Ein kürzlich erschienener Report des IT-Notfallteams der Europäischen Union (CERT-EU) berichtet von einer hohen Zahl im Jahr 2023 erfolgter Spear-Phishing-Angriffe gegen Einrichtungen der Europäischen Union.
Durchgeführt wurden die Angriffe scheinbar in erster Linie von Hackern und Gruppierungen, die in Verbindung mit staatlichen Akteuren stehen oder von diesen unterstützt werden. Der Bericht stellt fest, dass Spear Phishing weiterhin die am häufigsten genutzte Methode für staatlich unterstützte cyberkriminelle Gruppen ist, wenn sie versuchen, in Zielnetzwerke einzudringen.
Die den Angriffen zugrunde liegende Methode des Spear Phishing beinhaltet äußerst gezielte und personalisierte E-Mail-Kampagnen, die bestimmte Personen innerhalb von Organisationen täuschen sollen. Innerhalb der Einrichtungen der EU oder in deren Umfeld war Spear Phishing laut dem Bericht die am häufigsten von Kriminellen genutzte Methode, um Erstzugang zu erlangen. Sobald die Hacker sich Zugang zu den Netzwerken verschafft haben, konnten sie diesen für verschiedene Zwecke ausnutzen, darunter Spionage, Hacktivism, Datendiebstahl und andere cyberkriminelle Aktivitäten.
Die Bedrohungsakteure gaben sich häufig als Mitarbeiter von EU-Einrichtungen oder der öffentlichen Verwaltung von EU-Ländern aus. Sie verschickten Spear-Phishing-E-Mails mit bösartigen Anhängen, Links oder gefälschten PDF-Dateien. Diese enthielten anfangs interne oder öffentlich zugängliche Dokumente mit Bezug zu EU-Gesetzen, was dem Zweck der Täuschung diente. Die Tatsache, dass vor allem EU-Einrichtungen und die Verwaltungen von Mitgliedsstaaten im Visier waren, deutet auf ein großes Interesse der Angreifer an Informationen über verschiedene politische Angelegenheiten der EU hin.
Hoch personalisierte Attacken sind Mittel der Wahl
Was die beschriebenen Attacken besonders macht, ist der auf Spear Phishing basierte personalisierte Ansatz. Die Angreifer investierten viel Zeit in das Auskundschaften ihrer Ziele und darauf aufbauend die Ausarbeitung angepasster Social-Engineering-Angriffe. Im ersten Schritt ging es darum, Informationen über Einrichtungen der EU zu sammeln, darunter die Rollen bestimmter Mitarbeiter, Kontaktlisten und häufig geteilte interne Dokumente.
Mithilfe der gesammelten Informationen und dem Einsatz von Social Engineering war es den Kriminellen dann möglich, glaubhaft wirkende Nachrichten zu erstellen und ihre Zielpersonen zu täuschen. Auch die Nutzung von Informationen aus früheren Angriffen und das Identifizieren von ungesicherten IT-Ressourcen halfen den Angreifer dabei, die Erfolgschancen ihrer Angriffe zu steigern und in vielen Fällen letztlich ihre Ziele zu erreichen.
Das Bewusstsein für Bedrohungen muss steigen
Der Bericht des CERT-EU zeigt anhand des Beispiels angegriffener EU-Einrichtungen, dass professionell durchgeführte Spear-Phishing-Angriffe eine große Gefahr darstellen. Diese Art von Cyberattacken beschränkt sich aber keinesfalls auf staatliche Einrichtungen. Unternehmen im Allgemeinen müssen sich darüber im Klaren sein, dass solche Angriffe äußerst zielgerichtet und personalisiert sind und aufgrund dieser Tatsache eine hohe Erfolgsquote aufweisen.
Derartige Täuschungsversuche können alle Arten von Organisation betreffen und stellen eine ernsthafte Bedrohung für die Sicherheit sensibler Daten und Informationen dar. Um auf Social Engineering basierte Gefahren wie Spear Phishing vorbereitet zu sein, gilt es Mitarbeitende aufzuklären und ihr Bewusstsein gegenüber den Methoden und Taktiken der Angreifer zu stärken. Hier können Security Awareness-Schulungen hilfreich sein, um die Sicherheitskultur einer Organisation zu stärken. Das Einführen solcher Trainings ermöglicht es Mitarbeitern, ihr Bewusstsein für Security-relevante Themen zu stärken, ein sicheres Verhalten im Cyberraum zu kultivieren und damit die von Cyberbedrohungen ausgehende Gefahr zu verringern.