Was ist Spear-Phishing und wie werden große Unternehmen besiegt?
Die Nachrichten sind voll von Berichten über "Spear-Phishing-Angriffe", die gegen Regierungen, große Unternehmen und politische Aktivisten eingesetzt werden. Spear-Phishing-Angriffe sind heute die häufigste Art, wie Unternehmensnetzwerke gefährdet werden, wie viele Berichte berichten.
Spear-Phishing ist eine neuere und gefährlichere Form des Phishing. Anstatt ein breites Netz zu werfen, um irgendetwas zu fangen, versucht der Spear-Phisher einen vorsichtigen Angriff und zielt auf einzelne Personen oder eine bestimmte Abteilung.
Phishing erklärt
Bei Phishing handelt es sich um die Praxis, eine Person zu sein, die vertrauenswürdig ist, um Ihre Informationen zu erhalten. Zum Beispiel könnte ein Phisher Spam-E-Mails verschicken, die vorgeben, von der Bank of America zu sein und Sie aufzufordern, auf einen Link zu klicken, eine gefälschte Bank of America-Website (eine Phishing-Site) zu besuchen und Ihre Bankdaten einzugeben.
Phishing beschränkt sich jedoch nicht nur auf E-Mails. Ein Phisher kann einen Chat-Namen wie „Skype-Support“ bei Skype registrieren und Sie über Skype-Nachrichten kontaktieren, um anzugeben, dass Ihr Konto gefährdet ist und dass Sie Ihr Kennwort oder Ihre Kreditkartennummer zur Bestätigung Ihrer Identität benötigen. Dies wurde auch bei Online-Spielen durchgeführt, bei denen Betrüger sich als Spieladministratoren ausgeben und Nachrichten senden, in denen nach Ihrem Kennwort gefragt wird, das sie zum Stehlen Ihres Kontos verwenden würden. Phishing kann auch über das Telefon erfolgen. In der Vergangenheit haben Sie möglicherweise Telefonanrufe erhalten, von denen behauptet wurde, dass sie von Microsoft stammen und dass Sie einen Virus haben, den Sie bezahlen müssen, um ihn zu entfernen.
Phisher werfen im Allgemeinen ein sehr breites Netz. Eine Phishing-E-Mail der Bank of America kann an Millionen von Menschen gesendet werden, auch an Personen, die kein Konto der Bank of America haben. Aus diesem Grund ist Phishing oft relativ leicht zu erkennen. Wenn Sie keine Beziehung zur Bank of America haben und eine E-Mail erhalten, von der behauptet wird, von dieser zu sein, sollte es klar sein, dass die E-Mail ein Betrug ist. Phisher sind darauf angewiesen, dass jemand, der sich mit genügend Leuten in Verbindung setzt, letztendlich für ihren Betrug reinkommt. Dies ist der gleiche Grund, warum wir immer noch Spam-E-Mails haben. Jemand da draußen muss auf sie hereinfallen, sonst wäre er nicht rentabel.
Weitere Informationen finden Sie in der Anatomie einer Phishing-E-Mail.
Wie Spear Phishing anders ist
Wenn beim traditionellen Phishing ein breites Netz geworfen wird, um etwas zu fangen, dann ist Spear-Phishing die Aufgabe, gezielt auf eine bestimmte Person oder Organisation zu zielen und den Angriff auf sie persönlich zuzuschneiden.
Während die meisten Phishing-E-Mails nicht sehr spezifisch sind, verwendet ein Spear-Phishing-Angriff persönliche Informationen, um den Betrug als echt erscheinen zu lassen. Anstatt "Sehr geehrter Herr, bitte klicken Sie auf diesen Link, um fabelhaften Reichtum und Reichtum zu erhalten", sagt die E-Mail möglicherweise "Hallo Bob, bitte lesen Sie diesen Geschäftsplan, den wir am Dienstag entworfen haben, und lassen Sie uns wissen, was Sie denken." Die E-Mail Es scheint, dass Sie von jemandem stammen, den Sie kennen (möglicherweise mit einer gefälschten E-Mail-Adresse, aber möglicherweise mit einer echten E-Mail-Adresse, nachdem die Person durch einen Phishing-Angriff gefährdet wurde) und nicht von jemandem, den Sie nicht kennen. Die Anfrage ist sorgfältiger und sieht so aus, als könnte sie legitim sein. Die E-Mail kann sich auf jemanden beziehen, den Sie kennen, einen von Ihnen getätigten Kauf oder eine andere persönliche Information.
