Spear-Phishing

Spear-Phishing – der gezielte Angriff

Beim sogenannten „Spear-Phishing“ handelt es sich um eine auf Social Engineering basierende Angriffsform, die gezielt auf einzelne oder sehr wenige Personen ausgelegt ist. Häufig kommen dabei individualisierte Nachrichten zum Einsatz, die umfangreiche persönliche Informationen über das potenzielle Opfer bzw. dessen Arbeitsumgebung enthalten. Dies hat zur Folge, dass die scheinbare Vertrauenswürdigkeit der Nachricht stark erhöht wird und damit die Erfolgschancen des Angreifers signifikant steigen. Erfolgen entsprechend gezielte Angriffe per Telefon, spricht man von „Vishing“ oder „Voice Phishing“. Eine weitere Unterform des Spear-Phishings wird auch als „Whaling“ bezeichnet, da hier explizit hochrangige Mitarbeiter eines Unternehmens angegriffen werden.

Alle genannten Angriffsformen zielen darauf ab, die potenziellen Opfer dazu zu bewegen, sensible Informationen oder Zugangsdaten preiszugeben bzw. Sicherheitskontrollen zu umgehen.

Spear-Phishing Szenarien als Sensibilisierungsmethode – wie wir arbeiten

Ziel eines Spear Phishing Szenario ist es, Mitarbeiter mithilfe von individualisierten Phishing E-Mails oder Telefonanrufen zu sensibilisieren. Dieses Vorgehen erschwert die Erkennung für den Teilnehmenden erheblich, gleichzeitig schränkt es die Anzahl der Mitarbeiter, die gleichzeitig sensibilisiert werden können deutlich ein. Typischerweise werden im Rahmen eines Spear-Phishing Szenarios daher nur Mitarbeiter sensibilisiert, welche Zugriff auf besonders sensible Daten haben, wie z.B. Abteilungsleiter oder Systemadministratoren.

Die Erstellung eines Spear Phishing Szenarios basiert auf einer Vielzahl von Informationen und ist damit deutlich komplexer als die Erstellung eines Bulk-Phishing Szenarios. Die Informationen können sowohl durch die audatis Cert GmbH beschafft, als auch durch den Auftraggeber bereitgestellt werden. Ersteres bildet einen authentischen externen Angriff nach, während Zweiteres den Projektaufwand deutlich reduziert.

Vor Beginn der Kampagne werden die für das beauftragende Unternehmen relevanten mitbestimmungsrechtlichen und datenschutzrechtlichen Bestimmungen gemäß Art. 39 DS GVO ermittelt, um bei der konkreten Ausführung berücksichtigt werde zu können. Anschließend wird auf Basis der zur Verfügung stehenden Informationen ein individuelles Angriffsszenario erstellt sowie dessen Zustellbarkeit und Plausibilität geprüft.

In der Durchführungsphase wird die Reaktion der Teilnehmenden auf das Szenario untersucht. Dabei wird ermittelt, ob E-Mails geöffnet wurden, Teilnehmende einem Link gefolgt sind, Benutzerdaten auf der gefälschten Website eingegeben wurden oder Mitarbeiter am Telefon sensible Informationen preisgegeben haben.

In der Auswertungsphase erstellt der Prüfer einen Bericht, welcher die Erkenntnisse der Untersuchungen zusammenfasst und das Sensibilisierungsniveau der Teilnehmenden bewertet. Die Ergebnisse werden in einem kurzen Abschlussgespräch besprochen und anschließend Schulungsmaßnahmen in Form von E-Learning und Live-Online-Schulung durchgeführt.

Haben Sie Fragen oder Beratungsbedarf?

Gerne stehen wir Ihnen in einem unverbindlichen und persönlichen Gespräch zur Verfügung.

Nehmen Sie einfach schriftlichen Kontakt mit uns auf oder rufen Sie uns an.
05221 87292-0

Wir freuen uns auf Sie.