Newsletter September 2018
Spear Phishing

Den Begriff Phishing kennt vermutlich jeder.
In der letzten Zeit nimmt das Phishing im Umfeld von Unternehmen stark zu. Im Gegensatz zu Versuchen im Privatbereich, wo meist der Eindruck entsteht, dass es sich hier um Massenversuche handelt, ist das Phishing in Unternehmen sehr genau mit einer eng definierten Zielgruppe geplant.

Oft ist das Management im Visier. Schätzungen gehen davon aus, dass ca. 5% der gezielten Angriffe auf Unternehmensleitungen stattfinden. Es gibt sogar schon einen eigenen Namen dafür ‚Spear Phishing‘.

Um Spear Phishing betreiben zu können, muss vorher die Umgebung genau analysiert werden. Es werden Organigramme besorgt, Kenntnisse über den Geschäftsablauf der Firma, die Mitarbeiter werden über ihre sozialen Netzwerk-Kontakte analysiert/typisiert. Ganz wichtig ist es, E-Mail-Adressen zu sammeln.

Diese ganzen Vorbereitungen dienen erstens dazu, Mitarbeiter aufzu­spüren, denen man vielleicht einen perfekt zugeschnittenen Newsletter, ... anbieten kann. Und zweitens lohnende Ziele mit Namen zu versehen.
Beispiele:
  • Dem Verantwortlichen für Betriebssicherheit/Arbeitssicherheit wird ein angeblicher Newsletter des Deutschen Roten Kreuzes mit Unfallberichten und Tipps zur Vermeidung angeboten.
  • Beim Leiter Qualitätssicherung geht die E-Mail eines Schülers ein, der seine Facharbeit genau über das Spezialgebiet des Mannes schreibt, und diesen sehr nett und sehr höflich bittet, einen kleinen Teil seiner Arbeit zu prüfen. Diese ist als Anhang dabei.
Lässt er sich den zuschicken, geht auf die angegebene Website oder öffnet den Anhang, haben die Phisher bereits den Fuß in der Tür zum Firmen­netzwerk. Danach wird mit den bereits gesammelten Kenntnissen beispielsweise E-Mails gefälscht, um Überweisungen zu veranlassen. Oder Workstations übernommen, ... Das übliche Hacking eben.

Bevor Sie jetzt ins Grübeln kommen: Dieser Newsletter ist kein Fake.
Großes Ehrenwort
Ganz bestimmt nicht
Wir würden so etwas nie, nie tun!


Aber woher soll man das wissen? Die einzige Möglichkeit sich Spear-Phishing gegenüber zu schützen besteht im gesunden Misstrauen. Das kann durch Awareness-Schulungen der Mitarbeiter natürlich ausgebaut werden. Aber da es sich um Menschen handelt, gibt es keine 100% Lösung.


Autor: UBI

Quellen:
Heise online, Phishing-Mails.., Fabian Scherschel, abgerufen am 27.09.18
https://www.heise.de/newsticker/meldung/Phishing-Mails-auf-dem-Vormarsch-Angriffstaktiken-erklaert-4162313.html

Heise online, GOne Phishing.., Sacha Herzog, abgerufen am 27.09.18
https://www.heise.de/ix/heft/G0ne-Phishing-4140441.html

proofpoint, abgerufen am 27.09.18
https://www.proofpoint.com/sites/default/files/pfpt-us-tr-people-report-summer-2018-180904.pdf





Kontakt

Datenschutz & Datensicherheit
Juliane Billhardt
Richard-Riemerschmid-Allee 6
81241 München
Büro: +49 – (0)89–74 11 85-394
Zum Kontaktformular >>
Schreiben Sie uns eine E-Mail >>

Ihre Vorteile

Wettbewerbsvorteile durch
Datenschutz

Erfahren Sie hier, wie Datenschutz zum Erfolg Ihres Unternehmens beiträgt.
Mehr >>

Aufgaben eines Datenschutzbeauftragten

Risiken minimieren, Prozesse prüfen...
Lesen Sie mehr über die Aufgaben eines Datenschutzbeauftragten
Mehr >>