Spear Phishing

So erkennen Sie E-Mail-Betrüger

Markus Auer Sales Director Central Europe bei BlueVoyant. Davor war er als Regional Sales Manager Central Europe bei ThreatQuotient beschäftigt. Sein persönlicher Fokus liegt auf der Modernisierung von IT-Sicherheitskonzepten, um Organisationen nachhaltig zu schützen. Er blickt auf über 25 Jahre Erfahrung im IT-Bereich zurück und war zuletzt mehrere Jahre bei ForeScout tätig. Zuvor hatte Markus Auer weitere Positionen bei Q1 Labs, SourceFire, netForensics und MessageLabs inne.
Der Absender einer Spear Phishing E-Mail scheint vertrauenswürdig, der Anlass im Betreff nachvollziehbar. Lesen Sie, wie Sie zielgerichtete, betrügerische Aktivitäten erkennen.
Spear Phishing beschreibt den zielgerichteten E-Mail-Angriff auf ausgesuchte Opfer. Lesen Sie, wie Sie dafür sorgen, dass solche Attacken ins Leere laufen.
Spear Phishing beschreibt den zielgerichteten E-Mail-Angriff auf ausgesuchte Opfer. Lesen Sie, wie Sie dafür sorgen, dass solche Attacken ins Leere laufen.
Foto: Dudarev Mikhail - shutterstock.com

Bereits seit geraumer Zeit ist das Thema PhishingPhishing in der IT-SecurityIT-Security ein heißes Thema - und es bleibt auch heutzutage ein großes Problem. Während "normales" Phishing schon lange ein beliebtes Werkzeug von Cyberkriminellen ist, gesellt sich seit geraumer Zeit die neuere, raffiniertere Art des Phishings hinzu: das so genannte "Spear Phishing". Wie genau Spear Phishing funktioniert und wie man sich davor schützen kann sind einige der Fragen, die im Rahmen dieses Artikels beantwortet werden.
Alles zu Phishing auf CIO.de Alles zu Security auf CIO.de

Spear Phishing: Definiton

Spear Phishing ist die Praxis des Versendens betrügerischer E-Mails, die auf bestimmte Personen oder Organisationen abzielen, um sich unbefugten Zugang zu vertraulichen Informationen zu verschaffen. Analog zum englischen Wortursprung (Spear Fishing = Speerfischen) werden beim Spear Phishing keine Köder willkürlich auf ein breites Opferspektrum ausgeworfen. Stattdessen handelt es sich hierbei im Gegensatz zu regulären Betrugs-E-Mails um äußerst zielgerichtete Attacken, die ein konkretes Opfer anvisieren und dessen Verteidigung penetrieren - wie ein Speer.

Diese Angriffe sind aufgrund höherer Komplexität und Aufwandskosten zwar noch nicht ganz so weit verbreitet wie weniger spezifische, übliche Phishing-Attacken, doch der Trend geht klar nach oben: Laut einer Untersuchung von Proofpoint berichteten 88 Prozent der befragten Unternehmen weltweit, dass sie von mindestens einem Spear-Phishing-Angriff im Jahr 2019 betroffen waren.

Im Lagebild Cybercrime 2020 des BKA wurde Phishing als primäre Bedrohung festgestellt. Insgesamt stiegen die Fälle mit Computerbetrug um 5,8 Prozent im Gegensatz zu 2019. Spear-Phishing konnten die Ermittler vor allem im sogenannten Big Game Hunting, also beim Angriff auf große Unternehmen, KRITIS und andere öffentliche Einrichtungen feststellen. "Die beliebtesten Eintrittsvektoren bleiben (Spear-)Phishing, Malspam, kompromittierte RDP-Protokolle sowie die Nutzung illegitim erlangter Log-In-Daten."

Spear-Phishing-Angriffe: Wer steckt dahinter?

Spear-Phishing-Kampagnen werden von den unterschiedlichsten Gruppierungen gestartet. Es kann sich dabei um ein Konkurrenzunternehmen handeln oder es können Cyberkriminelle sein, die das Opfer als besonders lukrativ ausgemacht haben. Darüber hinaus können Cyberkriminelle aber auch im Auftrag handeln, beispielsweise von einem direkten Konkurrenten, der davon profitiert, dass ein Unternehmen gewisse Services nicht mehr anbieten kann, sensible Informationen abfließen, wie Patente, oder aber neue Produkte, Programmiercode oder einfach nur Verträge und Geschäftsdaten.

