Vor Phishing wird immer wieder gewarnt und doch reichen die Warnungen oft nicht aus – auch, weil die Phishing-Methoden fortwährend verändert und verfeinert werden. Zu diesen neuen Methoden zählt auch das so genannte Spear Phishing.

Dadurch, dass wir alle uns in sozialen Netzwerken bewegen und Informationen über uns preisgeben, haben Betrüger viel mehr Ansatzpunkte, sich persönliche Informationen ihrer Opfer zunutze zu machen und sich darüber ihr Vertrauen zu erschleichen. Meist mit dem Ziel, an noch sensiblere Daten zu gelangen.

Mit Hilfe von so genannten Social-Engineering-Methoden können Betrüger heutzutage in großem Umfang ziemlich umfassende Persönlichkeitsbilder von ihren Opfern erstellen, die sowohl private als auch berufliche Lebensbereiche abdecken. Das ermöglicht Kriminellen, vermehrt psychologische Tricks einzusetzen, oft nur noch flankiert von zusätzlichen technischen Angriffen.

Ein Beispiel: Ein Betrüger verschickt an Mitarbeiter eines großen Unternehmens eine Mail mit attraktiven Rabattversprechen für Urlaubsreisen. Dabei gibt er sich selbst als ranghoher Mitarbeiter aus, verwendet eine Unternehmens-E-Mail-Adresse, das Firmenlogo und sonstige, öffentlich verfügbare Informationen von der Firmenwebseite. Um die angekündigten Rabatte nutzen zu können, sollen sich die Mitarbeiter auf einer in der Mail verlinkten Webseite mit den Daten ihres Firmen-Accounts registrieren.

Was wird passieren?

Groß angelegte Feldversuche haben gezeigt: Innerhalb von zwei Stunden hat ein Drittel der Mailempfänger die Rabatt-Webseite besucht. Doch dabei bleibt es nicht: Im Schnitt jeder fünfte Nutzer gibt in diesen und ähnlichen Szenarien tatsächlich seine realen Firmenzugangsdaten ein.

Das zeigt eindrücklich, wie gutgläubig und verführbar die Anwender sind. Es zeigt aber auch, wie hoch der Grad der Vertrauenswürdigkeit ist, den Kriminelle inzwischen erschaffen und vortäuschen können. Denn es ist nicht nur der vermeintlich reale und seriöse Absender und die glaubwürdige Gestaltung der E-Mail; auch der Inhalt an sich und der Anlass für den Erhalt erwecken beim Empfänger keinerlei Misstrauen.

Selbst Anwender, die bereits zu Phishing-Gefahren geschult wurden, erkennen den Betrug genauso wenig wie nicht geschulte Benutzer. Das deutet darauf hin, dass traditionelle Schulungen den realen Gefahren kaum mehr etwas entgegensetzen. Hier muss ein Umdenken stattfinden. IT-Sicherheit besteht längst nicht mehr nur aus technischen Fragestellungen. Darüber hinaus ist die Psychologie gefordert, die Mechanismen zu erforschen und an Sicherheitskonzepten mitzuwirken.

Bis es soweit ist, hilft nur, einmal mehr skeptisch zu sein bei jeder Art von vermeintlich noch so authentischem, verlockendem Angebot, das in der Mailbox landet. Im Zweifel sollte man sich lieber einmal zu viel beim Absender über die Echtheit der Offerte vergewissern.

Weitere Informationen:
Spearphishing: Jeder Fünfte geht in die Falle (heise.de)
Spear Phishing - Eine Definition (searchsecurity.de)