Was ist Spear-Phishing?
Wer wird angegriffen und warum?
Spear-Phishing zielt vor allem auf Unternehmen ab. Meist sind mittlere und kleine Unternehmen betroffen, deren Daten oft ungeschützter sind, da sie nicht über eine eigene IT-Abteilung verfügung und mehr Sicherheitslücken aufweisen. Interessant sind all die Firmen, die entweder virtuelles Geld besitzen, wie etwa Bitcoins oder Zugang zu sensiblen Daten haben.
Die Schadsoftware wird an Mitarbeiter gesendet, die die Sicherheit des Systems in dem Moment gefährden, in dem sie den Aufforderungen in der Mail nachkommen und diversen Links folgen oder etwa Dateien öffnen bzw. herunterladen. Durch die Schadsoftware kann die Identität des Opfers im System genutzt werden, weitere Mitarbeiter in die Falle zu locken.
Außerdem können Daten, wie etwa das Bitcoin Wallet verloren gehen, alle Bitcoins sind dann verloren. Der oft ahnungslose Nutzer merkt zunächst nicht, dass die Schadsoftware auf das Gerät gelangt ist und nun ein Sicherheitsrisiko besteht.
Häufig infizierte Dateiformate (Mailanhang)
- DOC-Dateien
- RTF-Dateien
- XLS-Dateien
- PPT-Dateien
- PDF-Dateien
Eine besondere Vorsichtsmaßnahme ist daher die ständige Aktualität des Systems und auch der verwendeten Datenformate auf dem PC. Die Täter nutzen meist alte Sicherheitslücken, die mit einem aktuellen Update schon nicht mehr ausgenutzt werden können.
Vorgang und Strategie des Angriffs
Wie erwähnt suchen sich die Täter meist altbekannte Viren und Trojaner, die in spezielle Sicherheitslücken bei Microsoft eindringen, heraus, um ihren Angriff zu starten. Dabei spekulieren sie darauf, dass die entsprechenden Dateien und Sicherheitsprogramme der Opfer nicht auf dem aktuellsten Stand sind und somit verletzlich.
Wenn die Täter eine geeignete Schadsoftware ausgesucht haben, wird im Netz nach geeigneten Opfern gesucht. Auf den Internetseiten sind oft die Mitarbeiter verschiedener Abteilungen zu sehen und diese werden dann angeschrieben. Die Absender sind häufig vorgetäuschte Fremdfirmen oder sogar Vorgesetzte oder andere Instanzen und vertrauensselige Absender.
Manche Betrüger geben sich sogar als IT-Abteilung der jeweiligen Firma aus. In den Mails werden die Mitarbeiter dann aufgefordert, angehängte Programme oder Dateien zu öffnen. Ahnungslose Opfer werden dann mit z.B. PDF-Dateien getäuscht, die den Titel „New Projekt“ tragen. Auch Evaluierungs-Links und andere Methoden sind denkbar.
Im Endeffekt wird so eine Schadsoftware auf den PC geschleust, die den Weg in eine meist bekannte Sicherheitslücke ebnet und entsprechende Daten abschöpft. Die E-Mails werden häufig massenweise verschickt, um möglichst viele User und damit Firmen zu erreichen. Fällt auch nur ein Nutzer auf den Betrug herein, ist das System gefährdet.
Einer der Trojaner, die für die Angriffe genutzt werden, nennt sich Pony Loader. Er wird offiziell als Win32/PSW.Fareit betitelt. Er erscheint in Form einer .NET-Datei und kann als ken.exe erkannt werden. Er hat die Fähigkeit Passwörter und mehr zu enttarnen und an Dritte unbefugt weiterzugeben.
Die Angriffe können schwer einem Verursacher zugeordnet werden, allerdings sind häufig Länder in Afrika (wie Ghana oder Tansania) und Asien als eigentliche Ausgangsorte ermittelt worden. Der beste Schutz bleibt ein aktualisiertes und geschütztes System sowie Aufmerksamkeit und gesunder Menschenverstand.