Spear Phishing

So erkennen Sie E-Mail-Betrüger

02.11.2021 von Markus Auer

Der Absender einer Spear Phishing E-Mail scheint vertrauenswürdig, der Anlass im Betreff nachvollziehbar. Lesen Sie, wie Sie zielgerichtete, betrügerische Aktivitäten erkennen.

Spear Phishing beschreibt den zielgerichteten E-Mail-Angriff auf ausgesuchte Opfer. Lesen Sie, wie Sie dafür sorgen, dass solche Attacken ins Leere laufen.
Foto: Dudarev Mikhail - shutterstock.com

Bereits seit geraumer Zeit ist das Thema Phishing in der IT-Security ein heißes Thema - und es bleibt auch heutzutage ein großes Problem. Während "normales" Phishing schon lange ein beliebtes Werkzeug von Cyberkriminellen ist, gesellt sich seit geraumer Zeit die neuere, raffiniertere Art des Phishings hinzu: das so genannte "Spear Phishing". Wie genau Spear Phishing funktioniert und wie man sich davor schützen kann sind einige der Fragen, die im Rahmen dieses Artikels beantwortet werden.

Spear Phishing: Definiton

Spear Phishing ist die Praxis des Versendens betrügerischer E-Mails, die auf bestimmte Personen oder Organisationen abzielen, um sich unbefugten Zugang zu vertraulichen Informationen zu verschaffen. Analog zum englischen Wortursprung (Spear Fishing = Speerfischen) werden beim Spear Phishing keine Köder willkürlich auf ein breites Opferspektrum ausgeworfen. Stattdessen handelt es sich hierbei im Gegensatz zu regulären Betrugs-E-Mails um äußerst zielgerichtete Attacken, die ein konkretes Opfer anvisieren und dessen Verteidigung penetrieren - wie ein Speer.

Diese Angriffe sind aufgrund höherer Komplexität und Aufwandskosten zwar noch nicht ganz so weit verbreitet wie weniger spezifische, übliche Phishing-Attacken, doch der Trend geht klar nach oben: Laut einer Untersuchung von Proofpoint berichteten 88 Prozent der befragten Unternehmen weltweit, dass sie von mindestens einem Spear-Phishing-Angriff im Jahr 2019 betroffen waren.

Im Lagebild Cybercrime 2020 des BKA wurde Phishing als primäre Bedrohung festgestellt. Insgesamt stiegen die Fälle mit Computerbetrug um 5,8 Prozent im Gegensatz zu 2019. Spear-Phishing konnten die Ermittler vor allem im sogenannten Big Game Hunting, also beim Angriff auf große Unternehmen, KRITIS und andere öffentliche Einrichtungen feststellen. "Die beliebtesten Eintrittsvektoren bleiben (Spear-)Phishing, Malspam, kompromittierte RDP-Protokolle sowie die Nutzung illegitim erlangter Log-In-Daten."

Spear-Phishing-Angriffe: Wer steckt dahinter?

Spear-Phishing-Kampagnen werden von den unterschiedlichsten Gruppierungen gestartet. Es kann sich dabei um ein Konkurrenzunternehmen handeln oder es können Cyberkriminelle sein, die das Opfer als besonders lukrativ ausgemacht haben. Darüber hinaus können Cyberkriminelle aber auch im Auftrag handeln, beispielsweise von einem direkten Konkurrenten, der davon profitiert, dass ein Unternehmen gewisse Services nicht mehr anbieten kann, sensible Informationen abfließen, wie Patente, oder aber neue Produkte, Programmiercode oder einfach nur Verträge und Geschäftsdaten.

Eine Kundenliste kann ebenfalls Gold und damit die Kosten einer solchen Kampagne wert sein. Natürlich können solche Kampagnen aber auch von Regierungen oder Staaten bzw. deren Geheimdiensten oder aber speziellen Behörden gestartet werden, um Spionage zu betreiben.

Wie bereits angedeutet kommt es darauf an, um was für ein Unternehmen oder eine Einrichtung es sich bei dem Opfer handelt. Letztlich bestimmt der Auftraggeber den Wert der Information oder aber die cyberkriminelle Gruppierung definiert den Wert von kopierten Daten über das einzutreibende Lösegeld. Hier ist wichtig zu wissen, dass die Beträge manchmal gar nicht so hoch sein müssen, da es sein kann, dass der betroffene Mitarbeiter oder sein Abteilungsleiter versucht den Vorfall zu verschleiern.