Eine Kundenliste kann ebenfalls Gold und damit die Kosten einer solchen Kampagne wert sein. Natürlich können solche Kampagnen aber auch von Regierungen oder Staaten bzw. deren Geheimdiensten oder aber speziellen Behörden gestartet werden, um Spionage zu betreiben.

Wie bereits angedeutet kommt es darauf an, um was für ein Unternehmen oder eine Einrichtung es sich bei dem Opfer handelt. Letztlich bestimmt der Auftraggeber den Wert der Information oder aber die cyberkriminelle Gruppierung definiert den Wert von kopierten Daten über das einzutreibende Lösegeld. Hier ist wichtig zu wissen, dass die Beträge manchmal gar nicht so hoch sein müssen, da es sein kann, dass der betroffene Mitarbeiter oder sein Abteilungsleiter versucht den Vorfall zu verschleiern.

Es müssen also nicht immer Millionenbeträge sein, denn wenn kopierte Daten vielleicht einen unbekannten Wert haben, lässt sich dieser über Erpressung oder aber ein Angebot in einschlägigen Marktplätzen schnell bestimmen. Ein Datensatz, der von einem Opfer schnell und unbürokratisch zurückgekauft wird, scheint wertvoll zu sein, so dass vielleicht eine Folgeerpressung stattfindet. Gerne werden Daten auch meistbietend veräußert.

Spear-Phishing-E-Mails: Aufbau

Spear Phishing E-Mails sind sehr ähnlich den Phishing E-Mails, sie bestehen aus einer Betreffzeile, die beim Opfer eine Emotion auslöst. Im Vergleich zu den regulären Phishing E-Mails sind Spear Phishing E-Mails personalisiert. Die Angreifer bringen also vorab viel Zeit für das sogenannte Social Engineering auf.

Die Angreifer sammeln so viele Informationen über das Unternehmen wie möglich und fangen ähnlich Profilern an, von verschiedenen Mitarbeitern Profile zu erstellen, um den Mitarbeiter zu finden, der sie so schnell wie möglich und so sicher wie nötig an ihr Ziel bringen wird. Seine Vorlieben, Familie, Freunde und auch Geschäftspartner werden analysiert, um die E-Mail so effizient wie möglich zu gestalten. Dann versuchen die Angreifer das Vertrauen des Mitarbeiters zu gewinnen.

Die E-Mail muss also bereits ein Thema enthalten, das das Opfer interessant findet oder aber in eine emotionale Stimmung versetzt. Der Kontext der E-Mail muss logisch aufgebaut und der Link zur infizierten Webseite so eingebettet werden, dass der Klick auf den Link vom Empfänger nicht hinterfragt, sondern impulsiv ausgeführt wird. Neben der Einbettung eines Links, kann auch ein Anhang infiziert werden. Besonders geeignet sind MS-Office-Dateien von Excel, Word oder Powerpoint, aber auch Bilddateien oder PDFs werden gern genutzt.

Heutzutage werden allerdings immer mehr User darauf sensibilisiert, nach Phishing E-Mails Ausschau zu halten. Angreifer müssen kreativ werden, um erfolgreich zu sein, denn altbekannte Tricks à la "Prinz aus Nigeria" reichen nicht mehr aus. Aus diesem Grund bedienen sich Cyberkriminelle immer öfter auch Künstlicher Intelligenz, um aus freien Quellen wie Facebook oder Instagram Informationen zu gewinnen. Die so abgegriffenen Informationen helfen den Angreifern anschließend mithilfe von ausgeklügelten Algorithmen ein besonders akkurates Profil des Opfers zu erstellen. Das genaue Abstimmen auf Interessen oder Ängste des Ziels mithilfe von KI macht die Unterscheidung authentischer Mails und Nachrichten mit maliziösen Inhalten noch schwieriger für das Ziel des Angriffs.

Spear Phishing: Vorsichtsmaßnahmen gegen E-Mail-Betrug

Es gibt eine ganze Reihe von Sicherheitsmaßnahmen, die Unternehmen ergreifen können, um sich vor Spear Phishing zu schützen bzw. ihre Mitarbeiter und deren E-Mail-Konten. Dabei empfiehlt es sich in der Regel organisatorische mit technischen Maßnahmen zu verbinden.

