Spearphishing – abgezockt und ausgeraubt

Folge uns unauffällig:

Wer Spearfishing hört, der denkt automatisch an die Jagd nach Meeresbewohnern mittels Harpunen-artigen Pfeilen. Doch auch in einer ganz anderen Szene konnte sich der Begriff mittlerweile etablieren, auch wenn er dort für etwas komplett anderes steht. Was es damit auf sich hat und was der Begriff dort nun konkret bedeutet, erzähle ich euch heute.

Im IT-Sicherheits-Bereich steht „Spearphishing“ für eine Weiterentwicklung der berüchtigten „Phishing“-Methode. Spearphishing zielt darauf ab, nicht autorisierten Personen Zugriff auf vertrauliche Daten zu ermöglichen. Ausdrücklich hervorzuheben ist dabei, dass es sich nicht um willkürliches Hacken und Auslesen von Daten handelt, sondern um gezielten Finanzbetrug oder das Stehlen von Firmengeheimnissen. In Einzelfällen wurden sogar Militär- und Geheimorganisationen von den Spearfishing-Betrügern geprellt. Doch wie kann es dazu kommen? Wie funktioniert das Ganze?

Beim Spearphishing nutzen die Betrüger die Naivität mancher Internet-User schamlos aus. Dabei tarnen sie sich in ihrer E-Mail als renommiertes Unternehmen, beispielsweise Paypal oder eBay, wie auch beim normalen Phishing. Der Unterschied liegt aber woanders. Der Absender gibt sich meist als Mitarbeiter oder Vorgesetzter des Unternehmens des Betroffenen aus. Das ist nicht nur noch dreister, sondern soll zusätzlich den Druck auf das Opfer erhöhen.

Heutzutage fallen die meisten Nutzer nicht mehr so leicht auf herkömmliche Phishing E-Mails rein. Kennen Sie den Absender nicht, können sie den Grund nicht nachvollziehen oder missfällt Ihnen Aufbau und Struktur der Mail, landet sie in den meisten Fällen direkt im Papierkorb. Genau hier setzt Spearfishing an. Ist der Absender nämlich vermeidlich bekannt und vertrauenswürdig, der Grund der E-Mail plausibel und die Gestaltung authentisch verändert sich das Bild plötzlich.

Die Daten besorgen sich die Kriminellen ganz einfach über Firmenwebseiten oder soziale Netzwerke in denen geschäftliche Kontaktdaten angegeben sind. Anschließend geben sie sich als die Person aus und formulieren eine E-Mail an einen Mitarbeiter. Dieser soll aus den unterschiedlichsten Gründen private Daten raus rücken und diese in ein Formular eingeben, was selbstverständlich gefälscht ist. Danach landen die Daten direkt bei den Kriminellen.

Abhilfe für Unternehmen bietet eigentlich nur eine so genannte Advanced Threat Protection, die vor Spearfishing schützt. Sie erkennt durch ausgeklügelte Mechanismen Spearfishing Attacken sofort und kann somit effektiv vor der dreisten Betrugsmasche schützen.