Es müssen also nicht immer Millionenbeträge sein, denn wenn kopierte Daten vielleicht einen unbekannten Wert haben, lässt sich dieser über Erpressung oder aber ein Angebot in einschlägigen Marktplätzen schnell bestimmen. Ein Datensatz, der von einem Opfer schnell und unbürokratisch zurückgekauft wird, scheint wertvoll zu sein, so dass vielleicht eine Folgeerpressung stattfindet. Gerne werden Daten auch meistbietend veräußert.

Crimeware-as-a-service: Darknet-Hits

Botnetze
Ein Netzwerk von Rechnern die mit Schadsoftware infiziert wurden, kann von Cyberkriminellen gesteuert werden, ohne dass deren User etwas davon mitbekommen. Im Cyber-Untergrund können (Pseudo-)Hacker Zugang zu bereits infizierten Rechnern – oft auch im Verbund – erwerben. Ab etwa 100 Dollar pro Monat ist die Infrastruktur eines Botnetzes „mietbar“, ein komplettes, fertiges System kostet circa 7000 Dollar.

Browser Exploit Packs
In Kombination mit einem Botnetz-Framework erlauben BEPs ihren Käufern, Ransomware oder Malware in großem Stil zu verbreiten. Wie jede fortgeschrittene Malware verfügen auch BEPs über integrierte Module zur Verschleierung, Optimierung und Administration der kriminellen Aktivitäten. Ein komplettes BEP-Package kostet im Untergrund zwischen 3000 und 7000 Dollar.

Phishing-Toolkits
Kriminelle Hacker, die eine bestimmte Gruppe oder einfach ganz normale Nutzer attackieren möchten, können im CaaS-Umfeld fertig eingerichtete SMTP-Server, Scam-Webseiten oder hochqualitative Mailing-Listen erwerben – und zwar zum kleinen Preis: Zwischen 15 Dollar und 40 Dollar werden dafür fällig. Populär ist auch die Kombination mit „waffenfähigen Dokumenten“ – also Dateien, die auf den ersten Blick wie Word-Dokumente oder Powerpoint-Präsentationen aussehen, aber Schadcode beinhalten, der bekannte und unbekannte Schwachstellen in Office ausnutzt, um Malware auf dem Rechner der Nutzer zu installieren. Dabei kann es sich um Ransomware oder Remote Access Toolkits handeln – je nachdem welche Zwecke die Computerverbrecher verfolgen. Die Kosten für so einen Office-Exploit liegen zwischen 2000 und 5000 Dollar.

Ransomware
Zu den derzeit beliebtesten Hacking-Tools im Cyber-Untergrund gehört die Familie der Erpressungs-Malware. Diese Art der Schadsoftware kann in sehr verschiedenen Komplexitätsstufen entwickelt werden und verheerende Folgekosten verursachen. Untersuchungen von Trend Micro zufolge ist ein anpassbares Crypto-Locker-File schon ab circa 50 Dollar zu bekommen. Allerdings streichen viele Ransomware-Provider in der Regel eine zusätzliche "Provision" ein, deren Höhe sich am verursachten Schaden orientiert - in der Regel liegt diese bei circa zehn Prozent.

Spear-Phishing-E-Mails: Aufbau

Spear Phishing E-Mails sind sehr ähnlich den Phishing E-Mails, sie bestehen aus einer Betreffzeile, die beim Opfer eine Emotion auslöst. Im Vergleich zu den regulären Phishing E-Mails sind Spear Phishing E-Mails personalisiert. Die Angreifer bringen also vorab viel Zeit für das sogenannte Social Engineering auf.

Die Angreifer sammeln so viele Informationen über das Unternehmen wie möglich und fangen ähnlich Profilern an, von verschiedenen Mitarbeitern Profile zu erstellen, um den Mitarbeiter zu finden, der sie so schnell wie möglich und so sicher wie nötig an ihr Ziel bringen wird. Seine Vorlieben, Familie, Freunde und auch Geschäftspartner werden analysiert, um die E-Mail so effizient wie möglich zu gestalten. Dann versuchen die Angreifer das Vertrauen des Mitarbeiters zu gewinnen.

Die E-Mail muss also bereits ein Thema enthalten, das das Opfer interessant findet oder aber in eine emotionale Stimmung versetzt. Der Kontext der E-Mail muss logisch aufgebaut und der Link zur infizierten Webseite so eingebettet werden, dass der Klick auf den Link vom Empfänger nicht hinterfragt, sondern impulsiv ausgeführt wird. Neben der Einbettung eines Links, kann auch ein Anhang infiziert werden. Besonders geeignet sind MS-Office-Dateien von Excel, Word oder Powerpoint, aber auch Bilddateien oder PDFs werden gern genutzt.