Spear-Phishing-Angriffe auf Ziele mit hohem Wert können mit einem Zero-Day-Angriff für maximalen Schaden kombiniert werden. Ein Betrüger könnte beispielsweise eine E-Mail aus einem bestimmten Unternehmen per E-Mail senden und sagen: „Hallo Bob, schauen Sie sich bitte diesen Geschäftsbericht an. Jane sagte, Sie würden uns etwas Feedback geben. “Mit einer legitim aussehenden E-Mail-Adresse. Der Link könnte zu einer Webseite mit eingebettetem Java- oder Flash-Inhalt führen, die den Zero-Day-Tag nutzt, um den Computer zu gefährden. (Java ist besonders gefährlich, da die meisten Benutzer veraltete und anfällige Java-Plug-Ins installiert haben.) Sobald der Computer gefährdet ist, kann der Angreifer auf sein Unternehmensnetzwerk zugreifen oder seine E-Mail-Adresse verwenden, um gezielte Spear-Phishing-Angriffe gegen andere Personen in der Organisation.
Ein Betrüger könnte auch eine gefährliche Datei anhängen, die sich wie eine harmlose Datei ausgibt. Beispielsweise kann eine Spear-Phishing-E-Mail eine PDF-Datei enthalten, an die tatsächlich eine EXE-Datei angehängt ist.
Wer muss sich wirklich Sorgen machen
Spear-Phishing-Angriffe werden gegen große Unternehmen und Regierungen eingesetzt, um auf ihre internen Netzwerke zuzugreifen. Wir wissen nicht über jedes Unternehmen oder jede Regierung, die durch erfolgreiche Spear-Phishing-Angriffe gefährdet wurde. Organisationen legen oft nicht die genaue Art des Angriffs offen, der sie gefährdet hat. Sie geben nicht mal zu, dass sie überhaupt gehackt wurden.
Eine schnelle Suche zeigt, dass Organisationen wie das Weiße Haus, Facebook, Apple, das US-Verteidigungsministerium, die New York Times, das Wall Street Journal und Twitter alle wahrscheinlich durch Spear-Phishing-Angriffe gefährdet wurden. Dies sind nur einige der Organisationen, von denen wir wissen, dass sie kompromittiert wurden - das Ausmaß des Problems ist wahrscheinlich viel größer.
Wenn ein Angreifer wirklich ein hochwertiges Ziel kompromittieren möchte, ist ein Spear-Phishing-Angriff - möglicherweise in Kombination mit einem neuen Zero-Day-Exploit, der auf dem Schwarzmarkt erworben wurde - oft eine sehr effektive Methode. Spear-Phishing-Angriffe werden häufig als Ursache genannt, wenn ein hochwertiges Ziel verletzt wird.
Schützen Sie sich vor Spear Phishing
Als Individuum sind Sie seltener das Ziel eines solch hoch entwickelten Angriffs als Regierungen und große Unternehmen. Angreifer können jedoch weiterhin versuchen, Spear-Phishing-Taktiken gegen Sie anzuwenden, indem Sie persönliche Informationen in Phishing-E-Mails integrieren. Es ist wichtig zu wissen, dass Phishing-Angriffe immer raffinierter werden.
Wenn es um Phishing geht, sollten Sie wachsam sein. Halten Sie Ihre Software auf dem neuesten Stand, damit Sie besser geschützt sind, wenn Sie auf Links in E-Mails klicken. Seien Sie besonders vorsichtig, wenn Sie an E-Mails angehängte Dateien öffnen. Hüten Sie sich vor ungewöhnlichen Anfragen nach persönlichen Informationen, auch wenn es so scheint, als könnten sie legitim sein. Verwenden Sie Kennwörter nicht erneut für andere Websites, nur für den Fall, dass Ihr Kennwort angezeigt wird.
Phishing-Angriffe versuchen oft Dinge zu tun, die legitime Unternehmen niemals tun würden. Ihre Bank wird Ihnen niemals eine E-Mail senden und Sie nach Ihrem Passwort fragen. Ein Unternehmen, bei dem Sie Waren gekauft haben, wird Sie niemals per E-Mail benachrichtigen und nach Ihrer Kreditkartennummer fragen. Sie erhalten niemals eine Sofortnachricht von einer legitimen Organisation, die Sie nach Ihrem Passwort fragt oder andere sensible Informationen. Klicken Sie nicht auf Links in E-Mails und geben Sie vertrauliche persönliche Informationen weiter, unabhängig davon, wie überzeugend die Phishing-E-Mail- und Phishing-Site ist.
Wie alle Formen des Phishing ist Spear-Phishing eine Form des Social-Engineering-Angriffs, gegen den es besonders schwer abzuwehren ist. Alles, was es braucht, ist, dass eine Person einen Fehler macht, und die Angreifer haben in Ihrem Netzwerk einen Besitz erlebt.
Bildnachweis: Florida Fish and Wildlife auf Flickr