Was ist Spearphishing?
Dieser Beitrag erklärt Dir den Trick + die 8 besten Abwehrmaßnahmen!
Starten wir!
- 1 Was ist Phishing?
- 2 Was ist Spearphisihing?
- 3 Arten von Phishing
- 4 Abwehrmaßnahmen
- 4.1 #1 Aktiviere die Basis Spam Filterung
- 4.2 #2 Zuständige auf anderen Weg kontaktieren
- 4.3 #3 Abgleich mit dem Internet oder anderen Referenz
- 4.4 #4 Tee trinken und Abwarten
- 4.5 #5 Private geheime E-Mail-Adresse
- 4.6 #6 Detaillierte Rückfragen stellen
- 4.7 #7 Genau die E-Mail analysieren
- 4.8 #8 Nur signierte E-Mails ernst nehmen
Was ist Phishing?
Phishing ist das illegale, massenhafte Versenden von E-Mails an Opfer, welche einer Bitte, Drohung oder Vorwand in der E-Mail nachkommen sollen. Entweder sollen Sie auf einen Link klicken und ein Passwort von einem ihrer Accounts preisgeben oder eine IBAN- / PayPal-Überweisung an ein angegebenes Konto durchführen.
Pishing-E-Mails senden die Kriminellen an Tausende von E-Mail-Adressen, welche in Databreaches vorgekommen sind. Im Internet / Darknet geistern Millionen von (wahrscheinlich noch) aktiven E-Mail-Adressen. Selbst wenn nur 0,001 % der Opfer sich auf die E-Mail einlassen, können die Kriminellen Geld stehlen.
Was ist Spearphisihing?
Spearphishing ist der Akt, wenn ein Krimineller eine persönlich konfigurierte E-Mail an ein Opfer sendet. Eine Spearphishing E-Mail enthält einen „legitimen / plausiblen“ Grund der Interaktion. Typisch legitime Gründe sind die folgenden:
- eine Rechnung von Hotel X begleichen, in welchen sich das Opfer gestern aufhielt
- eine Login / Passwort erneuern (alle 90 Tage)
- von einem Lieferanten von X eine Monatsabrechnung verbuchen
- ein geheimer Auftrag des CEOs
- ein Angebot, was genial gut ist, aber noch nicht unrealistisch (mit Vorkasse)
Spearphishing E-Mail können sich in Form und Aussehen unterscheiden, weil diese perfekt den Sender X emulieren.
Arten von Phishing
Phishing findet über E-Mails statt. Weitere „-shing“ Arten sind die folgenden:
Teuflische Sprache – Vashing
Kriminelle nutzen nicht nur die Internet-Leitung für E-Mails, sondern auch die Telefonleitung. Kriminelle ohne Akzent und mit exzellenter Aussprache versuchen ihr Opfer in die Irre zu leiten.
Sie versuchen sich, als die vertraute Person X auszugeben und stellen Forderungen, fragen um eine Bitte oder Drohen direkt mit „falschen“ Konsequenzen. Selbst wenn der Kriminelle die Stimme nicht verstellt, vertraut das Opfer der Stimme, weil die Telefon-Übertragung und Lautsprecher die meisten Stimmen verzerren.
Der Kriminelle muss exakt die Redensarten, Reaktionen und Verhaltensweisen der nachgestellten Person emulieren.
Böse Kurznachrichten – Smishing
Ein Phishing via SMS ist ein Weg, um Opfer in die Irre zu leiten. Die kleinen Textnachrichten erscheinen harmlos und authentisch. Das Opfer reagiert auf die Bitte, Aufforderung oder Frage. Viele Opfer hinterfragen nicht weiter, wer der Absender wirklich ist.
Grundlagen für Spearphishing – OSINT
Eine Spearphishing E-Mail braucht deutlich mehr Vorbereitung als eine Phising-E-Mail. Die Inhalte müssen so authentisch, wie möglich ausgewählt sein. Der Kriminelle untersucht die folgenden Aspekte:
- Wer ist der Sender? Wer ist der konkrete Ansprechpartner für das Opfer? Von wem erwartet das Opfer in den nächsten Tagen eine E-Mail? Welche „Unterschriftart“ nutzt der Sender z. B. „Steffen Lippke“, „Lippke“ oder „S. Lippke“?
- Welche Sprache spricht das Opfer / Sender? In welcher Sprache findet eine solche Unterhaltung statt?
- Welchen Schreibstil hat der Sender? Hält der Sender sich im kurz und knapp oder schreibt dieser gerne ausführliche Briefe? Verwendet dieser Sprachvarianten wie z. B. das Schweizerdeutsch (Freundlichen Grüsse) oder Hochdeutsch (Mit freundlichen Grüßen)?
