Datenjäger machen beim Spear-Phishing fette Beute

Spear_fishing_PeruPhishing war gestern, Spear-Phishing ist heute. Die Kombination von zwei Phänomenen der Cyberkriminalität – Social Engineering und Phishing – führt zu einer besonders wirkungsvollen Methode, dem sog. Spear-Phishing. Vergleicht man das Phishing (ein Kunstwort, das aus den Begriffen Passwort und Fishing zusammengesetzt ist) mit dem Versuch, möglichst viele Daten mit einem großen Netz zu fangen, so ist das Spear-Phishing demgegenüber die gezielte Jagd nach konkreten Daten mithilfe eines Speers. Der zielgerichtete Vorstoß wird wiederum durch Social Engineering möglich gemacht.

Ins Netz gegangen

Das Bundeskriminalamt hebt Phishing in seinem aktuellen Lagebild zum Thema Cybercrime aufgrund seiner großen Verbreitung hervor (dazu ausführlich: Cybercrime –aktuelles Lagebild (II):

Die bekannteste Variante des digitalen Identitätsdiebstahls ist das sog. „Phishing im Zusammenhang mit Onlinebanking“. Für das Jahr 2013 wurden dem Bundeskriminalamt 4.096 Sachverhalte im Phänomenbereich Phishing gemeldet. Im Vergleich zum Jahr 2012 (3.440) bedeutet dies eine Zunahme der Fallzahlen um rund 19 %. (…) Phishing bildet im Hinblick auf die vorhandenen Möglichkeiten und die zu erzielenden Gewinne weiterhin ein lukratives Betätigungsfeld für die Täterseite. So betrug die durchschnittliche Schadenssumme im Bereich „Phishing im Zusammenhang mit Onlinebanking“ auch im Jahr 2013 rund 4.000 Euro.

(Quelle: BKA, Cybercrime Bundeslagebild 2013)

Her mit den Daten!

Das klassische Phishing besteht aus zwei Akten: Zunächst die Beschaffung der Daten mithilfe einer gefälschten Email und Weiterleitung an eine präparierte Webseite, anschließend die Verwendung der Daten für die Transaktion des Geldes (dazu ausführlich: Lexikon Phishing). Beim Spear-Phishing wurde die Beschaffung der Daten weiterentwickelt, indem die gefälschten Emails nicht mehr massenhaft versandt, sondern auf das avisierte Opfer zugeschnitten werden. Eine gut vorbereitete Spear-Phishing-Email kann beispielsweise angeblich von Mitarbeitern der Personalabteilung oder vom Netzwerk-Administrator stammen, eine aufwendig gefälschte Mailhistorie und angebliche Vorstandsentscheidungen enthalten und die Empfänger auffordern, ihre Kontodaten zu schicken. Sie wirken täuschend echt, weil der Absender vertrauenswürdig wirkt, die weiteren Informationen die Glaubwürdigkeit sogar unterstützen und ein logischer Grund für die erfragten Daten erscheint.

Die Täter machen sich zunutze, dass private Informationen, wie aktuelle und ehemalige Arbeitgeber, Hobbies oder Mitgliedschaften in sozialen Netzwerken meist allgemein zugänglich sind. Das Bundesministerium des Innern verweist auf die Fehlerquelle Mensch:

Bei Angriffen mittels Social Engineering versuchen Kriminelle, ihre Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen oder selbstständig Schadcode auf ihren Systemen zu installieren. Sowohl im Bereich der Cyber-Kriminalität als auch bei der Spionage gehen die Täter geschickt vor, um menschliche Schwächen wie Neugier auszunutzen und so Zugriff auf sensitive Daten und Informationen zu erhalten.

(Quelle: BMI, Die Lage der IT-Sicherheit in Deutschland 2014)

Angriffsziele sind vor allem Unternehmen und Behörden. Ihre Daten sind besonders wertvoll, so dass sich für den Angreifer der im Vergleich zum gewöhnlichen Spam deutlich höhere Aufwand der Datenbeschaffung lohnt. Nach einer aktuellen Studie der italienischen Sicherheitsexperten Frumento und Puricelli fielen von 12.000 getesteten Mitarbeitern rund 20 Prozent auf die gefälschte Email herein und offenbarten die Zugangsdaten ihres Firmenkontos (Quelle: Heise Security).