4. Januar 2010 - Spear Phishing

Wie personenbezogene Daten ganz gezielt gestohlen werden

Phishing-Attacken gegen personenbezogene Daten oder Zugangsdaten erfolgen ungezielt und werden meist von guten Anti-Phishing-Programmen erkannt. Spear Phishing hingegen erfolgt ganz gezielt auf eine kleine Gruppe von Personen und ist wesentlich erfolgreicher: Phishing-Filter versagen oft, der Empfänger wird perfekt getäuscht. Informieren Sie deshalb die Mitarbeiter über gezielte Angriffe auf personenbezogene Daten, bevor die Passwörter am Haken hängen!

wie-personenbezogene-daten-gezielt-gestohlen-werden.jpeg
Phishing einmal anders: Gezielte Angriffe auf personenbezogene Daten lösen die Massen-Mails ab (Bild: Thinkstock)

Über Phishing-Mails versuchen Internetkriminelle an Passwörter und andere personenbezogene Daten zu gelangen, wie bereits die Bezeichnung Phishing als Abkürzung für „Password Fishing“ erkennen lässt.

E-Mail von fremder Bank …

Doch die herkömmlichen Versuche, die Passwörter der Mail-Empfänger zu fischen, ähneln eher einem Fangversuch mit Schleppnetzen. Bestimmt haben auch Sie schon eine E-Mail einer Bank bekommen, bei der Sie gar kein Kunde sind. Keine Frage, solch ein Phishing-Versuch ist nicht sehr erfolgreich.

Anders sieht es aus, wenn die Phisher mit einem Speer ganz gezielt auf die Jagd nach personenbezogenen Daten gehen: mit Spear Phishing.

… oder Nachricht von einem Kollegen

Bei Spear Phishing werden die Empfänger genau ausgewählt und die Botschaften in der E-Mail entsprechend angepasst. So könnten Sie zum Beispiel eine E-Mail erhalten, die scheinbar von einem Freund kommt, der Ihnen seine Urlaubsfotos mitgeschickt hat.

Die E-Mail-Adresse ist natürlich gefälscht (Mail-Spoofing, Manipulation des Mail-Headers mit den Absenderinformationen), der Anhang besteht dann nicht aus Bildern, sondern aus Spionagesoftware wie Spyware, Keylogger oder Trojaner.

Woher aber kennen die Phisher den Namen und die E-Mail-Adresse Ihrer Freunde? Und woher wissen die Datendiebe von dem Urlaub?

Soziale Netzwerke sind eine Fundgrube für personenbezogenen Daten und Spear Phisher

Ganz einfach, Sie und Ihr Freund haben es ihnen vielleicht verraten: Über die Profile in sozialen Netzwerken im Internet werden von den Spear Phishern interessante Unternehmen und die genaue Position der Opfer aufgespürt. Darüber entscheidet sich auch, ob der relativ aufwändige gezielte Angriff lohnend ist.

Über die Kontakte im Profil des ausgesuchten Opfers können die Bekannten zugeordnet werden. Die E-Mail-Adressen der Bekannten sind dann auf dem jeweiligen Profil der Kontakte zu finden. Dort steht auch unter Umständen eine Statusmeldung wie „Bin gerade zurück aus dem Urlaub!“.

Soziale Netzwerke liefern somit perfektes Futter für gezielte Angriffe auf personenbezogene Daten. Gleiches gilt für detaillierte Informationen zu Mitarbeitern auf den Firmen-Websites, die unter Umständen sogar die Hobbies des Buchhalters benennen. Der freut sich dann ggf. über die virenverseuchte Einladung zu einem Wanderwochenende.

Erfolgversprechender Diebstahl personenbezogener Daten

Die gezielten Spear-Phishing-Angriffe auf personenzeogene Daten führen nicht selten zum Erfolg. Deshalb hat das FBI in den USA kürzlich eine spezielle Warnung vor Spear Phishing herausgegeben. Zum einen werden die Empfänger getäuscht durch den bekannten Absendernamen und den personalisierten Inhalt der Mail. Zum anderen reagieren viele Phishing-Filter nicht, da es sich nicht um Spam-artige Massen-Mails handelt, sondern um wenige, gezielte Mails.

Sicherheitshinweise überdenken

Nehmen Sie daher Spear Phishing sehr ernst. Typische Sicherheitshinweise wie „Öffnen Sie nur Attachments von Absendern, die Sie kennen“ können davor nicht schützen! Vielmehr sollte man nur E-Mails vertrauen, die mit einem gültigen E-Mail-Zertifikat versehen sind, das den Absender bestätigt. Doch leider sind Mail-Zertifikate wenig verbreitet.

Ebenso sollten die Sicherheitshinweise auf Internettelefonie (VoIP) und Instant Messengers (IM) ausgeweitet werden, denn auch über diese Kanäle findet Spear Phishing statt.

Machen Sie deshalb eine Datenschutz-Schulung zu den Gefahren von Spear Phishing und empfehlen Sie Gegenmaßnahmen, die unsere Checkliste zusammenfasst.

Sie wollen die Kollegen auf eine neue Art und Weise informieren? Probieren Sie es doch einmal mit einer Mitarbeiterzeitung – schnell und einfach erstellt mit dem WEKA-Newsmaker.


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln