Spear-Phishing-Angriffe: Gezielte E-Mail-Betrügereien erklärt

Häufige Methoden

• • Ziele intensiv über LinkedIn, Unternehmenswebseiten und soziale Medien recherchieren, um Namen, Titel, Beziehungen, laufende Projekte und Kommunikationsstile zu sammeln, und diese Informationen dann in E-Mails einbinden, die intern erzeugt wirken.
• • Führungskräfte oder hochrangige Beamte darstellen, indem fast identische E-Mail-Adressen erstellt werden (ein Zeichen ändern oder andere Domänen verwenden) und Schreibstile nachahmt werden, um dringende Geldtransfers oder sensible Informationen von Untergebenen anzufordern.
• • Legitime E-Mail-Konten durch vorherige Datenverletzungen kompromittieren und dann diese authentifizierten Konten nutzen, um böswillige Anfragen an Kontakte zu senden und dabei etablierte Vertrauensbeziehungen innerhalb von Organisationen auszunutzen.
• • Angriffe strategisch um Quartalsabschlüsse, Ferien oder bekannte geschäftliche Ereignisse herum zeitlich abstimmen, wenn Ziele gehetzt sind oder Schlüsselpersonen nicht verfügbar sind, um ungewöhnliche Anfragen durch sekundäre Kanäle zu überprüfen.
• • Bösartige Links einbetten, die zu überzeugenden Repliken von Anmeldeseiten für Office 365, Google Workspace oder Unternehmens-VPNs führen, um Anmeldedaten zu erfassen, wenn Opfer versuchen, sich zu authentifizieren, und dann gestohlenen Zugriff für weitere Angriffe zu nutzen.
• • Aufwendige Vorwände mit laufenden Projekten, Geschäftsbeziehungen oder behördlichen Complianceanforderungen schaffen, die Ziele unter Druck setzen, schnell zu handeln, ohne normale Überprüfungsverfahren zu befolgen oder zusätzliche Genehmigungen einzuholen.

So erkennen Sie es

• E-Mail-Adressen, die legitimen Unternehmens- oder Kollegenadressen ähneln, aber subtile Unterschiede aufweisen, wie zusätzliche Zeichen, Schreibfehler oder alternative Domänen ([email protected] statt @unternehmengmbh.de).
• Ungewöhnliche Dringlichkeit oder Verschwiegenheit in Anfragen, besonders Forderungen, normale Verfahren zu umgehen, Vorgesetzte nicht zu informieren oder Maßnahmen vor bestimmten Fristen ohne angemessene Erklärung für die eilige Zeitleiste abzuschließen.
• Anfragen für sensible Maßnahmen, die außerhalb der Geschäftszeiten, an Feiertagen oder wenn die angebliche Person normalerweise nicht erreichbar wäre, ankommen, besonders Geldtransferforderungen von Führungskräften, die behaupten, zu reisen oder in Meetings zu sein.
• Subtile Inkonsistenzen in Schreibstil, Ton oder Formatierung im Vergleich zu der normalen Kommunikation der angegebenen Person, einschließlich ungewöhnlicher Begrüßungen, Signaturblöcke oder Formulierungen, die uncharakteristisch wirken.
• Anmeldeseiten, die über E-Mail-Links mit verdächtigen URLs erreicht werden, die nicht der offiziellen Domäne entsprechen (microsof-anmeldung.de statt microsoft.de) oder denen ordnungsgemäße Sicherheitszertifikate fehlen (kein HTTPS-Schlosssymbol).
• Anfragen, die auf Projekte, Beziehungen oder Details Bezug nehmen, die korrekt wirken, aber kleine Fehler, veraltete Informationen oder Details enthalten, die eher aus öffentlichen Quellen als aus internem Wissen stammen könnten.
• 소셜 미디어, 기업 웹사이트, 공개 기록을 통해 광범위하게 조사한 후 이름, 직책, 관계, 현재 프로젝트, 통신 스타일 등의 정보를 수집하여 내부에서 생성된 것처럼 보이는 이메일에 통합합니다.
• 임원 또는 고위 관계자를 사칭하기 위해 거의 동일한 이메일 주소(한 문자 변경 또는 다른 도메인 사용)를 만들고 작성 스타일을 모방하여 부하 직원에게 긴급 송금이나 민감한 정보를 요청합니다.

So schützen Sie sich

• Multi-Faktor-Authentifizierung (MFA) für alle E-Mail-Konten, Cloud-Services und Finanzsysteme implementieren und durchsetzen, um sicherzustellen, dass gestohlene Anmeldedaten allein Angreifern keinen Zugriff auf kritische Systeme oder Daten gewähren.
• Out-of-Band-Überprüfungsverfahren einrichten, die Telefonanrufe oder persönliche Bestätigung für Geldtransfers, Anmeldedatenanfragen oder Änderungen von Zahlungsinformationen erfordern, wobei bekannte Telefonnummern statt in verdächtigen E-Mails angegebener Kontaktdetails verwendet werden.
• Regelmäßiges Sicherheitsbewusstseinstraining mit realistischen Spear-Phishing-Simulationen durchführen, die speziell auf Ihre Organisation zugeschnitten sind, um Mitarbeiter zu lehren, personalisierte Angriffe zu erkennen und eine Kultur zu schaffen, in der das Hinterfragen verdächtiger Anfragen gefördert wird.
• E-Mail-Sicherheitssysteme so konfigurieren, dass E-Mails von externen Quellen, die intern ähnlichen Adressen entsprechen, gekennzeichnet oder unter Quarantäne gestellt werden, und visuelle Warnungen bei allen externen E-Mails implementieren, damit Empfänger schnell erkennen können, dass Korrespondenz von außerhalb kommt.
• Öffentlich verfügbare Informationen über Organisationsstruktur, Mitarbeiterrollen, laufende Projekte und interne Prozesse auf Unternehmenswebseiten und in sozialen Medien einschränken, um die Informationen zu begrenzen, die Angreifer während der Aufklärungsphase sammeln können.
• Klare Genehmigungsabläufe für sensible Maßnahmen wie Geldtransfers über bestimmte Schwellenwerte, Änderungen von Lieferantenzahlungen und Zugriff auf vertrauliche Daten entwickeln und durchsetzen, die mehrere autorisierte Personen erfordern, um Einzelausfallpunkte zu vermeiden.

Reale Beispiele

Wo melden — Deutschland

Offizielle Stellen in Ihrer Region zum Melden dieses Betrugs.