Spear-Phisher leben von der Vertrautheit mit den Daten ihrer Opfer: Sie kennen deren Namen, deren E-Mail-Adresse und vieles mehr. Mit Vorliebe scannen die Täter Profile in sozialen Netzwerken wie Facebook auf persönliche Interessen ab, um sich dann gezielt an ihre Opfer wenden zu können – mit persönlicher Anrede oder etwa einem Verweis auf einen "gemeinsamen Freund".
"Da die E-Mail von einem Bekannten oder Freund zu stammen scheint, sind viele Nutzer weniger achtsam und geben die angeforderten Informationen preis. Und wenn es sich um ein Unternehmen handelt, das auf sofortige Maßnahmen drängt, handeln sie vielleicht, ohne nachzudenken", warnt Symantec vor den Gefahren des Spear-Phishing.
Wer darauf hereinfällt, zahlt
Selbst ein vermeintlich belangloses Posting in einem sozialen Netzwerk über eine kürzlich bei einem Online-Händler gekaufte Kamera wissen die Cyberkriminellen dem Sicherheitsanbieter zufolge auszunutzen. So könnten die Cyberkriminellen sich etwa als Mitarbeiter des Online-Händlers ausgeben und den Nutzer zum Zurücksetzen seines Kennworts oder erneuten Verifizieren seiner Kreditkartennummer auffordern.
Die Mails, die mit einem Link zu mit Schadsoftware verseuchten Websites versehen sind, erscheinen völlig legitim und können auf diese Weise herkömmliche E-Mail-Sicherheitslösungen sowie den prüfenden Blick der Empfänger oftmals problemlos umgehen. Wer darauf hereinfällt, zahlt.
Vorsicht bei Fragen nach Kennwörtern
Wer von einem "Freund" per E-Mail nach einem Kennwort oder anderen Informationen gefragt wird, sollte diesen daher sicherheitshalber anrufen oder in einer separaten E-Mail - also nicht einfach auf "Antworten" klicken - kontaktieren. "Nur so können Sie sicher sein, dass dieser Freund auch wirklich die Person ist, die Sie kontaktiert hat. Das Gleiche gilt für Banken und Unternehmen."
Letztere werden prinzipiell niemals sensible Informationen wie Kennwörter oder Kontonummern per E-Mail oder Telefon abfragen. Bestehen Zweifel an der Echtheit einer Mail, lohnt oftmals der Besuch der Website des Geldinstituts: Die meisten Banken warnen dort vor aktuellen Bedrohungen oder verweisen auf eine E-Mail-Adresse, an die Nutzer verdächtige E-Mails zur Verifizierung weiterleiten können.
Phishing-Test: Hätten Sie die Gefahr erkannt?
Wie schwer es jedoch mitunter sein kann, Original und Fälschung auseinanderzuhalten, zeigt ein kostenloser Online-Test des Sicherheitsanbieters Websense zum Thema Spear-Phishing. Unter dem Titel "Operation Spear Phish" sind Nutzer dazu eingeladen, ihre Fähigkeit zur Identifizierung der gefälschten Nachrichten anhand von sechs Beispielen unter Beweis zu stellen.
In einer abschließenden Auswertung erfahren Nutzer, woran sich die Spear-Phishing-Mails erkennen lassen. Besonders Eifrige können ihr Testergebnis im Anschluss auch per Twitter teilen, um es mit jenem von Freunden zu vergleichen.
Kommentare
Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.
Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.
Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.