  • Security Awareness Trainings: Die erste und mitunter wichtigste Verteidigungslinie einer Organisation sind die Angestellten selbst. Da Phishing-Angriffe nur dann funktionieren können, wenn sie durch unvorsichtiges Verhalten von Mitarbeitern ermöglicht werden, gilt es natürlich auch hier anzusetzen, wenn es um die Prävention von Phishing geht.

  • Endpunktsicherheitslösungen: Eine weitere Möglichkeit zur Absicherung gegen Spear Phishing ist Software, die die jeweiligen Geräte im Netzwerk schützt. Antivirus-Programme und Endpunktsicherheits-Lösungen können eine Hilfe dabei sein, MalwareMalware, die in Anhängen und Links versteckt ist, automatisch zu blocken. Alles zu Malware auf CIO.de

Incident Response

Eine Spear Phishing-E-Mail kann über eine Reihe verschiedener Wege zur weiteren Analyse an ein Incident-Response-Team weitergeleitet werden. Unter Umständen wird eine Nachricht aufgrund verdächtiger Indikatoren automatisch vom System abgefangen und landet gar nicht erst beim Empfänger, sondern sofort auf dem Bildschirm des Sicherheitsspezialisten - das ist der Optimalfall, da das Risiko einer tatsächlichen Infektion mit Malware hier gleich null ist.

Da Spear-Phishing-Angriffe im Gegensatz zu regulärem Phishing jedoch um einiges raffinierter sind, haben diese Nachrichten einen überaus legitim wirkenden Anschein und werden oft nicht vom System abgefangen. Damit kommen wir zur nächsten Möglichkeit: Die E-Mail landet tatsächlich beim vorgesehenen Empfänger. Jetzt kommt es auf den Einzelnen an, der die Nachricht in seinem Postfach entdeckt. Handelt es sich um einen vorsichtigen Mitarbeiter, der im besten Fall auf das Thema Security Awareness trainiert wurde, so kann er die Nachricht unter Umständen als verdächtig identifizieren und an das IT-Sicherheitsteam der Organisation weiterleiten. Schließlich gibt es noch den Fall, von dem am ehesten eine ernstzunehmende Gefahr ausgeht: User, die tatsächlich auf den Phishing-Versuch hereingefallen sind und einen infizierten Anhang oder Link angeklickt haben.

Analyse

Meistens beginnt die Analyse entweder als Teil des Incident-Response-Prozesses, oder im Security Operations Center (SOC) durch das Sichten einer Bedrohung mithilfe einer Security-Lösung, die die Nachricht dann zur weiteren Analyse in das SOC schickt.

Die Analyse läuft immer gleich ab: Ein Experte untersucht die E-Mail. Dann kommt der Entscheidungsprozess: Ist es wirklich eine Phishing MailMail, oder ist es ein False Positive? Die E-Mail wird auf Indicators of Compromise (IoCs) wie eventuelle Anhänge untersucht. Dazu werden unter anderem Sandboxing-Tools verwendet, an welche der Anhang zur Verifizierung geschickt wird. Auch andere Werkzeuge werden genutzt, um die Nachricht zu untersuchen. Das Ziel ist es stets, eine Entscheidung darüber treffen: Ist es Spear Phishing oder nicht? Ist es wirklich ein bestätigter Angriff, werden IoCs wie URLs, E-Mail-Adressen und IP-Adressen in ein Sensor Grid eingespeist, um weitere Angriffe zu verhindern. Alles zu Mail auf CIO.de

Vielen Unternehmen reicht ein einfaches ja/nein als Analyseergebnis nicht aus. Sie fordern eine fortschrittlichere Analyse von Spear-Phishing-Vorfällen aus denen weitere Erkenntnisse gewonnen werden können. Interessante Punkte sind unter anderem: Ist es eine einzelne E-Mail an eine Person, oder ist das ganze Unternehmen vielleicht Teil einer größer angelegten Kampagne. Solche Kampagnen können über nationale und Unternehmensgrenzen hinweg stattfinden.

