Spear-Phishing

Beispiel

Von: Max Mustermann (Abteilungsleiter)
Gesendet: Heute, 10:23 Uhr
An: Erika Mustermann
Betreff: Dringende Überweisung

Hallo Erika,

ich muss dringend 430€ auf das Konto XXXXX überweisen, bin aber aktuell unterwegs. Kannst du das heute noch machen?

Danke und viele Grüße
Max

So oder so ähnlich könnte eine Spear-Phishing-E-Mail aussehen. Charakteristisch ist dabei, dass die Angreifer gezielte Kenntnisse über den Adressaten haben (z.B. wie heißen Sie, wer sind Ihre Vorgesetzten, was ist Ihr Zuständigkeitsbereich) und diese auch ausnutzen.

Fragen Sie sich bei solchen Nachrichten grundsätzlich: Gibt es einen Grund, von dem normalen Ablauf (hier z.B. zu Überweisungen) abzuweichen? Überprüfen Sie das am besten, indem sie sich zusätzliche Informationen holen (hier z.B. den Abteilungsleiter anrufen und um Bestätigung bitten).

Was ist Spear-Phishing?

Phishing-Angriffe sind ein mittlerweile bekanntes Phänomen. Dabei wird meist unter Vortäuschung falscher Tatsachen per E-Mail versucht, an bestimmte Daten wie etwa Adressen, Bankverbindung, Login-Details etc. zu gelangen. Nach einem erfolgreichen Angriff werden solche Daten oft widerrechtlich für verschiedenste Zwecke verwendet. Spear-Phishing ist eine ganz spezielle Variante, die in letzter Zeit immer häufiger zu beobachten ist und bei der besondere Vorsicht geboten ist.

In einem Artikel zu diesem Thema von Sophos wird der Unterschied zwischen normalem Phishing und Spear-Phishing vereinfacht so dargestellt: Wenn eine betrügerische E-Mail mit „Lieber Kunde“ startet, dann ist es normales Phishing, wenn sie z.B. mit „Liebe Frau Erika Mustermann“ (also Ihrem tatsächlichen Namen) startet, dann handelt es sich um Spear-Phishing. Die wörtliche Übersetzung aus dem Englischen dazu lautet „Speerfischen“, gemeint ist damit das sehr punktuelle, gezielte Suchen nach wertvollen Informationen.

Der Inhalt solcher Nachrichten ist beinahe beliebig. Beispiele wären etwa eine angebliche Nachricht des Vorgesetzten, der um schnelle Zusendung wichtiger Dokumente an seine Privatadresse bittet oder der vermeintliche Kollege mit Nachfragen zu einem aktuellen Prozess.

Maßnahmen

Solche Betrugsversuche sind nur schwer von legitimen Nachrichten zu unterscheiden, was können Sie also tun?

  • Seien Sie besonders wachsam, wenn es sich um eine Abweichung von den bekannten Prozessen handelt (z.B. Kommunikation über private E-Mail, wenn sonst nur dienstliche Adressen verwendet werden oder Zeitdruck bei Angelegenheiten, die normalerweise mehrere Tage dauern)
  • Holen Sie im Zweifel immer eine zusätzliche Meinung ein (z.B. telefonische Rückfrage zur E-Mail, eigene Suche nach der richtigen Kontaktadresse statt Verwendung der in der Nachricht angegebenen).
  • Solche Betrugsversuche können über alle Kommunikationskanäle stattfinden, die Sie normalerweise verwenden (z.B. E-Mail, Telefon, SMS, soziale Netzwerke oder auch persönlich).
  • Seien Sie sich bewusst, dass ein solcher Angreifer wahrscheinlich bereits umfangreiche Informationen über Sie und Ihr Umfeld hat (z.B. aus öffentlichen Quellen oder vorherigen erfolgreichen Angriffen).
  • Daher können Sie selbst Angriffe am besten abwehren, denn Sie sind die einzige Person, die den Kontext der Nachrichten (Wer? Was? Wie? Warum? Etc.) umfassend beurteilen kann. Anti-Malware-Programme oder Firewalls können Ihnen dabei nur bedingt helfen.

