Ein Blick in die Trickkiste der Spear-Phishing-Angreifer
Das Spear Phishing zählt derzeit zu den gefährlichsten und häufigsten Arten von Cyberangriffen auf private Personen und Firmen.
Mit sehr raffinierten psychologischen Tricks werden die (Targets) Opfer zu schnellen und unüberlegten Klicks auf schädliche E-Mails animiert bzw. aufgefordert.
Alle Unternehmen sollten ihre Mitarbeiter systematisch sensibilisieren und auf mögliche Angriffe vorbereiten.
Es kann ansonsten sehr schnell sehr teuer werden.
Den bisher (05/2022) größten erfolgreichen Spear-Phishing-Coup in Deutschland landeten Angreifer beim Kabelhersteller / Automobilzulieferer und Dax notiertem Unternehmen Leoni. Dort ist ein Mitarbeiter auf die so genannte Chef-Masche (CEO-Fraud) hereingefallen. Er transferierte auf Anweisung eines angeblichen hochrangigen Managers rund 40 Millionen Euro auf ausländische Konten.
Die Chancen, das Geld zurückbekommen, waren gleich null.
Sozial Hacking (Engeneering)- Die gezielte Suche nach nützlichen Informationen über ein Unternehmen und Personen
Um ein erfolgreichen Spear-Phishing-Betrüger zu sein, nutzen diese zwei und mehr Methoden.
Zunächst durchsuchen diese die business Netzwerke und sozialen Medien sowie andere Internet-Quellen akribisch nach Informationen über ein mögliches Target (Ziel). Sie erstellen eine Matrix aus Mitarbeitern und Managern um lohnende Ziele zu identifizieren.
Sie organisieren (designen) sich den originalen Footer der Firma, z.B. über eine einfache Anfrage und dessen Antwort eines Mitarbeiters.
Aus diesen Informationen fertigen sie dann täuschend echt wirkende E-Mails an, die im Namen von Vorgesetzten / Managern, Kollegen oder Geschäftspartnern an die potenziellen (Targets) Opfer versendet werden.
Diese E-Mails enthalten äusserst plausibel erscheinende Aufforderungen und geschickt ausgelegte Köder, um den/die Mitarbeiter zu schädlichen Handlungen zu verführen:
Preisgabe sensibler Informationen
über Klicks auf Links mit Malware
Überweisung von Geldsummen auf fremde Konten
...
So wie bei LEONI passiert.
Damit dies effektiv gelingt, zielen die Cyberangriffe mit einigen bewährten psychologischen Tricks auf um die emotionalen Gefühle der E-Mail-Empfänger.
Diese sollen dazu gebracht werden, die Anweisungen in den E-Mails ohne viel nachzudenken einfach zu befolgen.
Dazu hier eine kleine Auswahl der gebräuchlichsten emotionalen Einflussfaktoren:
Hilfsbereitschaft: Ein angeblicher Kollege bittet um Informationen / Hinweise. Ein unbekannter Täter hat angeblich sein auf dem Firmengelände parkendes Fahrzeug beschädigt. Gibt es Zeugen dafür? Ein Link soll zu Fotos vom lädierten Auto führen. Klickt der Mitarbeiter auf diesen Link, wird umgehend Schadsoftware auf seinem Rechner installiert werden.
Eine andere Methode wäre zum Beispiel: ein "verlorener" USB Stick auf dem Firmenparkplatz. Ein (oder mehrere) USB Stick (z.B. Werbematerial von einer Messe) wird auf dem Firmengelände deponiert. Als guter Kollege möchte der Finder den Stick dem Besitzer zurückgeben und schaut auf dem Stick nach, ob darauf Informationen sind. In einem Dokument oder Tabelle auf dem Stick ist die Schadsoftware oder der nachladende Code. Und schon ist die Maleware auf dem System und bietet Zugriff.
Autoritätshörigkeit: Der vermeintliche Abteilungsleiter lädt zu einer Projektabsprache ein und sendet einen Link mit Teilnahmeinformationen. Welcher Mitarbeiter würde es schon wagen, dieser Aufforderung nicht Folge zu leisten? Daher wird der Link schnell geöffnet – zur Freude der Angreifer. Auch hier wird eine Schadsoftware installiert werden. Das System des Mitarbeiters ist nun kompromittiert und die Angreifer dringen schlimmstenfalls in das gesamte Unternehmensnetzwerk ein.
Neugier: Die Angreifer geben sich als Redakteur einer großen überregionalen Zeitung aus und teilen mit, einen Artikel über das Unternehmen geschrieben zu haben. Auch hier wird der Link in der E-Mail dem Mitarbeiter zum Verhängnis. Neugierig auf den Unternehmensbericht geworden, klickt er den Link an – und landet direkt den Betrügern am Haken.
Zeitdruck: Ein zeitkritisches Projekt ruft zur Eile. Im Namen des Abteilungsleiters fordern die Angreifer die sofortige Übersendung wichtiger sicherheitsrelevanter Informationen. Ob die Angaben in der E-Mail stimmen, kann der Mitarbeiter auf die Schnelle gar nicht erst überprüfen. Er handelt sofort – und gibt die gewünschten Informationen gutgläubig den Cyberkriminellen preis.
