vorzugsweise auf privat und teile Beiträge von dir nur mit Familie und Freunden.
Alternative ID
Alternative ID ist eine Funktion von Surfshark, mit deren Hilfe du dir eine neue Online-Identität zulegen kannst. Das ist vor allem bei Webseiten und Online-Diensten hilfreich, bei denen du dir über die Seriosität im Umgang mit deinen Daten unsicher bist.
Du gibst bei Alternative ID deine Daten und deine E-Mail-Adresse an und erhältst eine neue Online-ID. Alle E-Mails, die an diese ID gesendet werden, werden an deine tatsächliche Adresse weitergeleitet. Erhältst du plötzlich viele Spam-Mails, kannst du die ID einfach wieder löschen, ohne dass deine wahren Informationen der Webseite offengelegt wurden.
Nutze ein VPN
Ein VPN bietet zwar keinen direkten Schutz gegen Spear-Phishing, ist aber ein hervorragendes Tool für deine allgemeine Cybersicherheit. Denn es verschlüsselt deine Daten und verschleiert deine IP-Adresse für eine höhere Online-Privatsphäre. Außerdem bieten Premium-VPNs wie Surfshark weiter nützliche Funktionen wie einen Schutz gegen Malware und eine Offenlegung deiner Daten im Netz.
FAQs
Was ist der Unterschied zwischen Spear-Phishing und Smishing?
Spear-Phishing ist auf eine einzige Person gerichtet, während Smishing ein breitgefächerter Cyberangriff auf unzählige Personen gleichzeitig ist, in der Hoffnung, dass jemand auf die Betrugsmasche hereinfällt. Außerdem erfolgt diese Art von Phishing ausschließlich über SMS oder Messenger-Dienste.
Ist Spear-Phishing ein Cyberverbrechen?
Ja, beim Spear-Phishing handelt es sich um ein Cyberverbrechen. Denn der Angreifer nutzt bewusst eine Vortäuschung falscher Tatsachen, um dich zu einer Handlung zu bewegen. Erbeutet er zudem im Anschluss sensible Daten, begeht er Diebstahl.
Spear-Phishing vs. Phishing – Was ist gefährlicher?
Phishing ist der Oberbegriff für mehrere Vorgehensweisen wie Smishing, Vishing oder Spear-Phishing. Bis auf das Spear-Phishing setzten all diese Attacken auf Masse, das heißt, die Angreifer planen ein, dass sie die meisten Empfänger ihrer Nachrichten nicht erreichen, weil viele den Betrug durchschauen. Spear-Phishing hingegen ist durch die genaue Vorausplanung deutlich heimtückischer und besitzt eine höhere Erfolgsquote.