Mit der Victimology wird untersucht, wer zur Opfergruppe gehört. Ist nur eine einzelne Person betroffen, das Team, das ganze Unternehmen oder ist dieser Angriff vielleicht sogar Teil einer Kampagne, die mehrere Organisationen in der Branche betrifft?

Threat Intelligence

Wenn es um den zielgerichteten Ansatz des Spear Phishings geht, kann ein Threat Intelligence-basierter Ansatz helfen. Spear Phishing E-Mails enthalten eine Fülle von versteckten Hinweisen - so genannte IoCs (Indicators of Compromise) - mit denen die Methoden der Angreifer verfolgt und verstanden werden können. Durch das Extrahieren und Analysieren dieser Informationen können Analysten besser verstehen, wonach sie suchen müssen, um andere Benutzer zu identifizieren, die dem Trick möglicherweise erlegen sind.

Mit diesem Beweismaterial können Daten-Analysten Assoziationen zwischen mehreren Spear-Phishing-Nachrichten herstellen, um beispielsweise zu ermitteln, ob es sich bei dem Angriff um eine umfassendere Kampagne handelt, die gerade im Gange sein könnte. Das Identifizieren von Malware-Stichproben über verschiedene Betrugskampagnen hinweg und ihre Zuordnung zu Angreiferprofilen und deren Absichten verbessert die Reaktionsfähigkeit der Sicherheitsexperten.

Die Herausforderung bei Threat Intelligence ist allerdings der korrekte Umgang mit der immensen Menge an Daten und Informationen. Abhilfe kann eine Threat Intelligence-Plattform schaffen, welche die Auswertung verschiedener Informationsquellen für Bedrohungen - sogenannte Threat Intelligence Feeds - automatisch korreliert und auswertet. Eine Bedrohungs-Datenbank wird über diese Threat Feeds von Anbietern wie z.B. GoogleGoogle und MITRE mit Informationen über aktuelle Bedrohungen gefüttert. Diese Threat Intelligence bietet Informationen über Angreifergruppen, deren Vorgehen, welche Werkzeuge sie benutzen, wie die Werkzeuge definiert sind und was die Ziele der Angreifer sind. Schließlich findet man auch Möglichkeiten zur Abwehr dieser Angriffe. Durch Verknüpfung dieser Daten in der einer Threat-Datenbank entstehen so genannte Attack Patterns. Je nach Angriffsart wählt man dann eine passende Vorgehensweise zur Verteidigung gegen die jeweiligen Cyber-Attacken. Innerhalb der Plattform werden die Daten aggregiert und anhand der Analyse von Bedrohungen erhält man nun Vorschläge zur Verbesserung der eigenen Sicherheitslage und dem Entschärfen von Bedrohungen. Alles zu Google auf CIO.de

Threat Hunting?

Threat Hunting ist eine relativ neue Aufgabe in der Cyber-Sicherheit. Threat Hunter beginnen mit einer Hypothese, also der Annahme einer potenziellen Gefahr aus dem Cyber-Raum. Sollte sich bei der Analyse einer Phishing-E-Mail der Verdacht erhärten, dass das eigene Unternehmen Opfer eines gezielten Spear-Phishing Angriffs ist, wird der Vorfall an das Threat Hunting Team übergeben. Seine Aufgabe ist nun, den Verdacht zu bestätigen und herauszufinden, welche Angreifer-Gruppierung dafür verantwortlich ist. Mit Hilfe des Mitre ATT&CK Frameworks können Gruppen eingegrenzt werden, sowie Informationen über weitere Taktiken, Techniken und Prozeduren (TTPs) abgerufen werden. Hierdurch können weitere Angriffsvektoren definiert werden. Das Threat Hunting-Team kann nun proaktiv im Netzwerk nach Artefakten suchen, die Bestätigen können, dass die Angreifer, neben Phishing-E-Mails, auch auf anderen Wegen versucht haben in das Netzwerk einzudringen. Wichtig ist hierbei, dass diesem Team alle Informationen auf operativer, taktischer und strategischer Ebene sowie deren Beziehungen schnell zur Verfügung stehen. Auch die reibungslose Zusammenarbeit von Incident Response- und Threat Hunting Team ist essenziell, um schnelle Erkenntnisse zu gewinnen und gezielte Maßnahmen zu ergreifen. (bw/fm)

Zur Startseite