Sieben Beispiele für Spear-Phishing-Angriffe

    Das Jahr 2022 ist noch nicht vorbei, aber es wurden bereits über 255 Millionen Phishing-Angriffe gemeldet. Beängstigend, oder?

    Angesichts von mehr als zehn Varianten von Phishing-Angriffen und noch ausgefeilteren Techniken ist es von entscheidender Bedeutung, diese Art von Internetkriminalität zu verstehen und zu verhindern. Dieser Artikel konzentriert sich auf Beispiele und Arten von Spear-Phishing.

    Spear-Phishing ist eine Kampagne, die auf eine bestimmte Person, Gruppe oder Organisation abzielt. Zu den typischen Absichten gehören der Diebstahl von Daten für böswillige Aktivitäten, die Verbreitung von Malware und die Schädigung einer Organisation.

    Wussten Sie, dass die meisten Spear-Phisher zur selben Zeit wie ihre Opfer arbeiten, um eine schnelle Antwort zu erhalten? Es kann aber auch sein, dass sie E-Mails oder Nachrichten am Wochenende verschicken, wenn Sie eher mit Freunden und Familie beschäftigt sind. Sie gestalten sie so, dass Sie der Aufforderung nachkommen, ohne die Warnsignale zu lesen oder zu überdenken.

    Lesen Sie also die unten aufgeführten Beispiele für Spear-Phishing, um die Warnsignale zu erkennen.

    Arten von Spear-Phishing

    Gezielte Spear-Phishing-Angriffe nehmen an Umfang und Komplexität zu und haben immer größere Auswirkungen auf Unternehmen. Bedrohungsakteure gestalten Phishing-E-Mails so, dass sie die Sicherheitsprüfungen passieren und aussehen, als kämen sie von einem legitimen Absender.

    Diese E-Mail-Angriffe werden in drei Hauptkategorien eingeteilt. Wir haben auch einige Beispiele für Spear-Phishing aus der Praxis beigefügt.

    Business Email Compromise

    Nach Angaben des FBI beliefen sich die durch BEC-Angriffe verursachten Gesamtverluste im Jahr 2020 auf satte 1,8 Milliarden Dollar!

    Bei der Kompromittierung von geschäftlichen E-Mails (Business Email Compromise, BEC) zielen Cyber-Akteure auf ein Unternehmen ab, um es zu betrügen und potenzielle Verluste in Milliardenhöhe zu verursachen. Unabhängig von der Größe und Kapazität ist dies ein weit verbreitetes Problem in vielen Branchen und Organisationen.

    Bei einem BEC-Angriff gibt sich ein Hacker als jemand aus, den Sie kennen (in der Regel ein Kollege, Chef, Lieferant oder Mitarbeiter), und sendet Anfragen zur Überweisung von Geld, zur Umleitung von Gehaltsabrechnungen, zur Änderung von Bankdaten für künftige Zahlungen usw. Diese Angriffe sind schwer zu erkennen, da sie keine Malware oder bösartige Links verwenden.

    Praxisbeispiel für Spear-Phishing Nr. 1: BEC-Angriff auf Google und Facebook im Wert von 122 Millionen Dollar

    Zwischen 2013 und 2015 gab sich Evaldas Rimasauskas als taiwanesischer Hardware-Lieferant Quanta Computer aus, dessen Dienste von zwei Tech-Giganten, Google und Facebook, in Anspruch genommen wurden. Er schickte diesen Unternehmen fast drei Jahre lang gefälschte Rechnungen im Wert von 122 Mio. USD (99 Mio. USD an Google und 23 Mio. USD an Facebook), bis er verhaftet und für 30 Jahre ins Gefängnis gesteckt wurde.

    Whaling

    Beim Whaling greifen böswillige Akteure leitende Mitarbeiter wie CEOs oder CFOs an, um an sensible, für ihr Unternehmen wichtige Daten zu gelangen. Sie können auch Mitarbeiter auf niedrigerer Ebene manipulieren, um Überweisungen von hohem Wert zu genehmigen.

