Independent Competence Platform
for Integrated Security in Switzerland.

11.01.2018
by: Dr. Thomas Schlienger -TreeSolution Consulting GmbH

Spear PHISHING

Lorenzo Andretta und Dr. Thomas Schlienger, TreeSolution Consulting GmbH

Seit es Computer-E-Mails gibt, werden wir mit Spam überflutet. Eine besonders bösartige Form von Spam ist Phishing – der Versuch, mit privaten Spam-Nachrichten Informationen durch Täuschung und Social Engineering zu extrahieren.

Die überwiegende Mehrheit dieser E-Mails wird von den meisten erkannt. Oft machen die Absender dieser E-Mails dies absichtlich offensichtlich, nur um die leichtgläubigsten der Empfänger einzufangen.
Einige sind aber geschickt verfasst und werden gezielt versendet. Diese E-Mails nennen wir «Spear Phishing».

Während einige Spammer ihre Netze breit streuen, in der Hoffnung einen zufälligen Fisch zu fangen, zielen Spear Phisher auf einen ganz bestimmten Fisch.

Ein Spam-/Phishing-Absender hat in der Regel nur die E-Mail-Adresse des Empfängers, die er verwenden kann. Er setzt auf Massen-E-Mails, um evtl. eine Antwort von einem winzigen Bruchteil der Empfänger zu erhalten.

Ein Spear Phisher hingegen identifiziert sein Ziel zuerst, sammelt Informationen um seinen Angriff vorzubereiten und durchzuführen. Informationen wie Namen von Führungskräften, Bankverbindungen, Kontaktdaten, Adressen und Telefonnummern; all diese sind üblicherweise auf den Websites der jeweiligen Firmen einsehbar. Pressemitteilungen, LinkedIn oder Facebook Profile und Internetrecherchen können viele Details über ein Ziel ans Tageslicht befördern.

Die E-Mail-Adresse eines Absenders zu fälschen (spoof) ist ein triviales Unterfangen. Mit den gesammelten Informationen ist es für den Angreifer einfach, seine E-Mail spezifisch für den Empfänger auf präzise Weise vorzubereiten.

In letzter Zeit konnten wir eine Häufung solcher Angriffe beobachten. Diese voll automatisiert zu stoppen ist sehr schwierig. Die folgenden Muster tauchen immer wieder auf:

  • Die E-Mails werden von kompromittierten Unternehmens-Computern gesendet, die zuvor nie für Spam oder Phishing Attacken verwendet wurden, nicht in irgendwelchen schwarzen Listen geführt werden und noch einen „guten Ruf“ besitzen.
    Wenn man sich so viel Mühe macht, einen gezielten Angriff durchzuführen, ist es trivial sicherzustellen, dass die Adresse von der aus gesendet wird, auch sauber ist.

  • Die Absender von Führungskräften in der Zielgesellschaft werden gefälscht. Die meisten Mail-Programme verwenden „smart addressing“, sie zeigen nicht die gesamte E-Mail-Adresse, sondern nur den Namen.  „Franz Muster“ anstatt franz.muster@acme.com.
    Beim Antworten auf solche eine E-Mail wird nur der Name angezeigt, nicht die ganze E-Mail-Adresse.

  • Die Absender-Adressen sind Wegwerf-Adressen von kostenlosen Webmail Anbietern (Gmail, Yahoo, Outlook.com etc.). Angreifer vermeiden es, eine richtige E-Mail-Adresse der Zieldomäne zu verwenden. Weil a) mit bspw. Gmail können sie Bestätigungsanfragen abfangen und b) sie können Probleme mit dem SPF (Sender Policy Framework, Teil der Spam-Filter Infrastruktur) auf der Zieldomäne vermeiden.

  • Die Empfänger sind valide Konten, bspw. wie HR Mitarbeiter der Zielgesellschaft. Hier wird der volle Name mit der entsprechenden E-Mail-Adresse verwendet.

  • Die Nachrichten sind perfekt verfasst und verwenden die richtigen Namen für die Begrüssung und Verabschiedung. Oft wird auch die Kurzform des Namens verwendet, um die Täuschung echter erscheinen zu lassen, z. B. Tom anstatt Thomas.

  • Die Nachrichten enthalten meistens entweder Anfragen für Informationen oder Anweisungen zur Durchführung einer Bank-Überweisung an einen fiktiven, aber glaubwürdigen Lieferanten.

Sich gegen solche Angriffe zu verteidigen ist keineswegs trivial. E-Mail-Scanning auf Malware, Spam, bekannte Phishing-Muster und Durchsetzung der Sicherheitsrichtlinien, kann einen gewissen Beitrag zur Verteidigung leisten.

Diese E-Mails werden speziell manuell erstellt, um solche Filter zu umgehen. Die effektivste Verteidigung ist die Sensibilisierung der Benutzer (insbesondere für Schlüsselpersonen in Ihrer Organisation, z. B. solche, die auf der Unternehmenswebsite aufgeführt sind). Die Nutzer müssen geschult werden, alle E-Mails kritisch zu hinterfragen sowie die Möglichkeiten der Mailprogramme zu nutzen, um in der Kopfzeile zu prüfen, wer der wirkliche Absender ist.


Security-Finder Schweiz: Newsletter