Definition

Spear-Phishing

Bei Spear-Phishing handelt es sich um spezielle Betrugsversuche per E-Mail. Sie richten sich meist gegen konkrete Organisationen und zielen darauf ab, nicht autorisierten Zugriff auf vertrauliche Daten zu erhalten. Die Hintermänner bei Spear-Phishing sind nicht die üblichen Hacker, die willkürlich Daten abgreifen. Vielmehr geht es hier häufig gezielt um Finanzbetrug, Abschöpfen von Geschäftsgeheimnissen oder sogar militärische Informationen.

Die für eine Spear-Phishing-Kampagne verwendeten E-Mails scheinen ebenso wie bei normalen Phishing-Kampagnen von einer vertrauenswürdigen Quelle zu stammen. Als Absender wird in der Regel ein großes und bekanntes Unternehmen oder eine Internet-Plattform mit hoher Mitgliederzahl angegeben, beispielsweise eBay oder PayPal. Für Spear-Phishing tarnt sich der Absender der E-Mail allerdings eher als Mitarbeiter im Unternehmen des Empfängers und gibt sich häufig als ein Vorgesetzter aus.

Aaron Ferguson, Gast-Dozent an der Militärakademie West Point und Experte der National Security Agency, bezeichnet das als den „Colonel-Effekt“. Um ihn zu verdeutlichen, versandte er eine Nachricht an 500 Kadetten und forderte sie auf, durch Klicken auf einen Link ihren Dienstgrad zu bestätigen. Scheinbar stammte die von Ferguson versandte E-Mail von einem Colonel Robert Melville aus West Point. Über 80 Prozent der Empfänger klickten auf den Link. In einer Antwortmail wurde ihnen daraufhin erklärt, dass sie einem Betrugsversuch aufgesessen waren. Gleichzeitig wurde ihnen vorgeführt, welche Folgen ihr Verhalten hätte haben können, beispielsweise in Form von heruntergeladener Spyware, Trojanern oder anderer Malware.

Die meisten Menschen reagieren heute misstrauisch auf unerwartete Aufforderungen zur Preisgabe vertraulicher Informationen. Wenn sie der Quelle nicht vollkommen vertrauen, klicken Sie weder auf E-Mail-Anhänge noch auf Weblinks. Der Erfolg von Spear-Phishing beruht jedoch auf drei Faktoren: Beim vermeintlichen Absender handelt es sich scheinbar um eine bekannte oder auf eine andere Art und Weise vertrauenswürdige Person. Zweitens unterstützen Angaben in der Nachricht ihre Glaubwürdigkeit, und es scheint drittens einen logischen Grund für die Aufforderung in der E-Mail zu geben.

Hier ein Beispiel für eine mögliche Spear-Phishing-Attacke: Der Angreifer sucht im Internet nach der Webseite eines Unternehmens, auf der Kontaktdaten für Kunden oder Interessenten angegeben sind. Mithilfe der verfügbaren Informationen verfasst er eine authentisch wirkende Email an einen auf der Kontaktseite genannten Mitarbeiter. Darin gibt er sich beispielsweise als Netzwerk-Administrator aus und fordert vertrauliche Informationen an. Zum Beispiel soll sich der Mitarbeiter auf einer präparierten Seite mit Benutzernamen und Kennwort anmelden oder auf einen Link klicken, über den dann Spyware oder andere Malware heruntergeladen wird. Fällt auch nur ein einziger Mitarbeiter auf ein solches Spear-Phishing herein, kann der Angreifer in Zukunft dessen Identität verwenden und durch soziale Manipulation Zugriff auf weitere vertrauliche Daten erlangen.

Ähnliche Glossarbegriffe: Social Engineering
Artikel zuletzt aktualisiert im März 2011
Veröffentlicht von: Margaret Rouse

Email-Alerts

Registrieren Sie sich jetzt, um alle Nachrichten, Tipps und mehr von SearchSecurity.de kostenlos in Ihren Posteingang zu erhalten.

Mit dem Absenden bestätige ich, dass ich die Bedingungen und die Einverständniserklärung gelesen habe und diese akzeptiere.

Mehr News und Ratgeber

Wollen Sie etwas zu dieser Definition hinzufügen? Dann lassen Sie es uns wissen.

Schicken Sie Ihre Kommentare an techterms@whatis.com

Ihre Meinung zum Artikel Kommentar

Teilen
Kommentare

    Ergebnisse

    Tragen Sie zu dem Gespräch bei

    Alle Felder sind erforderlich. Kommentare werden unterhalb des Artikels erscheinen.