    Wie bei der Kompromittierung von geschäftlichen E-Mails ist es schwierig, Whaling-Angriffe zu erkennen, da sie legitim erscheinen und die Opfer nicht dazu auffordern, auf bösartige Links zu klicken. Der beste Weg, diese Angriffe zu vermeiden, besteht darin, das Managementpersonal in Sachen Informationssicherheit zu schulen. Finanzielle oder informationelle Anfragen sollten ebenfalls direkt bestätigt werden.

    Praxisbeispiel für Spear-Phishing Nr. 2: CEO von FACC wegen Beteiligung an Whaling-Angriff gefeuert

    FACC, ein österreichischer Hersteller von Luft- und Raumfahrtprodukten, verlor bei einem Whaling-Angriff 50 Millionen Euro und entließ später seinen Vorstandsvorsitzenden Walter Stephan und andere Mitarbeiter wegen dieses Vorfalls. Die Betrüger gaben sich als leitende Angestellte oder Finanzbeamte aus, um die Opfer dazu zu bringen, eine hohe Summe von den Konten des Unternehmens auf ihre Konten zu überweisen.

    CEO-Betrug

    CEO-Betrug ist ein Betrug, bei dem Phisher die E-Mail-Konten eines Unternehmens fälschen und sich als leitende Angestellte (in der Regel aus der Buchhaltung oder der Personalabteilung) ausgeben, um den CEO des Unternehmens zu täuschen. Sie bringen sie dazu, unbefugte Überweisungen vorzunehmen oder vertrauliche Informationen über Bankgeschäfte, Steuern usw. weiterzugeben.

    Bedrohungsakteure versuchen soziale Techniken wie das Spoofing von Anzeigenamen, bei dem unterschiedliche E-Mail-Adressen, aber derselbe Anzeigename verwendet werden. Dieser Trick funktioniert oft, weil E-Mail-Anbieter die E-Mail-Adresse des Absenders auf mobilen Geräten nicht standardmäßig anzeigen.  

    Eine andere Taktik ist das E-Mail-Spoofing, bei dem die Hacker sowohl den Namen des Geschäftsführers als auch die richtige E-Mail-Adresse verwenden. Die Hacker verwenden eine andere Antwortadresse, so dass die Antwort-E-Mail an sie geht.

    Praxisbeispiel für Spear-Phishing Nr. 3: CEO-Betrug bei französischem Kino Pathé kostet 19,2 Millionen Euro

    Ein weiteres berüchtigtes Beispiel für Spear-Phishing-E-Mails ist der Verlust von 19,2 Millionen Euro bei der führenden französischen Kinogruppe Pathé, als mehrere E-Mails vom persönlichen Konto des Vorstandsvorsitzenden Marc Lacan verschickt wurden. In den E-Mails wurde darum gebeten, die Summe in vier Tranchen an Towering Stars General Trading LLC in Dubai zu überweisen. Nach diesem Vorfall trat Lacan von seinem Posten zurück.

    4 weitere Spear-Phishing-Beispiele

    Sie denken vielleicht, dass es einfach ist, Speer-Phishing-Angriffe zu erkennen und zu verhindern, aber das ist nicht der Fall. Die Betrüger werden bei der Planung und Durchführung von Cyberangriffen immer raffinierter und organisierter. Wir haben vier Spear-Phishing-Beispiele zusammengestellt, die Ihnen helfen, ihre Taktiken zu verstehen.

    Nr. 1: Gefälschte E-Mails verursachen Verlust von 46,7 Millionen Dollar bei Ubiquiti Networks Inc.

    Ubiquiti Networks Inc., ein amerikanisches Unternehmen für Netzwerktechnologie, wurde Opfer von Spear-Phishing, als seine Mitarbeiter von Hackern ausgetrickst wurden. Die Angreifer gaben sich als ein externes Unternehmen und einige hochrangige Mitarbeiter aus. Sie hatten es auf das Finanzteam abgesehen und forderten Überweisungen in Höhe von 46,7 Millionen Dollar.

