13. August 2017

Spear-Phishing: Wie der digitale Identitätsdiebstahl funktioniert

So genannte Spear-Phishing Attacken sind derzeit stark in Mode. Die hoch-personalisierten Angriffe ermöglichen es Hackern, Daten oder Geld zu entwenden, ohne dass gewöhnliche Anti-Phishing Software anschlägt. Cloudmagazin beleuchtet, wie so ein Angriff funktioniert und wie sich Unternehmen schützen können.

Während Phishing-Angriffe mittlerweile weit bekannt sind, stellen die gezielten Spear-Phishing Attacken eine Neuerung dar. Durch Sicherheitslücken spionieren Cyber-Kriminelle den E-Mail-Verkehr des betroffenen Unternehmens aus und nehmen dann die Identität eines Mitarbeiters an, um an sensible Daten zu gelangen oder Geld für ein vermeintlich dringendes Geschäft zu transferieren. Der folgende Fall aus der Praxis zeigt, warum die Mitarbeiter den Eindringling oftmals erst zu spät bemerken.

Was war geschehen? Der Rechner des Controllers des betroffenen Unternehmens war infiziert mit Malware, die eine Kopie jeder E-Mail, die er erhielt, an eine E-Mail-Adresse einer “freien” E-Mail-Domäne weiterschickte.  Nun war es für den Cyber-Dieb des unautorisierten E-Mail-Accounts ein Leichtes, über eine gewisse Zeitspanne jede E-Mail des Controllers mitzulesen. Er musste nur abwarten, bis ein für ihn interessanter Schriftverkehr auftauchte. Der ließ natürlich nicht lange auf sich warten.

Beispiel E-Mail Spear-Phishing

Beispiel einer E-Mail bei Spear-Phishing (Bild: Barracuda Networks)

Eine E-Mail, die eine Transaktion ankündigte und lohnenswert genug für den Cyber-Ganoven war, ließ ihn handeln. Indem er sich wertvolle Informationen, die er aus den abgefangenen E-Mails zog, zu Nutze machte, konnte der Dieb eine manipulierte E-Mail, die scheinbar vom Lieferanten kam, mit einem „Antwort-an“-Header versehen und die Antworten an ihn umleiten.

Der Betrug flog auf – leider zu spät

Von diesem Erfolg beflügelt, schaltete sich der Cyber-Halunke über die folgenden zwei Wochen in die Konversationen hinsichtlich weiterer finanzieller Transaktionen ein, indem er beteiligte Identitäten annahm und entsprechende Antworten behutsam an seine E-Mail-Adresse umleitete. Die echte E-Mail-Konversation wurde dann in der manipulierten E-Mail zitiert. Mögliche Zweifel über die merkwürdige, ausländische Bankverbindung des Lieferanten zerstreute der Dieb, indem er Scans unterzeichneter Dokumente, die den Sachverhalt klären und die vagen Zweifler in Ruhe wiegen sollten, verschickte. Diese Dokumente samt Unterschriften klaute er von Anhängen, die in anderen E-Mails an den Controller gingen.

Der Betrug wurde erst aufgedeckt, als einige Mitarbeiter eine Kopie der in ihrem Namen verschickten E-Mails erhielten, die sie stutzig machte und Alarm schlagen ließ. Das ist einerseits zwar immer nur eine Frage der Zeit – andererseits störte das den Cyber-Dieb in diesem Fall wenig, hatte er doch zwischenzeitlich mit einem beträchtlichen Geldbetrag das virtuelle Weite gesucht.

Lesen Sie weiter auf cloudmagazin.com

Tatsache ist, dass solch ein vielschichtiger Cyber-Betrug nur funktionieren kann, wenn mehrere Sicherheitslücken dies zulassen: Die in den Rechner eingeschleuste Malware gestattet es dem Datendieb, über eine Art Wanze, die in die Finanzabläufe des Unternehmens platziert wurde, die für ihn notwendigen Informationen auszuspionieren und seinen schändlichen Plan auszuführen. Die Möglichkeit, die Identitäten der beteiligten Mitarbeiter sowie deren Geschäftskontakte anzunehmen, lassen ihn sein Ziel leicht erreichen.

Spear-Phishing-Attacken sind hoch-personalisiert

Spear-Phishing-Attacken dieses Ausmaßes sind leider momentan in Mode, da offensichtlich sehr erfolgversprechend. Abgesehen vom finanziellen Schaden haben Spear-Phishing-Attacken bei Unternehmen irreparable Schäden ihrer Reputation oder der Glaubwürdigkeit ihrer Marken hinterlassen.

Da die Angriffe hoch-personalisiert sind und typischerweise keine Schadanhänge oder -links beinhalten, scheitern herkömmliche Security-Lösungen schnell beim Erkennen. Lösungen, die Domain-based Message Authentication Reporting and Conformance (DMARC) bieten, bekämpfen den Missbrauch von E-Mails, indem sie helfen, einen betrügerischen Angriff zu erkennen und zu verhindern.

Mit DMARC können Unternehmen von der eigenen Domain verschickte E-Mails überwachen, einen legitimierten E-Mail-Verkehr sicherstellen und das Versenden nicht-autorisierter Nachrichten verhindern, sodass Wanzen und andere Schädlinge das Nachsehen haben.

Dieser Beitrag basiert in Teilen auf einer Pressemitteilung von
Barracuda Networks, August 2017
Quelle Titelbild: iStock / Minerva Studio

Schreiben Sie einen Kommentar

Mit einem Netzwerk anmelden, oder das Formular ausfüllen. Die E-Mailadresse wird nicht veröffentlicht. Notwendige angaben sind mit * gekennzeichnet.