Spear-Phishing ist die perfekte Spielfläche
Besondere Bedrohung durch Spear-Phishing
com! professional: Kommen wir nochmals auf Spear-Phishing zurück. Welche besondere Bedrohung geht von diesem Angriffsvektor aus?
Nachreiner: Spear-Phishing bietet aus der Sicht von Cyberkriminellen eine perfekte Spielfläche für die Automatisierung. Zum einen gehört Spear-Phishing zu den erfolgreichsten Angriffsarten überhaupt. 65 Prozent aller Angriffe lassen sich darauf zurückführen. Viele von ihnen sind von Erfolg gekrönt.
Im Gegensatz zum allgemeinen Phishing, das sich durch die ungezielte Verbreitung von wenig spezifischem, bösartigem Spam auszeichnet, sind Spear-Phishing-Angriffe persönlich zugeschnitten und dadurch umso wirksamer. Es ist meist nicht nur der Name des potenziellen Opfers bekannt, sondern auch, wo dieses arbeitet. E-Mails können an der jeweiligen Position im Unternehmen ausgerichtet sein, mit Bezug zu direkten Kollegen. Alle diese spezifischen Details erschweren die Unterscheidung zwischen Spear-Phishing und legitimen E-Mails.
com! professional: Das alles lässt sich mit Automatisierung erleichtern?
Nachreiner: Ja, da dieser Grad der Anpassung viel manuelle Arbeit aufseiten der Kriminellen erfordert. Obwohl Spear-Phishing heutzutage zu den gefährlichsten und häufigsten Angriffsmethoden zählt, bestand ein rettender Umstand stets darin, dass dem Umfang und dem Ausmass dieser Attacken aufgrund der manuellen Vorbereitung Grenzen gesetzt waren. Diese könnten sich jetzt allerdings auflösen. So lassen sich Automatisierungs-Tools und -Skripte nutzen, um soziale Medien und Websites, mit denen eine bestimmte E-Mail-Adresse und der Name verknüpft sind, nach Informationen „abzugrasen“.
Es gibt bereits heute Phishing-Kits, die bei der Erstellung von E-Mail-Vorlagen und dem massenhaften Versand von Mails helfen. Wenn diese jetzt in Kombination mit den Möglichkeiten der Automatisierung zum Zuge kommen und E-Mails zunehmend ohne manuellen Aufwand mit persönlichen Details gefüttert werden können, dann erhöht sich die Chance, dass immer mehr Opfer darauf hereinfallen.
com! professional: Was können Unternehmen dagegen tun?
Nachreiner: Die gute Nachricht ist, dass die Spear-Phishing-Angriffe, hinter denen wir Automatisierung vermuten, qualitativ immer noch schlechter sind als die besten Beispiele für manuelles Spear-Phishing. Sie enthalten aber bereits eine Form der Personalisierung, durch die sie in die Kategorie „Spear-Phishing“ fallen. Dank des geringen Reifegrads der Automatisierung lassen sich jedoch immer noch Hinweise darauf finden, dass diese E-Mails maschinell generiert wurden.
com! professional: Wie wird diese Entwicklung weitergehen?
Nachreiner: Im Zuge der Weiterentwicklung der Automatisierungstechniken aufseiten der Angreifer wird es künftig immer schwerer werden, automatisierte Spear-Phishing-Mails von normalen zu unterscheiden. Zudem wird es in Summe viel mehr davon geben. Da Spear-Phishing häufig die Ausgangsbasis für Sicherheitsvorfälle ist, dürfte dies also auch insgesamt eine Zunahme erfolgreicher Übergriffe auf Unternehmen bewirken.