Spear-Phishing

Beim Spear-Phishing konzentrieren sich Social Engineers gezielt auf bestimmte Personen. Dabei sammeln sie im Voraus über längere Zeiträume persönliche und berufliche Informationen, um die geplante Manipulation so überzeugend wie möglich zu gestalten. Durch diese personalisierte Vorgehensweise wirkt ein Angriff vertrauenswürdiger, was die Wahrscheinlichkeit erhöht, dass Betroffene auf den Betrug hereinfallen. Spear-Phishing kann über verschiedene Kommunikationskanäle erfolgen, wobei die häufigsten Angriffe per E-Mail, soziale Netzwerke oder Messaging-Dienste stattfinden. Ziel von Spear-Phishing ist es, sensible Informationen wie Zugangsdaten, Finanzinformationen oder Unternehmensgeheimnisse zu stehlen.

Im Folgenden stellen wir Ihnen Beispiele für Spear-Phishing vor, die jedoch auch in abgewandelter Form sowie im DATEV-Kontext auftreten können:

• CEO-Betrug
  Ein Mitarbeiter erhält eine E-Mail, die angeblich vom Geschäftsführer seines Unternehmens stammt. In der E-Mail wird der Mitarbeiter aufgefordert, eine dringende Überweisung an einen neuen Geschäftspartner vorzunehmen. Die E-Mail enthält persönliche Details, die vermeintlich nur interne Mitarbeiter kennen können, was die Glaubwürdigkeit erhöht. Der Betreff lautet beispielsweise: "Dringende Zahlungsanweisung – Vertraulich". Ziel der Angreifer ist es, Betroffene dazuzubringen, Geld auf betrügerische Konten zu überweisen.

• Rechnungsbetrug
  Ein zuständiger Finanzmitarbeiter erhält eine E-Mail von einem angeblichen Lieferanten, der behauptet, die Bankverbindung habe sich geändert. Die E-Mail enthält eine gefälschte Rechnung und die Aufforderung, eine Zahlung an das neue Konto vorzunehmen. Die E-Mail-Adresse des Absenders und die Gestaltung der Nachricht ähneln stark denen des echten Lieferanten.

• Konto-Update
  Ein Mitarbeiter erhält eine E-Mail, die so aussieht, als würde sie von der IT-Abteilung seines Unternehmens stammen. In der E-Mail wird behauptet, dass es ein Sicherheitsproblem mit dem E-Mail-Konto des Mitarbeiters gibt und dass dieser seine Zugangsdaten auf einer gefälschten Webseite aktualisieren muss. Die E-Mail enthält einen Link zu einer täuschend echt aussehenden Webseite, die auch das Unternehmenslogo verwendet. Dort werden die Login-Daten des Mitarbeiters abgegriffen und für maliziöse Zwecke missbraucht.

• Bewerbungsmappen-Angriff
  Ein Personalverantwortlicher erhält eine E-Mail mit dem Betreff "Bewerbung für die offene Stelle als Marketing-Manager". Der Anhang enthält angeblich die Bewerbungsunterlagen eines potenziellen Kandidaten, ist jedoch in Wirklichkeit eine mit Malware infizierte Datei. Die E-Mail ist so formuliert, dass sie von einem echten Bewerber stammen könnte und enthält alle relevanten Informationen zu einer seriösen Bewerbung. Bei einem Klick auf die infizierte Datei wird die Malware auf das Gerät des Mitarbeiters heruntergeladen und kann zu großem Schaden führen.

Absender, Betreff, Content – diese drei Komponenten sind entscheidend, um Spear-Phishing-Angriffe frühzeitig zu erkennen und abzuwehren. Die ABC-Regel bietet eine strukturierte Methode, um unerwartete Anfragen auf mögliche Bedrohungen hin zu überprüfen.

