In den letzten Tagen häufen sich eine spezielle Art von Angriffen gegen IT-Systeme, besser gesagt gegen bestimmte Nutzer: Sogenannte Spear Phishing Attacken sind in der Schadsoftware-Szene noch gefährlicher als die Massen-Malware - denn sie sind viel raffinierter und werden perfekt personalisiert gegen Personen eingesetzt.

Herkömmliche Phishing-Kampagnen versenden oft hunderttausende E-Mails an wahllose Adresslisten. Nach dem „Gießkannenprinzip“ wird die geringe Erfolgswahrscheinlichkeit eines Angriffs auf IT-Systeme mit der hohen Zahl der Empfänger ausgeglichen. Aber obwohl die Mails immer besser gestaltet werden und nicht mehr vor Rechtschreib- und Logikfehlern strotzen, kann oft durch gesunden Menschenverstand Schaden verhindert werden. 

Anders dagegen bei Spear Phishing Kampagnen: 

Hier sind die Empfänger der Mails hervorragend recherchiert, der Inhalt der Mail ist persönlich auf den Adressaten zugeschnitten und wirkt auf den ersten Blick viel logischer. Aber das Ziel ist das gleiche: Der Empfänger soll persönliche Daten preisgeben indem er direkt antwortet oder auf einen Link klickt. 

Im Gegensatz zu herkömmlichen Attacken richten sich Spear Phishing Mails immer an eine bestimmte Person oder ein ausgewähltes Unternehmen. Sie wirken absolut realistisch, nutzen bekannte und vertrauenswürdige Absendeadressen von Freunden, Bekannten oder Organisationen wie z.B. der Bank des Empfängers. Der eigentliche Versender der Mail ist verschleiert, aber er hat sich im Vorfeld gründlich informiert und weiß viel über sein Opfer. Die Möglichkeiten der Informationsgewinnung sind fast grenzenlos - meist bieten sich Unternehmens-Websites an oder die Social Media Plattformen. Der vermeintliche Hintergrund der Mail ist absolut plausibel, steht oft in einem direkten Zusammenhang zu Aktionen oder Ereignissen des potentiellen Opfers und ist vor allem eines: Interessant. 

Was bedeutet „interessant“? 

Menschen tendieren dazu, neugierig zu sein und stufen vermeintliche Inhalte einer Mail als mehr oder weniger informativ ein. Die alte Masche mit der Bank zieht nicht mehr so oft. wenn man bei dieser Bank kein Kunde ist - darauf fallen )hoffentlich) die wenigsten IT-Anwender mehr herein. 

Angenommen aber, man hat auf Facebook öffentlich gepostet hat, wie gut einem das 2-Sterne-Restaurant XYZ gefallen hat - und zwei Wochen später erhält man eine personalisierte Mail von der Restaurantleitung genau dieses Restaurants mit einem verlockenden Betreff „Danke für Ihren Besuch am 15.07.2017 - Wir laden Sie zur VIP-Degustation ein“ und dem Link zum Anmeldeformular, dann ist oft Neugier größer als Vorsicht. Oder wenn die Personalabteilung scheinbar versehentlich eine Mail versendet, die offensichtlich an den Abteilungseiter gehen sollte und angeblich im Anhang ein zu prüfendes Dokument mit geplanten Gehaltsanpassungen der Mitarbeiter (oder Entlassungen?) befindet, wird die Neugier oft den Verstand ersetzen. Natürlich verbirgt sich hinter dem Link oder im Dokument Schadsoftware - aber falls man das überhaupt erkennt, ist der Angriff bereits erfolgreich abgeschlossen worden.

Wie schützen Sie sich also? 

Nutzen Sie Ihren gesunden Menschenverstand: Bleiben Sie auch bei sehr persönlichen Mails, die einen allzu verlockenden Inhalt versprechen, äußerst mißtrauisch und überlegen Sie, ob der Sachverhalt denn wirklich plausibel ist. Woher hat das Restaurant Ihre Maladresse oder versendet die Personalabteilung wirklich solch vertrauliche Unterlagen einfach per Mail und macht dann so eklatante Fehler? Klicken Sie nicht auf Links ohne vorher geprüft zu haben, ob das angebliche Ziel mit der dahinterliegenden Adresse übereinstimmt. Das können Sie tun, in dem Sie mit der Maus über den Link fahren ohne ihn anzuklicken: Ihr Maulsystem wird dann die „echte“ URL anzeigen, genauso ein Browser (in der unteren Statuszeile). 

Haben Sie Zweifel an der Echtheit der Mail, wenden Sie sich direkt an den vermeintlichen Absender: Nutzen Sie dazu nicht die Antwortfunktion, denn die Adresse könnte ebenfalls verschleiert sein - sie denken und sehen nicht, dass Sie an eine völlig andere Adresse antworten. Nutzen Sie stattdessen Ihr Adressbuch - oder in gravierenden Fällen zur Not das Telefon. 

Wir beraten Sie!

Fühlen Sie sich unsicher oder wollen Sie mehr für die Sicherheit Ihrer IT-Systeme tun? Nutzen Sie unsere Beratung und lassen sich informieren. Unsere IT-Experten geben Ihnen wichtige Hinweise zur Optimierung Ihrer EDV-Systeme und zur Verbesserung der System-Sicherheit. 

Außerdem bieten wir Ihnen und Ihrem Unternehmen IT-Schulungen zum Thema Awareness, also zur Sensibilisierung und Erhöhung des Sicherheitsempfindens Ihrer Mitarbeiter an. Wir führen darüber hinaus auch sogenannte Phishing-Kampagnen durch, bei denen wir in Ihrem Auftrag (harmlose) aber funktionell wirksame Attacken gegen Ihre Systeme und Anwender führen. Sie können anhand der Ergebnisse beurteilen, ob Ihre IT-Sicherheit in Sachen „Faktor Mensch“ bereits sehr hoch oder aber verbesserungswürdig ist. 

Natürlich ist das Thema Sicherheit und Security-Softeware modularer Bestandteil unseres Managed-Services ServicePLUS: Flexibel und auf jede IT-Umgebung und EDV-Infrastruktur anpassbar bieten Ihnen ServicePLUS den perfekten IT-Service eine externen EDV-Abteilung. Enthalten sind z.B. auf Anti-Malware- und Antivirus-Lösungen und vor allem die ständige Kontrolle dieser Systeme auf Aktualisierung und Funktion.

Die Comp4U GmbH ist Experte für IT-Service und EDV-Sicherheit. Wir beraten Sie ganzheitlich und über den Tellerrand der EDV hinaus. Sprechen Sie mit uns und seien Sie sicher.