
Am 11. Mai warnte Microsoft auf dem Twitter-Account “Microsoft Cybersecurity Intelligence“ vor einer speziell auf Fluggesellschaften und Reiseunternehmen ausgerichteten Cyberangriffskampagne. Nach Angaben des Redmonder Unternehmens sei es Hackern gelungen, Anmeldedaten zu stehlen, Screenshots zu erstellen und auf Webcams zuzugreifen. Zudem gelangten die Cyberkriminellen in den Besitz von Browser- sowie Netzwerkdaten und extrahierten zahlreiche weitere Informationen. Hierbei kam laut Microsoft Spear-Phishing zum Einsatz.
Spear-Phishing
Diese Technik erfreut sich immer größerer Beliebtheit und wird laut einschlägiger Studien von mittlerweile 65 Prozent aller für Hacking-Angriffe verantwortlichen Gruppen eingesetzt – mit Erfolg. Betroffene Unternehmen mussten in der Vergangenheit zum Teil herbe Verluste hinnehmen, bestes Beispiel ist der 100-Millionen-Dollar-Betrug, dem die Giganten Facebook und Google zum Opfer fielen. Wir sprechen also von einer ernsthaften Bedrohung für Organisationen jeder Größe und Branche.
Spear-Phishing hat in der Regel eine höhere Erfolgsquote als „normales“ E-Mail-Phishing, bei dem Hacker eine legitime Identität oder Organisation als Absender vortäuschen und betrügerische Massen-E-Mails an so viele Adressen wie möglich verschicken. Im Gegensatz dazu erfordern Spear-Phishing-Angriffe mehr Aufwand, da sie speziell auf eine Person oder Organisation ausgerichtet sind. Die Ansprache ist üblicherweise deutlich individueller und detaillierter gestaltet, wodurch es meist schwierig ist, die Betrugsabsicht sofort zu erkennen. Zudem geben sich die Angreifer nicht selten als Kollege oder sogar Chef (in dem Fall ist die Rede vom sogenannten CEO-Fraud) bzw. als Lieferant oder Kunde aus.
Im von Microsoft dargestellten Szenario öffneten die Mitarbeiter der adressierten Organisationen Dateien, die sich angeblich auf Flugzeugfracht bezogen. Sie dachten, sie würden auf ein PDF-Dokument zugreifen, aber in Wirklichkeit öffneten sie eine Image-Datei, in die ein versteckter Link eingebettet war, der den Download von bösartigen VBScript-Code auslöste. Sobald dies geschehen, wurde Malware auf ihre Systeme geladen.

Muster der Phishing-E-Mail, die die Cyberangreifer in ihrer Kampagne verwendeten (Quelle: Microsoft Security Intelligence).
Um die Kontrolle über die Zielsysteme aus der Ferne übernehmen zu können, setzten die Hacker Remote-Access-Trojaner (RAT) ein. Diese stellten die Verbindung zu dynamischen, in den Händen der Cyberkriminellen befindlichen Servern her und nutzten anschließend verschiedene dateilose Techniken, um mehr Code herunterzuladen oder zu injizieren, wodurch sich die Zugriffsmöglichkeiten – auf beispielsweise Netzwerkdaten – zusätzlich erweiterten. Hierbei wurde als Werkzeug der Loader „Snip3“ verwendet.
Was den Microsoft-Analysten ebenfalls auffiel: Der Zugriff auf die extrahierten Daten erfolgte hauptsächlich über den SMTP-Port 587, was in diesem Angriffsszenario durchaus Sinn macht. Schließlich geht es um ein Standardprotokoll für den Versand und Empfang von E-Mails. Eigentlich gilt dieser Port als sicher, da sich E-Mails aufgrund der unterstützten TLS-Verschlüsselung nur schwer von Dritten abgefangen oder öffnen lassen. Doch wie das Beispiel zeigt, kann dieses Sicherheitsempfinden trügerisch sein. Malware ist immer noch in der Lage, das Ziel zu erreichen – insbesondere, wenn die vom Spear-Phishing getäuschten Opfer dem Trojaner selbst die Tür öffnen.
Sicherheit basiert auf Zusammenspiel von Mensch und Technologie
Um das Risiko eines erfolgreichen Cyberangriffs zu schmälern, sind gute IT-Sicherheitspraktiken auf Unternehmensseite unerlässlich. Wenn Mitarbeiter wissen, wie sie zwischen Phishing-E-Mails und legitimen E-Mails unterscheiden können, werden sie die gefälschten nicht öffnen und Cyberkriminellen stehen weit weniger Möglichkeiten zur Verfügung, um in die Systeme einer Organisation einzudringen.
Hinsichtlich des Schutzes vor Massen-Phishing-Kampagnen zeigen entsprechende Mitarbeiter-Schulungen meist schnell Wirkung, da sich einschlägige E-Mails üblicherweise einfach erkennen lassen (z. B. aufgrund unbekannter Absender oder falsch geschriebener Texte). Bei der Bekämpfung von Spear-Phishing gestaltet sich die Lage aufgrund der weitaus ausgefeilteren Täuschungstaktiken schon schwieriger.
Von daher sollte nicht nur auf Initiativen zur Mitarbeiter-Sensibilisierung gesetzt werden. Gleichzeitig zählt die Unterstützung durch moderne Technologien. Fälle wie dieser zeigen, wie wichtig es ist, Unternehmen Sicherheitslösungen zur Verfügung stellen, die umfassenden Schutz bieten. Die WatchGuard Firebox-Plattformgewährleistet solch weitreichende Sicherheit auf Basis virtueller oder physischer Firewalls, fortschrittlichem SD-WAN, Content Inspection für HTTPS und vollständiger Netzwerktransparenz per WatchGuard Cloud Visibility. Anwender haben dabei die Wahl zwischen mehr als 100 Dashboards und Berichten, die es ermöglichen, alle Aktivitäten anzuzeigen, Anomalien zu erkennen und schnell Maßnahmen zur Abwehr von Bedrohungen zu ergreifen. Übergriffe wie der von Microsoft beschriebene werden dadurch viel unwahrscheinlicher.
Zum WatchGuard Blog
Fachartikel

Kubernetes und Container im Visier: Die aktuelle Bedrohungslage im Überblick

Forscher entdecken universellen Trick zur Umgehung von Sicherheitsvorgaben bei KI-Chatbots

Phishing-Angriffe über OAuth: Russische Hacker zielen auf Microsoft 365 ab

Ransomware-Banden setzen auf professionelle Geschäftsmodelle

Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten
Studien

DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen

Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist

Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen

Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details

Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper

Internet unter Beschuss: Über 1.000 bösartige Domains pro Tag

Google warnt vor zunehmender Raffinesse bei Cyberangriffen: Angreifer nutzen verstärkt Zero-Day-Exploits zur Kompromittierung von Systemen

FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität

EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt

IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu
Hamsterrad-Rebell

Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen

Anmeldeinformationen und credential-basierte Angriffe

Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen

Data Security Posture Management – Warum ist DSPM wichtig?