Absender prüfen:
Spear-Phishing findet meist per E-Mail statt. Prüfen Sie daher genau wie beim E-Mail-Phishing sorgfältig die E-Mail-Adresse des Absenders. Spear-Phishing-Angreifer nutzen oft gefälschte oder leicht abgewandelte E-Mail-Adressen, die auf den ersten Blick vertrauenswürdig erscheinen. Achten Sie auf kleine Abweichungen in der Schreibweise, wie zusätzliche Buchstaben oder Zahlen. Ein Beispiel könnte sein, dass statt einer bekannten E-Mail-Adresse wie "vorname.nachname@unternehmen.com" die Adresse "vorname.nachname@unternehmn.com" verwendet wird. Spear-Phishing kann jedoch auch über SMS-Nachrichten, per Telefon oder per QR-Code stattfinden. Wie Sie Spear-Phishing per SMS, Telefon oder QR-Code erkennen, finden Sie unter Smishig, Vishing beziehungsweise Quishing.

Betreff prüfen:
Analysieren Sie, genau wie beim E-Mail-Phishing den Betreff der E-Mail. Spear-Phishing-Nachrichten enthalten oft Betreffzeilen, die Dringlichkeit oder Wichtigkeit suggerieren, um den Empfänger zu einer schnellen Reaktion zu bewegen. Typische Betreffzeilen können Formulierungen wie "Dringende Aktion erforderlich", "zwingend erforderliches Sicherheitsupdate" oder "Wichtige Information zu Ihrem Konto" enthalten. Ein übertrieben dringlicher oder ungewöhnlicher Betreff sollte immer skeptisch betrachtet werden. Spear-Phishing kann jedoch auch über SMS-Nachrichten, per Telefon oder per QR-Code stattfinden. Wie Sie Spear-Phishing per SMS, Telefon oder QR-Code erkennen, finden Sie unter Smishig, Vishing beziehungsweise Quishing.

Content prüfen:
Überprüfen Sie, ob eine Anfrage, egal ob per E-Mail, per SMS oder per Telefon ungewöhnlich personalisiert ist und spezifische Informationen enthält, die nur schwer zugänglich sind. Solche Details können im Voraus aus sozialen Netzwerken oder anderen Quellen abgefischt worden sein. Lassen Sie sich nicht von professionell gestalteten E-Mails täuschen, die Logos, Schriftarten und Layouts verwenden und authentisch erscheinen. Diese Elemente können leicht kopiert und dazu verwendet werden, Vertrauen zu erwecken. Öffnen Sie keine Anhänge, die unerwartet oder verdächtig erscheinen und klicken Sie im Zweifelsfall niemals auf Links - vertrauen Sie Ihrem Bauchgefühl. Kommt Ihnen der Inhalt einer Anfrage auffällig vor, gehen Sie nicht direkt darauf ein, sondern kontaktieren Sie den angeblichen Absender über eine bekannte, vertrauenswürdige Kontaktmethode (telefonisch oder über eine offizielle Webseite), um die Echtheit der Nachricht zu überprüfen.

Fazit:
Generell ist es ratsam, sensibel und sparsam mit persönlichen Daten umzugehen. Das betrifft den beruflichen sowie den privaten Kontext - gerade auch bezüglich Sozialer Medien. Öffentlich zugängliche Daten dienen Social Engineers als Basis von Spear-Phishing-Angriffen.

Sind Sie von einem Spear-Phishing-Angriff im DATEV-Kontext betroffen?
Dann können Sie dies an folgende E-Mail-Adresse melden: abuse@datev.de

Dadurch haben wir die Möglichkeit, den Vorfall in Abstimmung mit Ihnen im Bereich Betrugsversuche im DATEV-Kontext zu dokumentieren – selbstverständlich anonym und vertraulich. Sie helfen uns damit, zeitnah weitere Kunden und Mitglieder zu warnen.

Wie Sie sich im Falle eines IT-Sicherheitsvorfalls verhalten sollten, finden Sie unter Hilfe für den Ernstfall.