Warnmail an Forschende der TUM (September 2017)

Folgende E-Mail wurde an alle Forschenden der TUM verschickt, um vor aktuellen Spear-Phishing-Angriffen zu warnen:

"Liebe Forschende der TUM,

Aus aktuellem Anlass möchten wir Sie vor gezielten Cyber-Angriffen auf unsere Forschungseinrichtungen warnen. In letzter Zeit werden immer häufiger sogenannte Spear-Phishing-Nachrichten per E-Mail an Mitglieder unserer Forschungseinrichtungen versendet. Beim Spear-Phishing werden bestimmte Personen oder Personengruppen gezielt und mit hohem Aufwand ins Visier genommen, um Informationen abzugreifen.

Aktuell versuchen die Angreifer, Ihre TUM-Zugangsdaten abzufangen, um darüber an unveröffentlichte Forschungsergebnisse, Konferenzpapiere, laufende Dissertationen, o.ä. zu gelangen. Als ein Angriffsweg wird dabei eine vermeintliche Anfrage gestellt, die vorgibt, sich für Ihre Publikationen zu interessieren, oder um die Bewertung eines Artikels bittet. Ein Verweis auf diese Artikel erfolgt z.B. durch einen Link auf das vermeintliche eAccess-Portal der Universitätsbibliothek. In Wahrheit führt der Link jedoch auf einen täuschend echten Nachbau der Hochschulwebseiten. Sobald Sie auf der gefälschten Webseite Ihre TUM-Anmeldedaten eingeben, kennt der Angreifer Ihr Passwort und hat darüber Zugriff auf Ihre gespeicherten Dateien, Ihre E-Mails und sonstige IT-Services.

Um solchen Angriffen vorzubeugen, sollten Sie bei Anfragen dieser Art misstrauisch sein und im Zweifelsfall Rat bei Kolleginnen und Kollegen oder dem IT-Support (it-support@tum.de) einholen.

Gefälschte Links sind an einer minimal abweichenden Adresse zu erkennen, also z.B. „http://login.eaccess.ub.tum.de.in/login“ statt „https://login.eaccess.ub.tum.de/login“. Wichtig dabei: Der kritische Teil der Adresse steht vor dem ersten einzelnen „/“ und sollte bei unseren IT-Services immer mit „.tum.de/“, „.mwn.de/“ oder „.lrz.de/“ enden. Links in E-Mails sollten Sie zudem nie direkt anklicken, sondern die Adresse manuell in den Browser kopieren. Nur so haben Sie die volle Kontrolle, welche Seite Sie tatsächlich öffnen.

Letztendlich hilft nur ein gesundes Misstrauen und genaues Hinsehen im Umgang mit digitalen Medien. Seien Sie sich bewusst, dass Angreifer viel Aufwand betreiben und Detailwissen sammeln, um maßgeschneiderte Angriffe auf Ihre Zugangsdaten durchzuführen. Ihr Passwort kann dem Angreifer Zugang zu sensiblen privaten Informationen und unveröffentlichten Forschungsdaten gewähren.

Falls Sie vermuten, dass Sie bereits angegriffen wurden, ändern Sie bitte unverzüglich Ihre Zugangsdaten. Tipps für ein sicheres Passwort finden Sie hier: https://www.it.tum.de/passwort/. Konkrete Sicherheitsvorfälle melden Sie bitte an it-sicherheit@tum.de, damit wir gegebenenfalls zentral reagieren und warnen können. Bei gezielten Fragen können Sie sich gerne auch an den IT-Support (it-support@tum.de) wenden."

Kontakt

Wenn Sie Zweifel zu einer dienstlichen Nachricht haben, wenden Sie sich bitte an den IT-Support (it-support@tum.de). Falls ein Betrugsversuch vorliegen sollte oder wahrscheinlich ist, informieren Sie bitte auch Ihre Kollegen, da oftmals mehrere Personen angegriffen werden.