computer-3028682_1920

Hochpersonalisierte Spearfishing-Attacken zählen zu den am schwierigsten zu entdeckenden Angriffen im Netz.

Spearfishing – der Begriff beschreibt nicht die Jagdstrategie der Ureinwohner Alaskas. Nein: Spearfishing ist eine Angriffsstrategie für Cyberattacken. Im Gegensatz zu Phishing-Angriffen, die wie mit der Gießkanne ausgeschüttet eine größtmögliche Anzahl von Kontakten erreichen sollen, steht Spearfishing für den chirurgisch genauen Präzisionsangriff auf ausgewählte Ziele. Doch um dem Geschäftsführer des als Opfer auserkorenen Unternehmens eine Malware auf den Laptop zu zaubern und um ihn zu – sagen wir: ungewöhnlichen – Handlungen zu motivieren, ist schon ein wenig Vorarbeit nötig. Denn diese Leute sind normalerweise scharfsinnig und vorsichtig. Es gilt also, ihr Vertrauen zu erschleichen.

Dazu gibt es ein recht probates Mittel: Man täuscht eine falsche Identität vor – beispielsweise die Identität eines Vorstandskollegen oder eines Bekannten. Am besten, man kann in die als Köder dienende Mail noch einige Details über das Arbeitsumfeld der Zielperson einbauen. Social Engineering nennt sich dieser Ansatz, der mittlerweile zum etablierten Element von Cyber­attacken der Profiklasse geworden ist.

Mit solchen Mitteln lässt sich auch ein misstrauischer Finanzchef unter Umständen per vertraulicher Mail dazu bringen, eine Überweisung in sechsstelliger Höhe an die Tochterfirma in China auszustellen. Sicherheitsberater wissen ein Lied davon zu singen, was da schon alles gelaufen ist. Aber woher kennen die Dunkelmänner die nötigen Einzelheiten über ihre Zielpersonen? Sie könnten diese Detektivarbeit natürlich händisch verrichten. Aber das ist nicht nötig.

Social Bots durchkämmen im Auftrag von Cyberkriminellen automatisiert öffentlich verfügbare Quellen – Unternehmenswebseiten, Fachpublikationen, Kongressbeiträge, soziale Netzwerke, und sammeln Informationen über potentielle Zielpersonen: Welchen Sportarten geht er oder sie nach? Welchem Fußballclub drückt er die Daumen? Zu welchem Thema hielt sie schon einen Vortrag? Mit wem pflegt er Umgang? Technisch betrachtet sind Social Bots kleine Programme, die in den sozialen Medien meist so tun, als seien sie menschliche Partner. Ins Schlaglicht gerieten solche Bots bei den Präsidentschaftswahlen in den USA – sie täuschten auf Facebook und Co. eine große Anhängerschaft vor, die in Wirklichkeit weit geringer war.

„Social Media sind einer der Angriffspunkte für Identitätsdiebstahl“, bestätigt Jörg Asma, Partner des Beratungshauses PwC. „Über Social Bots kann ich viele Daten aggregieren, die ich dafür benötige.“ Hat der Angreifer das nötige Insiderwissen beisammen, kann er zur eigentlichen Attacke übergehen: einem Anruf oder einer Mail mit plausibel vorgespiegelter Identität an die Zielperson, in der um die Zahlung einer Summe gebeten wird, die gerne auch im sechs- bis siebenstelligen Bereich liegen kann.

Unnötig zu erwähnen: Auf dieser Ebene enden die Möglichkeiten der Automatisierung, ab hier geht es um Intuition, überzeugendes Auftreten und geschickte Argumentation. Die Masche nennt sich „CEO Fraud“. Auch wenn die Medien über solche Fälle nur selten berichten: Derartige Angriffe seien auch in Deutschland weit verbreitet, sagt Asma. Das Bundesamt für Sicherheit in der Informationstechnik hat dem Thema ein Whitepaper mit Handlungsempfehlungen gewidmet. Die wichtigsten Schutzmaßnahmen: das Personal entsprechend schulen, bei entsprechenden Kontaktversuchen im Zweifelsfall lieber noch einmal über eine sichere Verbindung nachfragen. Und – natürlich – eine gesunde Skepsis gegenüber ungewöhnlichen Aufforderungen.

Sie möchten gerne weiterlesen?