Anatomie eines Speerangriffs Phishing

Was ist Speer phishing?

Spear phishing ist eine sehr zielgerichtete - und sehr effektive - Art von phishing Angriff. Im Gegensatz zu allgemeinen phishing Kampagnen, die an eine große Anzahl von Personen gesendet werden, zielt Spear phishing auf bestimmte Personen oder Organisationen ab. Dazu sind umfangreiche Nachforschungen erforderlich, um hochgradig personalisierte E-Mails, Telefonanrufe oder Nachrichten in sozialen Medien zu verfassen, die oft den Anschein erwecken, von einer vertrauenswürdigen Quelle wie einem Kollegen, Vorgesetzten oder bekannten Geschäftspartner zu stammen. Der Angreifer recherchiert sein Ziel sorgfältig, um die Nachricht legitim erscheinen zu lassen und das Opfer zum Handeln aufzufordern. Selbst hochqualifizierte Mitarbeiter fallen auf Speer-E-Mails ( phishing ) herein, was diese gezielten Angriffe zu einer der wichtigsten Prioritäten für Verteidiger macht.

Warum Angreifer Speer verwenden phishing

Spear phishing wird häufig von ransomware Gruppen und APTs wie Akira, Black Basta und APT29 verwendet. Angreifer nutzen ihn, um:

• Erhöhung der Erfolgswahrscheinlichkeit
• Zugang zum Rechenzentrum erhalten
• Stehlen sensibler Informationen
• Geräte infizieren mit malware

Der Ablauf eines Speerangriffs phishing

Speerangriffe phishing folgen einem sehr strukturierten Prozess:

• Recherche: Spear-Phisher sammeln detaillierte Informationen über die Zielperson, oft über soziale Medien, öffentliche Datenbanken oder frühere Einbrüche. 
• Erstellen des Köders: Der Angreifer erstellt dann eine überzeugende Nachricht, die von einer vertrauenswürdigen Quelle zu stammen scheint, mit persönlichen Informationen, aktuellen Ereignissen, gemeinsamen Bekannten und anderen individuellen Details.
• Zustellung: Die Nachricht wird zusammen mit einem bösartigen Link oder Anhang zugestellt, z. B. malware oder einer gefälschten Website, um Anmeldedaten zu stehlen. 
• Ausbeutung: Sobald der Mitarbeiter den Köder schluckt, erhält der Angreifer Zugang, um sich seitlich im Netzwerk Ihres Unternehmens zu bewegen und den Angriff zu eskalieren.

Wie man Speerangriffe abwehrt phishing

Präventionswerkzeuge können diese Art von Angriffen oft nicht stoppen, so dass sie selbst mit einem sicheren Web-Gateway, Firewalls und IPS eine Bedrohung darstellen. Aus diesem Grund ist es von entscheidender Bedeutung, über geeignete Erkennungsfunktionen zu verfügen, damit Sie Angriffe sofort erkennen und darauf reagieren können. Vectra AI erkennt gängige Speerangriffe phishing :

• Versteckter TTPS-Tunnel
• File Share Enumeration
• Suche nach verdächtigen und ausgehenden Ports 
• Entra ID Privilege Operation Anomalie
• M365 Interner Speer Phishing

Bei einem simulierten Angriff, der mit einem Angriff auf einen Mitarbeiter auf LinkedIn begann, hat der Angreifer zum Beispiel:

• Verschlüsseltes WhatsApp zur Umgehung des Webs
• den Firmenlaptop des Mitarbeiters kompromittiert
• Verlegung ins Rechenzentrum per Fernsteuerung

In diesem Fall zeigte Vectra AI schnell auf, wo versteckte Tunnel eingerichtet sind und welche Identitäten betroffen sind, so dass die Verteidiger sofort reagieren konnten.

Sehen Sie, wie Vectra AI einen aktiven Speerangriff aufgedeckt hat phishing

Wir haben einen Angriff der Lazarus-Gruppe simuliert, um herauszufinden, was genau passiert, wenn eine staatlich geförderte Cyberkriminelle Gruppe einen Mitarbeiter auf LinkedIn angreift, den vertrauenslosen Netzwerkzugang (ZTNA) überschreitet und die Admin-Anmeldedaten entwendet. V wie der Angriff abgewehrt werden kann.