Heutzutage werden allerdings immer mehr User darauf sensibilisiert, nach Phishing E-Mails Ausschau zu halten. Angreifer müssen kreativ werden, um erfolgreich zu sein, denn altbekannte Tricks à la "Prinz aus Nigeria" reichen nicht mehr aus. Aus diesem Grund bedienen sich Cyberkriminelle immer öfter auch Künstlicher Intelligenz, um aus freien Quellen wie Facebook oder Instagram Informationen zu gewinnen. Die so abgegriffenen Informationen helfen den Angreifern anschließend mithilfe von ausgeklügelten Algorithmen ein besonders akkurates Profil des Opfers zu erstellen. Das genaue Abstimmen auf Interessen oder Ängste des Ziels mithilfe von KI macht die Unterscheidung authentischer Mails und Nachrichten mit maliziösen Inhalten noch schwieriger für das Ziel des Angriffs.

Spear Phishing: Vorsichtsmaßnahmen gegen E-Mail-Betrug

Es gibt eine ganze Reihe von Sicherheitsmaßnahmen, die Unternehmen ergreifen können, um sich vor Spear Phishing zu schützen bzw. ihre Mitarbeiter und deren E-Mail-Konten. Dabei empfiehlt es sich in der Regel organisatorische mit technischen Maßnahmen zu verbinden.

Security Awareness Trainings: Die erste und mitunter wichtigste Verteidigungslinie einer Organisation sind die Angestellten selbst. Da Phishing-Angriffe nur dann funktionieren können, wenn sie durch unvorsichtiges Verhalten von Mitarbeitern ermöglicht werden, gilt es natürlich auch hier anzusetzen, wenn es um die Prävention von Phishing geht.
Endpunktsicherheitslösungen: Eine weitere Möglichkeit zur Absicherung gegen Spear Phishing ist Software, die die jeweiligen Geräte im Netzwerk schützt. Antivirus-Programme und Endpunktsicherheits-Lösungen können eine Hilfe dabei sein, Malware, die in Anhängen und Links versteckt ist, automatisch zu blocken.

Incident Response

Eine Spear Phishing-E-Mail kann über eine Reihe verschiedener Wege zur weiteren Analyse an ein Incident-Response-Team weitergeleitet werden. Unter Umständen wird eine Nachricht aufgrund verdächtiger Indikatoren automatisch vom System abgefangen und landet gar nicht erst beim Empfänger, sondern sofort auf dem Bildschirm des Sicherheitsspezialisten - das ist der Optimalfall, da das Risiko einer tatsächlichen Infektion mit Malware hier gleich null ist.

Da Spear-Phishing-Angriffe im Gegensatz zu regulärem Phishing jedoch um einiges raffinierter sind, haben diese Nachrichten einen überaus legitim wirkenden Anschein und werden oft nicht vom System abgefangen. Damit kommen wir zur nächsten Möglichkeit: Die E-Mail landet tatsächlich beim vorgesehenen Empfänger. Jetzt kommt es auf den Einzelnen an, der die Nachricht in seinem Postfach entdeckt. Handelt es sich um einen vorsichtigen Mitarbeiter, der im besten Fall auf das Thema Security Awareness trainiert wurde, so kann er die Nachricht unter Umständen als verdächtig identifizieren und an das IT-Sicherheitsteam der Organisation weiterleiten. Schließlich gibt es noch den Fall, von dem am ehesten eine ernstzunehmende Gefahr ausgeht: User, die tatsächlich auf den Phishing-Versuch hereingefallen sind und einen infizierten Anhang oder Link angeklickt haben.

Analyse

Meistens beginnt die Analyse entweder als Teil des Incident-Response-Prozesses, oder im Security Operations Center (SOC) durch das Sichten einer Bedrohung mithilfe einer Security-Lösung, die die Nachricht dann zur weiteren Analyse in das SOC schickt.

Die Analyse läuft immer gleich ab: Ein Experte untersucht die E-Mail. Dann kommt der Entscheidungsprozess: Ist es wirklich eine Phishing Mail, oder ist es ein False Positive? Die E-Mail wird auf Indicators of Compromise (IoCs) wie eventuelle Anhänge untersucht. Dazu werden unter anderem Sandboxing-Tools verwendet, an welche der Anhang zur Verifizierung geschickt wird. Auch andere Werkzeuge werden genutzt, um die Nachricht zu untersuchen. Das Ziel ist es stets, eine Entscheidung darüber treffen: Ist es Spear Phishing oder nicht? Ist es wirklich ein bestätigter Angriff, werden IoCs wie URLs, E-Mail-Adressen und IP-Adressen in ein Sensor Grid eingespeist, um weitere Angriffe zu verhindern.

