50 Jahre GSI

https://www.gsi.de/fileadmin/oeffentlichkeitsarbeit/logos/01_50_Years_GSI_RGB.png

FAIR

Bei GSI entsteht das neue Beschleunigerzentrum FAIR. Erfahren Sie mehr.

https://www.gsi.de/fileadmin/_migrated/pics/FAIR_Logo_rgb.png

GSI ist Mitglied bei

https://www.gsi.de/fileadmin/oeffentlichkeitsarbeit/logos/Helmholtz-Logo_web.png

Gefördert von

BMBFHMWKMWWKTMWWDG

Außenstellen

HI-JenaHIM

Personalisierte Angriffsformen

Spear-Phishing

Neben den unpersönlichen Phishing-Mails, gibt es auch speziellere, persönliche Formen von Phishing.

Wie Spear-Phishing funktioniert

In diesem Fall schickt der Angreifer keine generalisierte Massenmail an hunderte von Empfängern in der Hoffnung, dass einige wenige darauf hereinfallen sondern sucht sich ganz bewusst einzelne Personen, die ein lohnenswertes Ziel darstellen, aus.

Mit etwas Recherche (Organigramm, soziale Netzwerke, Pressemitteilungen) gelingt es dem Angreifer einen geeigneten Arbeitskollegen der Zielperson auszudeuten und diesen als Absender der Spear-Phishing-Mail zu setzen.

Der Mailtext ist in solchen Fällen auch relativ "persoenlich" gestaltet und nimmt Bezug auf die Rolle der Zielperson in der Firma.

Wie Sie Spear-Phishing erkennen

Motiv der Angreifer ist hier seltener das Ausspähen von Anmeldedaten sondern öfter der betrügerische Versuch, das Opfer zu nicht legitimen Zahlungen oder Lieferung von Material oder Dienstleistungen zu verleiten. Hierzu wird im Mailtext meist ein Gefühl von Dringlichkeit und Vertraulichkeit vermittelt, einhergehend mit der Bitte, Kontakt nur per E-Mail zu halten.

Falls sie also eine E-Mail von Vorgesetzten oder Kollegen erhalten, welche

  1. zu nicht persönlich abgesprochenen Handlungen mit grossen finanzieller Konsequenzen auffordert (z.B. "Überweisen Sie bitte x Euro an ...")
  2. Sie um Geheimhaltung und dringende Durchführung dieses Vorgangs bittet
  3. weitere Kommunikation zu dem Thema ausschließlich via E-Mail verlangt
  4. und Sie um "kurze Dienstwege" unter dem Vorwand von Dringlichkeit oder möglicherweise mit der Androhung von personellen Konsequenzen um sofortige Ausführung bittet

gehen Sie bitte nicht einfach auf solche Forderungen ein, sondern suchen Sie persönlichen Kontakt zum Absender um sicher zu gehen, dass die Mail kein betrügerischer Versuch ist. Falls Sie Opfer eines solchen Angriffs werden oder Fragen haben, wenden Sie sich bitte an IT-Sicherheit.

Beispiel einer solchen Spear-Phishing-Mail:

Von: <Geschäftsführer>
An: <Mitarbeiter-Finanzbuchhaltung>
Betreff: Benachrichtigung

Sehr geehrter Herr <Mitarbeiter-Finanzbuchhaltung>!

Ich habe eine finanzielle Angelegenheit, die äußerst wichtig ist und höchste Diskretion verlangt.

Kann ich darauf zählen, dass Sie sich darum kümmern?

Jeglicher persönliche oder telefonische Austausch ist untersagt (wir kommunizieren ausschließlich per E-Mail).

Hochachtungsvoll
<Geschäftsführer>

Social Engineering

Beim Social Engineering nutzt der Täter den "Faktor Mensch" als vermeintlich schwächstes Glied der Sicherheitskette aus, um seine kriminelle Absicht zu verwirklichen.

CEO Fraud oder President Scam

Der CEO Fraud ist eine Betrugsmasche, bei der Firmen unter Verwendung falscher Identitäten zur Überweisung von Geld manipuliert werden.

Meist handelt es sich um gut gefälschte E-Mails, die scheinbar von einem Mitglied der Unternehmensführung stammen. Darin wird unter vermeintlich berechtigten Gründen die Überweisung hoher Geldbeträge auf eine ausländische Bankverbindung angewiesen. Es kann ebenso vorkommen, dass sogar eine Person anruft und das ganze telefonisch bestätigt. An die Informationen gelanden die Betrüger durch gezieltes Suchen im Internet oder Social Engineering.

Oft werden die ausführenden Mitarbeiter unter Zeitdruck gesetzt und auf die Geheimhaltung der Überweisung hingewiesen.