zum Inhalt springen

Was ist Spear-Phishing?

Was Phishing ist, davon haben die meisten bereits gehört: Eine (möglicherweise gefälschte) E-Mail, deren Inhalt darauf abzieht, dass Kriminelle versuchen, an Passwörter und Zugangsdaten zu kommen. Diese Art von E-Mail wird wahllos an viele Personen versendet. Dieses Phänomen ist schon viele Jahre alt, aber immer noch aktuell, da sie gut funktioniert. Viele lesen sich nur flüchtig den Inhalt der E-Mail durch oder fühlen sich vom Inhalt unter Druck gesetzt ("Sie müssen sofort handeln, sonst wird Ihr Account gesperrt!"). Das führt dazu, dass sie auf die Nachricht reagieren und auf einer gefälschten Seite ihre Zugangsdaten eingeben.

Als weitaus gefährlicheres Vorgehen entwickelt sich momentan so genannte "Spear-Phishing". Im Gegensatz zur Vielzahl von Phishing-Mails werden beim Spear-Phishing nur E-Mails an einzelne, gut ausgesuchte Personen versendet. Beispielsweise wird eine Professorin von einem vermeintlichen Schüler angeschrieben, der sie bittet, seine Ergebnisse im Rahmen einer Facharbeit auf Brauchbarkeit oder Richtigkeit zu überprüfen. Klickt die Professorin auf den mitgesendeten Anhang, lädt im Hintergrund ein Schadcode nach, der ihren Rechner infiziert. Weitere Beispiele hat die TU München in einem Beitrag zusammengefasst und erläutert.

Warum kann die IT solche Spear-Phishing-Mails nicht automatisch filtern?

Täglich wird – ohne dass wir es mitbekommen – eine Vielzahl von Spam-Nachrichten und Phishing-Versuchen automatisiert gelöscht. Bei Spear-Phishing greifen die Automatismen aber selten. Warum? Phishing- und Spam-Mails werden vor allem erkannt, weil sie massenhaft versendet werden. Bei Spear-Phishing-Mails werden diese E-Mails jedoch nur einzeln versandt, und sind daher nicht direkt als solche erkennbar. Zudem wechseln die Absendenden häufig ihre E-Mail-Adressen. So ist das Sperren einzelner Adressen nicht zielführend – verhindert wird ein solcher Phishing-Versuch damit erst recht nicht.

Insofern ist die sogenannte "Human Firewall" wichtig – seien Sie vorsichtig und beachten Sie unsere Verhaltenstipps im folgenden Abschnitt.

E-Mail-Verhaltenstipps

  • Schauen Sie genau hin: Von welcher E-Mail-Adresse stammt die E-Mail? Denken Sie daran: E-Mail-Adressen können gefälscht sein! Überprüfen Sie im Zweifelsfall, ob Sie den/die Absender*in kennen und fragen Sie gegebenenfalls persönlich nach, ob die E-Mail "echt" ist.
  • Seien Sie wachsam: Öffnen Sie bei eingehenden Nachrichten keine Office- oder ZIP-Dateien, wenn Sie nicht absolut sicher sind, dass diese auch von der Person stammen, die sie vorgibt zu sein! Auch dann nicht, wenn:

    • die absendende Person Ihnen namentlich bekannt ist und
    • die Mail scheinbar eine Antwort auf bereits versendete Nachrichten ist!

  • Klicken Sie nicht "einfach" auf Links: Emotet ist sehr wandlungsfähig und versteckt sich auch hinter präparierten Links! Sobald Sie auf solch einen Link klicken, nimmt das Unheil seinen Lauf.

    • Schauen Sie genau hin: Wohin leitet der Link? Zu einer Webseite der Uni Köln? Zu dubiosen Webseiten (wie "…weight-loss...")?
    • Nutzen Sie zuerst den für Sie ungefährlichen Online-Viruscheck: https://www.virustotal.com/gui/home/url (dieser Link sollte sicher sein) Hier können Sie zunächst überprüfen, ob einer oder mehrere Online-Virusscanner die URL für ungefährlich halten.
    • Nutzen Sie die Windows-Sandbox: Hierbei handelt es sich um ein abgeschottetes Betriebssystem im Betriebssystem, auf dem ein Virus nach derzeitigem Stand keinen Schaden anrichten kann.

  • Kontaktieren Sie im Zweifel (oder wenn Sie versehentlich auf einen Link geklickt oder einen Anhang geöffnet haben) Ihre IT-Betreuung, Ihre DV-Koordination oder den RRZK-Helpdesk und fragen Sie dort um Rat.