skip to content

What is Spear Phishing?

Most will have heard of “phishing”: a (mostly) fraudulent e-mail which aims to get the user to disclose user names and passwords. This kind of mail is sent to a lot of people without any regard for the recipients. Phishing is an old technique, but still a mayor concern in IT security because it works surprisingly well. Many just skim the fraudulent mail’s content, are impressed by the wording (“ACT NOW OR YOU WILL BE PROSECUTED”) and react in the way the phisherman intended by clicking the link and entering their credentials on the phishing page.

But, as every successful scam, this was developed into something even more dangerous: Spear Phishing. It’s just like phishing, but with personalised mails to hand-selected individuals. An example: a professor receives an e-mail from a real or fictional student asking her to get his thesis fact-checked. As soon as the professor opens the attached file, it installs targeted malware on her computer skimming credentials. A commented list of examples can be found here.

Why can't IT automatically filter such spear phishing emails?

Every day, a large number of spam messages and phishing attempts are automatically deleted without us noticing. But in the case of spear phishing, the automatic mechanisms are rarely effective. Why? Phishing and spam e-mails are recognised primarily because they are sent en masse. In the case of spear phishing e-mails, however, these e-mails are only sent individually and are therefore not directly recognisable as such. In addition, the senders often change their e-mail addresses. Blocking individual addresses is therefore not effective - and it certainly does not prevent such phishing attempts.

In this respect, the so-called "human firewall" is important - be careful and follow our behavioural tips in the following section.

E-Mail-Verhaltenstipps

  • Schauen Sie genau hin: Von welcher E-Mail-Adresse stammt die E-Mail? Denken Sie daran: E-Mail-Adressen können gefälscht sein! Überprüfen Sie im Zweifelsfall, ob Sie den/die Absender*in kennen und fragen Sie gegebenenfalls persönlich nach, ob die E-Mail "echt" ist.
  • Seien Sie wachsam: Öffnen Sie bei eingehenden Nachrichten keine Office- oder ZIP-Dateien, wenn Sie nicht absolut sicher sind, dass diese auch von der Person stammen, die sie vorgibt zu sein! Auch dann nicht, wenn:
    • die absendende Person Ihnen namentlich bekannt ist und
    • die Mail scheinbar eine Antwort auf bereits versendete Nachrichten ist!

  • Klicken Sie nicht "einfach" auf Links: Emotet ist sehr wandlungsfähig und versteckt sich auch hinter präparierten Links! Sobald Sie auf solch einen Link klicken, nimmt das Unheil seinen Lauf.
    • Schauen Sie genau hin: Wohin leitet der Link? Zu einer Webseite der Uni Köln? Zu dubiosen Webseiten (wie "…weight-loss...")?
    • Nutzen Sie zuerst den für Sie ungefährlichen Online-Viruscheck: https://www.virustotal.com/gui/home/url (dieser Link sollte sicher sein) Hier können Sie zunächst überprüfen, ob einer oder mehrere Online-Virusscanner die URL für ungefährlich halten.
    • Nutzen Sie die Windows-Sandbox: Hierbei handelt es sich um ein abgeschottetes Betriebssystem im Betriebssystem, auf dem ein Virus nach derzeitigem Stand keinen Schaden anrichten kann.

  • Kontaktieren Sie im Zweifel (oder wenn Sie versehentlich auf einen Link geklickt oder einen Anhang geöffnet haben) Ihre IT-Betreuung, Ihre DV-Koordination oder den RRZK-Helpdesk und fragen Sie dort um Rat.

Contact
If you have any questions or problems, please contact the RRZK-Helpdesk