Spear Phishing ist eine besondere Variante des Phishing, bei der große Gesellschaften und KMUs anvisiert werden, und insbesondere deren Finanzabteilungen. Diese Angriffe haben sich in den letzten Monaten in Luxemburg stark gehäuft.

Aus einem aktuellen Bericht der Kriminalpolizei geht hervor, dass mehr als 200 Millionen Euro seit 2010 auf diese Weise gestohlen wurden.
Technisch gesehen ist ein Spear-Phishing-Angriff sehr simpel. Es bedarf lediglich etwas Schauspieltalent, um dem Opfer eine falsche Identität vorzugaukeln. Außerdem müssen im Vorfeld gründliche Recherchen durchgeführt werden, um genügend Details über die Zielperson zu kennen und Dokumente erstellen zu können, die glaubhaft wirken.

Präzises Social Engineering

Der Spear-Phisher ist ein Experte im Social Engineering. Er nimmt das Zielunternehmen und dessen Umgebung genauestens unter die Lupe. Dies geht von den offiziellen Statuten über die interne Kommunikation, Bankkonten, Organigramme, Protokolle der General- und Vorstandsversammlungen bis hin zu den Mitarbeiterdaten. Es erlaubt dem Angreifer, sich mit dem internen Vokabular vertraut zu machen und vereinfacht sein Verständnis für die Philosophie und Strategie des Unternehmens.
„Nach der Recherche-Arbeit erfolgt ein minutiös geplanter Angriff. In der Regel beginnt er damit, dass der Angreifer sich als Präsident oder Generaldirektor des Unternehmens ausgibt, und in dessen Namen Dokumente an einen Mitarbeiter der Buchhaltung oder Finanzverwaltung schickt. Der falsche „Präsident“ übt Druck auf den Mitarbeiter aus und veranlasst ihn, einen dringenden Fond-Transfer auf asiatische, englische, polnische oder zypriotische Konten zu machen. Die dafür genannten Gründe reichen von „Sie müssen das Bannkonto eines Lieferanten ändern“ bis hin zu „die geschuldete Zahlung deckt eine einmalige Transaktion ab““, erklärt Alexandre Dulaunoy von CIRCL. Hinzu kommt, dass die Angreifer sich immer öfter Domäne-Namen zulegen, die denen der anvisierten Unternehmen sehr stark ähneln. „Anders als bei gefälschten Phishing-Mails, die wir aus der Vergangenheit kennen, erlaubt diese neue Methode dem Angreifer die direkte Kommunikation und eine psychische Unter-Druck-Setzung seines Opfers über E-Mail und Telefon“, fasst Alexandre Dulaunoy zusammen.

Die falschen Präsidenten entlarven

Um Angriffe dieser Art zu verhindern, empfiehlt CIRCL die Einhaltung folgender Maßnahmen:

• Führen Sie regelmäßig Schulungen und Sensibilisierungskampagnen im Bereich der Informationssicherheit durch, um sicherzustellen, dass Ihr Personal diese Art von Angriffen kennt.
• Vergewissern Sie sich, dass die Buchhaltung bei Überweisungen und besonders bei internationalen Transfers, die Verifizierungsprozedur genau einhält.
• Überprüfen Sie die Prozedur der elektronischen Unterschrift bei solchen Überweisungen.
• Erhöhen Sie die Kontrollstufe wenn neue Bankkoordinaten gespeichert werden.
• Überprüfen Sie die E-Mail-Adressen des Absenders und gleichen Sie sie mit den „reply-to-Adressen“ ab.
• Im Zweifelsfall oder bei verdächtigen E-Mails müssen Mitarbeiter sich an den Zuständigen für Informationssicherheit in ihrem Unternehmen wenden bzw das nationale CERT kontaktieren. 
• Leiten Sie suspekte E-Mails (inklusive Betreffzeile) an Ihre Abteilung für Informationssicherheit oder an das nationale CERT weiter.

Wie sollte man bei einem Zwischenfall reagieren?

Wenn Sie Opfer eines Spear-Phishing-Angriffs wurden, rät CIRCL zu folgenden Maßnahmen:

• Kontaktieren Sie sofort die Bank Ihres Unternehmens sowie die Bank, auf welche die Überweisung getätigt wurde, um sie zu stoppen.
• Erstatten Sie Anzeige bei der Polizei.
• Kontaktieren Sie CIRCL, falls Sie technische Unterstützung oder Tipps zum Umgang mit EDV-Zwischenfällen benötigen.

„Nachdem wir bereits in der Vergangenheit mit ähnlichen Zwischenfällen zu tun hatten, wissen wir, dass die Zeit drängt“, erklärt ein Netzwerk- und Sicherheitstechniker einer Firma mit Sitz in Luxemburg. „Sobald einer unserer Mitarbeiter etwas Ungewöhnliches sieht, führen wir sofort eine Extrahierung der Indikatoren (SMTP-Kopfzeilen oder E-Mail-Adressen) durch. In diesem konkreten Fall haben wir unsere internen Logs überprüft, um herauszufinden, ob der Dieb noch weitere Mitarbeiter innerhalb unseres Unternehmens versucht hatte zu erreichen. Der Kontakt mit CIRCL hat uns dabei geholfen, eine Verknüpfung zwischen mehreren Indikatoren von anderen Zielpersonen herzustellen. CIRCL hat uns beim Abbau des Servers unterstützt, über den der Angriff ausgeführt wurde“, so der Sicherheitstechniker.