Während die meisten Phishing-Nachrichten massenhaft versendet werden, ist Spear Phishing ein gezielter Angriff auf ein Unternehmen. Die bekannteste Methode ist wahrscheinlich der CEO-Betrug. Doch egal, was der Angreifer im Visier hat, das Vorgehen ist immer gleich:
Ein Angreifer sammelt öffentlich zugängliche Informationen über das Unternehmen und seine Mitarbeiter, bspw. über soziale Netzwerke und die Unternehmenswebseite, und ermittelt so ein mögliches Opfer. Durch diese Vorarbeit kann der Angreifer aufwendige und schwer erkennbare Phishing-Nachrichten im Namen eines Vorgesetzten versenden und so leichter an Informationen zu Sicherheitsmaßnahmen und Geschäftsgeheimnissen kommen oder finanzielle Transaktionen auslösen.
Voraussetzung für einen erfolgreichen Angriff ist jedoch, dass der Mitarbeiter die Autorität und die Anweisungen seines „Vorgesetzten“ nicht hinterfragt. Deshalb wird das Opfer in der E-Mail auch gezielt zu absoluter Verschwiegenheit aufgefordert.
Das wichtigste Mittel, um kein Opfer eines Spear-Phishing-Angriffs zu werden, ist: Alle unüblich erscheinenden Anweisungen hinterfragen, die beispielsweise hohe Geldsummen oder die Versendung von Dateien auf private E-Mail-Konten betreffen. Lassen Sie sich die Anweisungen von dem Versender persönlich bestätigen oder halten Sie Rücksprache mit dem (nächsten) Vorgesetzten. Antworten Sie nicht auf die E-Mail mit der Anweisung. Lassen Sie sich dabei nicht unter Zeitdruck setzen, auch wenn ggf. mit disziplinarischen Maßnahmen gedroht wird.
Um einem Angreifer die Informationsbeschaffung generell zu erschweren, können Sie auf Folgendes achten: Seien Sie sich bewusst, welche Informationen Sie auf Facebook, XING, LinkedIn, etc. veröffentlichen. Lassen sich Rückschlüsse auf Sie selbst, Ihre Arbeit, die Kollegen oder das Unternehmen ziehen? Welche Sicherheitseinstellungen sind in den sozialen Netzwerken aktiviert und wer kann Ihr Profil sehen und lesen? Im Idealfall können nur bestätigte Kontakte das Profil und die Beiträge sowie Bilder sehen – entsprechend sollte man auch darauf achten, wen man als Kontakt bestätigt.
Über #BeAware:
Jedem begegnen sie im Berufsalltag: Sicherheitshinweise, neuste Virenmeldungen, Horrorgeschichten aus der Welt der Cyber Security. Mit #BeAware möchten die Security-Awareness-Experten der usd Ihnen dabei helfen, diese Meldungen zu verstehen. Die Artikel beleuchten relevante IT-Security-Themen, die gängigsten Methoden von Hackern und Kriminellen und geben Tipps, was jeder tun kann, um sich und sein Unternehmen zu schützen. Für mehr Sicherheit.