- Verwendet der Sender immer eine Form? Wie sehen die Kopfzeile, Fußzeile, Schriftart, Logo oder andere Formtexte aus?
Kriminelle versuchen selbst mit dem Sender in Kontakt zu treten, um den Stil und die Form abzugreifen. Sie kaufen das Produkt, buchen das Hotel für eine Nacht oder stellen eine Support-Anfrage, um so viel wie möglich über den Sender zu erfahren.
Abwehrmaßnahmen
Was tun gegen Spearphishing? Nur 1 E-Mail kann einen riesigen Schaden anrichten – manchmal irreversibel!
#1 Aktiviere die Basis Spam Filterung
Aktiviere eine Spam Filterung, die die Standard-Spam-E-Mails für Dich herausfiltert.
So kannst Du bereits 99 % der Spam-Mails verhindern. Spearphising E-Mails können auch an einfachen Filtern scheitern, weil der Filter den Inhalt nach auffälligen Wörtern scannt.
#2 Zuständige auf anderen Weg kontaktieren
Wenn Du eine leicht verdächtige E-Mail erhältst, dann solltest Du eine Rückfrage wegen Spearphishing an den Absender stellen. In der Regel kontrolliert ein Krimineller nicht alle Kommunikationswege. Eine auffällige Sprechweise am Telefon kann auf ein Spearphishing Angriff hinweisen.
#3 Abgleich mit dem Internet oder anderen Referenz
Du hast heute eine Rechnung von dem Hotel X gesendet bekommen.
Die Rechnung sieht passend aus. Trotzdem solltest Du die IBAN mit der offiziellen IBAN auf der Webseite des Hotels X vergleichen. Kriminelle nutzen diese Masche, weil die wenigsten IBAN-Änderungen prüfen. Eine alte Rechnung kann auch eine geeignete Referenz sein.
#4 Tee trinken und Abwarten
Kriminelle sind häufig ungeduldige Quengel Kinder.
Wenn ein Anliegen „super dringend“ ist, aber Du keine Priorität siehst, warte ab. Kriminelle machen schnell einen Fehler und senden Dir eine weitere Nachricht mit einer schlechten Google Translate Übersetzung, die den Scam auffliegen lässt.
#5 Private geheime E-Mail-Adresse
Versuche mal eine E-Mail an elon.musk@tesla.com zu senden? Denkst Du, die E-Mail kommt an? Diese drei Szenarien sind möglich:
- Tesla hat ein schlechtes IT-Sicherheitskonzept und Elon antwortet Dir 😉 (schlechtes IT-Sicherheitskonzept)
- Du erhältst eine „Empfänger nicht gefunden“ zurück (schlechtes IT-Sicherheitskonzept)
- Deine IP und E-Mail befindet sich jetzt auf einer Sperrliste bei Tesla und Du bekommst keine Antwort vom Server. CEOs und andere wichtige Personen sollten eine schwer zu erratende E-Mail-Adresse wie p192472@tesla.cm haben. Elon Musk sollte seine geheime E-Mail nur an enge Vertraute weitergeben. Kein normaler Tesla-Mitarbeiter im Konzern sollte in einem Verzeichnis die E-Mail von Musk herausfinden können.
#6 Detaillierte Rückfragen stellen
Stelle eine Detailfrage, bevor Du auf die Bitte reagierst.
Nur die echte Person soll auf diese Frage eine Antwort wissen. z. B. auf der Rechnung fehlen noch die Getränke von Samstagabend. Können Sie diese ergänzen?
Der Kopf des Kriminellen fängt jetzt an zu rauchen.
#7 Genau die E-Mail analysieren
Eine E-Mail kann gut gefälscht sein. Selbst die besten Fälscher machen Fehler. Überprüfe die folgenden Aspekte:
- Wo führen die Links wirklich hin?
- Findet eine Link-Umleitung statt?
- Ist die Telefonnummer in Signatur noch aktuell?
- Würde der Sender mit Dir so formell oder so informell in Kontakt treten?
- Wirkt die Rectschreibung zu korrekt für den Sender?
- Ist die Schriftart anders als sonst?
- Handelt es sich um die typischen Bürozeiten des Absenders?
- Hat der Sender eigentlich nicht Urlaub, ist auf einer Geschäftsreise oder in Elternzeit?
#8 Nur signierte E-Mails ernst nehmen
Die Profis akzeptieren E-Mails nur mit einer Signatur. Der Sender signiert Nachrichten mit seinem privaten Schlüssel. Die Empfänger können mit dem öffentlichen Schlüssel des Senders folgendes überprüfen:
- Die Nachricht muss von dem Besitzer des privaten Schlüssels stammen.
- Die Nachricht ist auf dem Weg zum Empfänger nicht geändert worden.
