Newsletter September 2018
Spear Phishing
Den Begriff Phishing kennt vermutlich jeder.
In der letzten Zeit nimmt das Phishing im Umfeld von Unternehmen stark zu. Im Gegensatz zu Versuchen im Privatbereich, wo meist der Eindruck entsteht, dass es sich hier um Massenversuche handelt, ist das Phishing in Unternehmen sehr genau mit einer eng definierten Zielgruppe geplant.
Oft ist das Management im Visier. Schätzungen gehen davon aus, dass ca. 5% der gezielten Angriffe auf Unternehmensleitungen stattfinden. Es gibt sogar schon einen eigenen Namen dafür ‚Spear Phishing‘.
Um Spear Phishing betreiben zu können, muss vorher die Umgebung genau analysiert werden. Es werden Organigramme besorgt, Kenntnisse über den Geschäftsablauf der Firma, die Mitarbeiter werden über ihre sozialen Netzwerk-Kontakte analysiert/typisiert. Ganz wichtig ist es, E-Mail-Adressen zu sammeln.
Diese ganzen Vorbereitungen dienen erstens dazu, Mitarbeiter aufzuspüren, denen man vielleicht einen perfekt zugeschnittenen Newsletter, ... anbieten kann. Und zweitens lohnende Ziele mit Namen zu versehen.
Beispiele:
- Dem Verantwortlichen für Betriebssicherheit/Arbeitssicherheit wird ein angeblicher Newsletter des Deutschen Roten Kreuzes mit Unfallberichten und Tipps zur Vermeidung angeboten.
- Beim Leiter Qualitätssicherung geht die E-Mail eines Schülers ein, der seine Facharbeit genau über das Spezialgebiet des Mannes schreibt, und diesen sehr nett und sehr höflich bittet, einen kleinen Teil seiner Arbeit zu prüfen. Diese ist als Anhang dabei.
Bevor Sie jetzt ins Grübeln kommen: Dieser Newsletter ist kein Fake.
Großes Ehrenwort
Ganz bestimmt nicht
Wir würden so etwas nie, nie tun!
Aber woher soll man das wissen? Die einzige Möglichkeit sich Spear-Phishing gegenüber zu schützen besteht im gesunden Misstrauen. Das kann durch Awareness-Schulungen der Mitarbeiter natürlich ausgebaut werden. Aber da es sich um Menschen handelt, gibt es keine 100% Lösung.
Autor: UBI
Quellen:
Heise online, Phishing-Mails.., Fabian Scherschel, abgerufen am 27.09.18
https://www.heise.de/newsticker/meldung/Phishing-Mails-auf-dem-Vormarsch-Angriffstaktiken-erklaert-4162313.html
Heise online, GOne Phishing.., Sacha Herzog, abgerufen am 27.09.18
https://www.heise.de/ix/heft/G0ne-Phishing-4140441.html
proofpoint, abgerufen am 27.09.18
https://www.proofpoint.com/sites/default/files/pfpt-us-tr-people-report-summer-2018-180904.pdf