Ein Verständnis darüber, wie Social Engineering – und im weiteren Sinne (Spear) Phishing – funktioniert und warum man Opfer dieser Art von Angriffen wird, ist essentiell. Der Psychologe Paul Ekman identifizierte sechs grundlegende Emotionen: Wut, Ekel, Angst, Glück, Traurigkeit und Überraschung. Das Ziel des Social Engineers ist es, bei der Zielperson Emotionen zu erzeugen, die irrationales Denken hervorrufen können, weil emotionale Menschen Fehler machen. Hacker adressieren auch die Eitelkeit der Zielperson, wenn Menschen glauben, sie seien schlau und würden nie Hackern zum Opfer fallen.
Bei Spear-Phishing handelt es sich um spezielle Betrugsversuche per E-Mail. Sie richten sich meist gegen konkrete Organisationen und zielen darauf ab, nicht autorisierten Zugriff auf vertrauliche Daten zu erhalten. Die Hintermänner bei Spear-Phishing sind nicht die üblichen Hacker, die willkürlich Daten abgreifen.
Obwohl hierbei hauptsächlich Daten für kriminelle Zwecke entwendet werden sollen, haben Cyberkriminelle möglicherweise auch vor, Malware auf dem angegriffenen Computer installieren.
Und so funktioniert es: Es geht eine E-Mail ein, die von einer vertrauenswürdigen Quelle zu stammen scheint. In Wahrheit leitet sie den Benutzer jedoch auf eine gefälschte Webseite um, die voller Malware steckt. Bei diesen E-Mails gehen die Betrüger oft sehr clever vor, um die Aufmerksamkeit ihrer Opfer zu erregen. Das FBI hat beispielsweise vor Spear-Phishing-Betrug gewarnt, bei dem die E-Mails angeblich vom nationalen Zentrum für vermisste und misshandelte Kinder stammten.
Oft stecken von Regierungen bezahlte Hacker und Hacktivisten hinter diesen Attacken. Cyberkriminelle nutzen ähnliche Maschen und bieten Regierungen und Privatunternehmen vertrauliche Daten zum Rückkauf an. Sie setzen individuell gestaltete Methoden und Social Engineering-Techniken ein, um Nachrichten und Webseiten für das jeweilige Opfer maßzuschneidern. So kommt es, dass selbst hochrangige Ziele, z. B. leitende Angestellte von Firmen, als vertrauenswürdig angesehene E-Mails öffnen. Ein solches Versehen ermöglicht es den Cyberkriminellen dann, an die Informationen zu gelangen, die sie für einen Angriff auf das Unternehmensnetzwerk benötigen.
Empfohlene Schutzmaßnahmen
COVID-19 ist so ein Thema von hoher Bedeutung, das die Bühne für eine emotionale Reaktion bereitet. Abhängig vom einzelnen Individuum sind die Chancen für eine emotionale Reaktion recht hoch. Laut einer kürzlich von der Society for Human Resources Management durchgeführten Umfrage über die psychologischen Auswirkungen von COVID-19 gibt fast jeder vierte Mitarbeiter an, sich oft niedergeschlagen, deprimiert oder hoffnungslos zu fühlen. Ferner fühlen sich 41 Prozent ausgebrannt, ausgelaugt oder erschöpft von ihrer Arbeit.
Hacker mit guten Informationen über ihr Ziel, die Spear-Phishing einsetzen, sind in der Regel effektiver als mit dem Spray and Pray-Ansatz beim Phishing. Es braucht Zeit, um einen Auslöser zu finden und Dringlichkeit zu erzeugen. COVID-19, eine globale Gesundheitsbedrohung, passt in diese Kategorie. Jeder ist begierig darauf, mehr herauszufinden.
Herkömmliche Sicherheitsmaßnahmen sind oft nicht in der Lage, diese Art von Angriff abzuwehren, weil die Angriffe so geschickt auf die Zielpersonen zugeschnitten wurden. Daraus folgt, dass sie nur sehr schwer zu erkennen sind. Der Fehler eines Mitarbeiters kann ernste Konsequenzen für Unternehmen, Behörden und sogar gemeinnützige Organisationen haben. Mit gestohlenen Daten könnten Betrüger z. B. vertrauliche Geschäftsdaten publik machen, Börsenkurse manipulieren oder unterschiedliche Arten von Spionage betreiben. Darüber hinaus können sie bei Spear-Phishing-Angriffen Malware installieren, um Computer zu übernehmen und sie so zu Teilen eines sogenannten Botnets zu machen, das für DDoS-Angriffe (Distributed Denial-of-Service) genutzt werden kann.
Um Spear-Phishing-Versuche abzuwehren, müssen Mitarbeiter die Bedrohungen, z. B. gefälschte E-Mails, kennen. Neben Aufklärung und Schulung ist eine spezielle Technologie zur Verbesserung der E-Mail-Sicherheit erforderlich.