Maßgeschneiderter Angriff statt Massenabfertigung

Hat man erst das Vertrauen eines Menschen gewonnen, kann man selbst die schärfste IT-Sicherheit umgehen. Das gilt für Unternehmen genauso wie für private PC-Nutzer. Das Prinzip des Spear-Phishings ist dabei so simpel wie effizient. Vorab recherchierte Empfänger, etwa ausgewählte Führungskräfte, Politiker aber auch Privatpersonen werden dabei mit legitim scheinenden Mails ermutigt, einen infizierten Anhang zu öffnen – auch wenn Warnhinweise des eigenen Computers davon abraten.

Das Gefährliche daran: Eine Spear-Phishing-Attacke kann man kaum erkennen – und sie kann jeden treffen. Anders als beim normalen Phishing handelt es sich hierbei um keine Massenabfertigung. Es ist keine in schlechtem Deutsch verfasste Mail, sondern eine persönlich adressierte Nachricht mit Informationen, die eigentlich kein Außenstehender wissen kann.

Ein Anschreiben, in dem Hacker gezielt und systematisch auf die Interessen und Themen der ins Visier genommenen Person eingehen. Gefeit ist davor niemand, wie die Angriffe auf US-Behörden und auf deutsche Medienhäuser wie das ZDF in jüngster Vergangenheit zeigen.

Der Speer kann jeden treffen – auch kleine Fische

Auch wenn nicht das große Netz ausgeworfen wird, sondern Hacker in vielen Fällen den „Speer“ (Englisch: Spear) bewusst auf ein zwei große Fische im Teich richten: die Gefahr, selbst Opfer einer Spear-Phishing-Attacke zu werden, ist nicht wegzureden. Angesichts des hohen Professionalisierungsgrads von Cyberkriminellen ist das umso bedenkenswerter. Und immer häufiger kommt es zu Attacken gegen Privatpersonen, wie das folgende Beispiel von Hajo Koch aus dem vergangenen Mai zeigt.

Wenn der beste Freund schreibt

Damals hatten Hacker zunächst versucht, mit ausgefeilten Phishing-Mails an die Daten der Nutzer von Google-Profilen zu kommen. Wie viele andere erhielt auch der 48-jährige Finanzwirt Hajo Koch einen Link, der vermeintlich zu Google Docs führen sollte. Tatsächlich entpuppte sich die Seite allerdings als eine Web-App, die dem Google-Vorbild zum Verwechseln ähnlich sah. Hajo Koch erfuhr davon erst im Nachhinein. Er hatte wie eine Vielzahl weiterer Google-User den Link geöffnet und den Hackern somit unwissentlich Zugang zu seinem persönlichen Adressbuch gegeben.

„Und damit begann erst die eigentliche Misere“, berichtet der Finanzwirt: „Meine Freunde, meine Familie und auch einige Geschäftspartner bekamen nun – angeblich von mir – Mails, in denen ich Ihnen nützliche Finanztipps und einen angeblich sehr spannenden Link weiterleitete. Und ich glaube, ich selbst hätte diese Mails nicht besser verfassen können!“

„Ich fühlte mich regelrecht missbraucht“

Eine perfide Methode, die dem vorgeschobenen Absender bis heute die Zornesröte ins Gesicht treibt: „Das war mir nicht nur unangenehm. Die Aktion ließ außerdem an meiner Glaubwürdigkeit als Finanzberater zweifeln und ich fühlte mich regelrecht missbraucht. Einige meiner Kontakte klickten ja tatsächlich auf den schadhaften Link und trugen dort ihre Adressen, ihre Telefonnummern und sogar Angaben über ihr Jahreseinkommen ein, und meine Kollegen antworteten mir direkt, was ich ihnen denn da zusenden würde.“

Tatsächlich entstand für Hajo Koch und seine Kontakte kein monetärer Schaden, da er selbst sein persönliches Umfeld über die Betrugsmasche aufklären konnte. Dennoch zeigt der Fall, wie schnell Privatpersonen über unwissentlich eingesetzte Mittelsmänner in die Irre geführt werden können.
Die Arglist der Hacker hat Hajo Koch aufgerüttelt. Mittlerweile achtet er nicht nur im Büro, sondern auch Zuhause sehr darauf, welchen Mails er vertrauen kann. Im Zweifel sucht der 48-Jährige nun das persönliche Gespräch oder recherchiert, ob alles mit rechten Dingen zugeht.
Seinen Kunden und Geschäftspartnern rät der Finanzfachmann:

• Lieber einmal mehr das persönliche Gespräch suchen und nachfragen. Auch wenn eine Mail von einem Freund oder einer seriösen Quelle aus dem persönlichen Umfeld stammt.
• Wichtige Schreiben und Dokumente kommen so gut wie nie per Email. Daher sollte man Anfragen und Zahlungsaufforderungen per Email per se in Frage stellen.
• Man sollte auf verdächte Mails nicht antworten.
• Persönliche oder sensible Daten sollte man im Zweifel nicht online weitergeben.