Vielen Unternehmen reicht ein einfaches ja/nein als Analyseergebnis nicht aus. Sie fordern eine fortschrittlichere Analyse von Spear-Phishing-Vorfällen aus denen weitere Erkenntnisse gewonnen werden können. Interessante Punkte sind unter anderem: Ist es eine einzelne E-Mail an eine Person, oder ist das ganze Unternehmen vielleicht Teil einer größer angelegten Kampagne. Solche Kampagnen können über nationale und Unternehmensgrenzen hinweg stattfinden.

Mit der Victimology wird untersucht, wer zur Opfergruppe gehört. Ist nur eine einzelne Person betroffen, das Team, das ganze Unternehmen oder ist dieser Angriff vielleicht sogar Teil einer Kampagne, die mehrere Organisationen in der Branche betrifft?

Threat Intelligence

Wenn es um den zielgerichteten Ansatz des Spear Phishings geht, kann ein Threat Intelligence-basierter Ansatz helfen. Spear Phishing E-Mails enthalten eine Fülle von versteckten Hinweisen - so genannte IoCs (Indicators of Compromise) - mit denen die Methoden der Angreifer verfolgt und verstanden werden können. Durch das Extrahieren und Analysieren dieser Informationen können Analysten besser verstehen, wonach sie suchen müssen, um andere Benutzer zu identifizieren, die dem Trick möglicherweise erlegen sind.

Mit diesem Beweismaterial können Daten-Analysten Assoziationen zwischen mehreren Spear-Phishing-Nachrichten herstellen, um beispielsweise zu ermitteln, ob es sich bei dem Angriff um eine umfassendere Kampagne handelt, die gerade im Gange sein könnte. Das Identifizieren von Malware-Stichproben über verschiedene Betrugskampagnen hinweg und ihre Zuordnung zu Angreiferprofilen und deren Absichten verbessert die Reaktionsfähigkeit der Sicherheitsexperten.

Die Herausforderung bei Threat Intelligence ist allerdings der korrekte Umgang mit der immensen Menge an Daten und Informationen. Abhilfe kann eine Threat Intelligence-Plattform schaffen, welche die Auswertung verschiedener Informationsquellen für Bedrohungen - sogenannte Threat Intelligence Feeds - automatisch korreliert und auswertet. Eine Bedrohungs-Datenbank wird über diese Threat Feeds von Anbietern wie z.B. Google und MITRE mit Informationen über aktuelle Bedrohungen gefüttert. Diese Threat Intelligence bietet Informationen über Angreifergruppen, deren Vorgehen, welche Werkzeuge sie benutzen, wie die Werkzeuge definiert sind und was die Ziele der Angreifer sind. Schließlich findet man auch Möglichkeiten zur Abwehr dieser Angriffe. Durch Verknüpfung dieser Daten in der einer Threat-Datenbank entstehen so genannte Attack Patterns. Je nach Angriffsart wählt man dann eine passende Vorgehensweise zur Verteidigung gegen die jeweiligen Cyber-Attacken. Innerhalb der Plattform werden die Daten aggregiert und anhand der Analyse von Bedrohungen erhält man nun Vorschläge zur Verbesserung der eigenen Sicherheitslage und dem Entschärfen von Bedrohungen.

Threat Hunting?

Threat Hunting ist eine relativ neue Aufgabe in der Cyber-Sicherheit. Threat Hunter beginnen mit einer Hypothese, also der Annahme einer potenziellen Gefahr aus dem Cyber-Raum. Sollte sich bei der Analyse einer Phishing-E-Mail der Verdacht erhärten, dass das eigene Unternehmen Opfer eines gezielten Spear-Phishing Angriffs ist, wird der Vorfall an das Threat Hunting Team übergeben. Seine Aufgabe ist nun, den Verdacht zu bestätigen und herauszufinden, welche Angreifer-Gruppierung dafür verantwortlich ist. Mit Hilfe des Mitre ATT&CK Frameworks können Gruppen eingegrenzt werden, sowie Informationen über weitere Taktiken, Techniken und Prozeduren (TTPs) abgerufen werden. Hierdurch können weitere Angriffsvektoren definiert werden. Das Threat Hunting-Team kann nun proaktiv im Netzwerk nach Artefakten suchen, die Bestätigen können, dass die Angreifer, neben Phishing-E-Mails, auch auf anderen Wegen versucht haben in das Netzwerk einzudringen. Wichtig ist hierbei, dass diesem Team alle Informationen auf operativer, taktischer und strategischer Ebene sowie deren Beziehungen schnell zur Verfügung stehen. Auch die reibungslose Zusammenarbeit von Incident Response- und Threat Hunting Team ist essenziell, um schnelle Erkenntnisse zu gewinnen und gezielte Maßnahmen zu ergreifen. (bw/fm)