    Der Prüfungsausschuss des Unternehmens und externe Berater stellten erhebliche Schwachstellen in den internen Kontrollen von Ubiquiti hinsichtlich der Finanzberichterstattung fest. Auch der CFO trat zurück.

    Dieser niederschmetternde Vorfall zeigt, wie einfach es für Bedrohungsakteure geworden ist, eine Person zu imitieren. Sie nutzen Informationen, die im Internet leicht verfügbar sind, um realistische gefälschte E-Mails zu erstellen.

    Nr. 2: Angreifer schicken gut gestaltete E-Mails an Junior-Level-Mitarbeiter von EMC Corp, um Zero-Day-Exploit zu initiieren

    Ein weiteres haarsträubendes Spear-Phishing-Beispiel betraf die RSA-Sicherheitsgruppe von EMC Corp, dem Giganten für Cloud Computing und Big Data. Im Jahr 2011 wurde RSA zur Zielscheibe, als Hacker eine Flash-Datei verwendeten, die heimlich in eine Excel-Datei im Anhang einer E-Mail eingebettet war. Der Anhang trug den Namen „2011 Recruitment Plan“ und wurde an eine kleine Gruppe von Mitarbeitern der unteren Führungsebene geschickt.

    Die Hacker nutzten eine damals noch unbekannte Adobe-Zero-Day-Schwachstelle, um ein Remote Administration Tool (RAT) auf den Computern der Opfer zu installieren. Dieser Vorfall zeigt zweifelsohne, dass Schulungen zur Cybersicherheit und die Sensibilisierung der Mitarbeiter von entscheidender Bedeutung sind.

    Nr. 3: Gefälschte Rechnungen über 8,7 Millionen Dollar führen zur Schließung eines Hedgefonds in Sydney

    Im November 2020 erhielt der Mitbegründer des australischen Hedgefonds Levitas Capital eine E-Mail mit einem gefälschten Zoom-Meeting-Link. Über den Link wurde Schadsoftware eingeschleust, die es den Hackern ermöglichte, gefälschte E-Mails und Rechnungen im Gesamtwert von 8,7 Millionen US-Dollar zu versenden. Während die Betrüger nur 800.000 Dollar erbeuten konnten, wurde der Hedge-Fonds nach dem Angriff geschlossen.

    Nr. 4: Regierung von Puerto Rico wird Opfer eines Spear-Phishing-Angriffs, bei dem über 4 Millionen Dollar gestohlen werden

    Im Jahr 2019 hackten Betrüger den Computer eines Mitarbeiters der Finanzabteilung und schickten E-Mails an mehrere Regierungsbehörden, in denen sie eine Änderung der Bankkonten vorgaben. Zwei Behörden kamen der Aufforderung nach, von denen eine im Dezember 63.000 Dollar und im Januar mehr als 2,6 Millionen Dollar verlor, während die andere im Januar 1,5 Millionen Dollar überwies.

    Dieses Beispiel von Spear-Phishing-E-Mails beweist, dass auch private Unternehmen und staatliche Stellen ihre Mitarbeiter darin schulen sollten, Warnsignale zu erkennen und derartige Anfragen nur nach persönlicher Bestätigung zu bearbeiten.

    Fazit

    Spear-Phishing ist eine gängige Methode zur Datenschutzverletzung, die eine echte Bedrohung darstellt, da sie Sicherheitsfilter umgehen kann. Die beste Präventivmaßnahme ist es, sich und seine Mitarbeiter in Sachen Cyberhygiene zu schulen.

    Aus den obigen Spear-Phishing-Beispielen geht hervor, wie wichtig es ist, Maßnahmen zum Blockieren, Filtern und Markieren verdächtiger E-Mails zu ergreifen. Achten Sie auch auf seltsame und dubiose E-Mail-Anfragen von Kollegen, Vorgesetzten, Banken, Händlern usw. Nutzen Sie unseren kostenlosen Phishing-URL-Checker, der Ihnen in Echtzeit Ergebnisse liefert, mit denen Sie feststellen können, ob die URL in einer E-Mail legitim ist oder ein Phishing-Link.